Ответственность за утечку персональных данных будет вновь ужесточаться: в Госдуму внесены два законопроекта. В качестве самой жесткой меры в КоАП РФ — оборотный штраф для компаний. Поправки вносят и в Уголовный кодекс РФ.
Навигация
НПА, регулирующие штрафы за утечку персональных данных
В декабре 2023 г. в Государственную думу внесены два законопроекта: ответственность за утечку персональных данных увеличена. Поправки планируется принять в КоАП и Уголовный кодекс РФ.
Сейчас максимальный размер санкции для компании, допустившей незаконное распространение личных данных, несущественен и составляет 100 000 руб.
Авторы законопроекта приводят статистику: за 2022 г. оценочный ущерб от утечек превысил 8 млрд руб. — и убеждены, что оборотные санкции будет стимулировать компании вкладываться в информационную безопасность.
Советуем прочитать: о защите персональных данных
Эксперты КонсультантПлюс разобрали, как фирме собирать и хранить персональные данные, чтобы не платить за нарушения закона о персональных данных. Используйте эти инструкции бесплатно.
Что считается утечкой персональных данных
«Утечкой» будет считаться неправомерная передача информации с персональными данными, т.е.:
- предоставление;
- распространение;
- доступ.
Иными словами, любые действия, в т.ч. бездействие оператора, в результате которых третьи лица на незаконном основании получают доступ к персональным данным.
Вам будет полезно узнать: какие есть виды персональных данных
Оборотные штрафы за утечку персональных данных
Штрафы зависят от объема утекшей информации — от количества пострадавших граждан и (или) уникальных данных (идентификаторов):
Количество субъектов ПД | Количество идентификаторов | Размер штрафа (руб). |
---|---|---|
От 1000 до 10 000 | От 10 000 до 100 000 |
|
От 10 000 до 100 000 | От 100 000 до 1 000 000 |
|
Более 100 000 | 1 000 000 |
|
В любом объеме специальные категории данных | В любом объеме специальные категории данных | Аналогичный размер штрафа |
Оборотный штраф налагается при совершении повторного нарушения и только на юридические лица и ИП.
Размеры санкций:
- от 0,1 до 3 % от суммы выручки компании за календарный год, предшествующий правонарушению, или за текущий год, когда произошел инцидент, если ранее деятельность не велась;
- не менее 20 и не более 500 млн руб.
Особым отягчающим обстоятельством при расчете штрафа будет, если компания ранее была привлечена к ответственности за неуведомление Роскомнадзора о незаконном инциденте с личными данными и еще считается подвергнутым наказанию.
Читайте также: судебная практика по спорам о защите персданных
Для небольшого бизнеса такой объем санкции может стать мерой несоразмерной.
Напомним, что по общему правилу ИП, совершивший административное правонарушение, несет ответственность как должностное лицо, если иное не установлено кодексом (ст. 2.4 КоАП РФ).