Оборотные штрафы за утечку персональных данных
Ответственность за утечку персональных данных будет вновь ужесточаться: в Госдуму внесены два законопроекта. В качестве самой жесткой меры в КоАП РФ — оборотный штраф для компаний. Поправки вносят и в Уголовный кодекс РФ.
НПА, регулирующие штрафы за утечку персональных данных
В декабре 2023 г. в Государственную думу внесены два законопроекта: ответственность за утечку персональных данных увеличена. Поправки планируется принять в КоАП и Уголовный кодекс РФ.
Сейчас максимальный размер санкции для компании, допустившей незаконное распространение личных данных, несущественен и составляет 100 000 руб.
Авторы законопроекта приводят статистику: за 2022 г. оценочный ущерб от утечек превысил 8 млрд руб. — и убеждены, что оборотные санкции будет стимулировать компании вкладываться в информационную безопасность.
Советуем прочитать: о защите персональных данных
Эксперты КонсультантПлюс разобрали, как фирме собирать и хранить персональные данные, чтобы не платить за нарушения закона о персональных данных. Используйте эти инструкции бесплатно.
Что считается утечкой персональных данных
«Утечкой» будет считаться неправомерная передача информации с персональными данными, т.е.:
- предоставление;
- распространение;
- доступ.
Иными словами, любые действия, в т.ч. бездействие оператора, в результате которых третьи лица на незаконном основании получают доступ к персональным данным.
Вам будет полезно узнать: какие есть виды персональных данных
Оборотные штрафы за утечку персональных данных
Штрафы зависят от объема утекшей информации — от количества пострадавших граждан и (или) уникальных данных (идентификаторов):
Количество субъектов ПД | Количество идентификаторов | Размер штрафа (руб). |
---|---|---|
От 1000 до 10 000 | От 10 000 до 100 000 |
|
От 10 000 до 100 000 | От 100 000 до 1 000 000 |
|
Более 100 000 | 1 000 000 |
|
В любом объеме специальные категории данных | В любом объеме специальные категории данных | Аналогичный размер штрафа |
Оборотный штраф налагается при совершении повторного нарушения и только на юридические лица и ИП.
Размеры санкций:
- от 0,1 до 3 % от суммы выручки компании за календарный год, предшествующий правонарушению, или за текущий год, когда произошел инцидент, если ранее деятельность не велась;
- не менее 20 и не более 500 млн руб.
Особым отягчающим обстоятельством при расчете штрафа будет, если компания ранее была привлечена к ответственности за неуведомление Роскомнадзора о незаконном инциденте с личными данными и еще считается подвергнутым наказанию.
Читайте также: судебная практика по спорам о защите персданных