«Прекратить навсегда»: В Госдуме уточнили суть проекта об ответственности за утечку данных

Штрафы за утечку персональных данных могут вырасти вплоть до 500 миллионов рублей, а киберпреступников начнут отправлять в колонию на срок до десяти лет. Госдума приняла в первом чтении соответствующие поправки в Кодекс об административных правонарушениях и в УК РФ.

Член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин в беседе со «Свободной Прессой» отметил, что эти законопроекты стали едва ли не самыми обсуждаемыми и ожидаемыми за последние годы, «причем и обществом, и отраслью».

«Актуальность их особенно очевидна на фоне катастрофы, которые сегодня происходит в части утечек персональных данных. Только по официальным данным Роскомнадзора, суммарно с 2022 по 2023 год зафиксировано более 300 утечек. В Сеть утек почти миллиард строчек с данными россиян», — уточнил парламентарий.

Немкин не сомневается, что эти законопроекты будут приняты очень оперативно, «в эту сессию точно».

Так, предлагается дополнить новыми частями ст. 13.11 КоАП РФ (нарушение законодательства РФ в области персональных данных). Ужесточение наказания коснется не только самого факта утечки, но и ряда обязанностей операторов. Например, если не вовремя уведомить или вообще не уведомить Роскомнадзор о намерении осуществлять обработку персональных данных, штраф для граждан может составить от 5 до 10 тысяч рублей, для должностных лиц — от 30 до 50 тысяч рублей, а для юрлиц — от 100 до 300 тысяч рублей.

Отсутствие уведомления об инциденте с персональными данными или его несвоевременная отправка в Роскомнадзор (на это даются сутки) также повлечет для граждан штраф от 50 до 100 тысяч, для должностных лиц — от 400 до 800 тысяч, а для юрлиц — от 1 до 3 миллионов рублей.

Также поправки к КоАП устанавливают штрафы до 15 миллионов рублей за утечку персональных данных. При этом предлагается вариативность размеров штрафа в зависимости от объема утечки — чем больше данных утекло, тем значительнее будет штраф.

Самое серьезное наказание касается тех, кто уже был оштрафован за действие или бездействие, повлекшее утечку данных, и при этом совершил это снова. Штраф для граждан в таком случае может составить от 400 до 600 тысяч рублей. Для должностных лиц — от 2 до 4 миллионов, а для юридических лиц — от 0,1% до 3% совокупного размера суммы выручки за календарный год.

Уголовный кодекс предлагается дополнить ст. 272.1 (незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконного хранения и (или) распространения).

Уголовная ответственность будет предусмотрена для тех, кто собирает, хранит, использует и передает незаконно полученную компьютерную информацию, содержащую персональные данные. А также незаконно передает базы данных с персональной информацией за рубеж или создает и администрирует сайты, которые позволяют незаконно хранить и предоставлять доступ к персональным данным.

«Таким образом, мы намерены раз и навсегда прекратить деятельность интернет-ресурсов, которые предоставляют доступ к незаконно полученным персональным данным граждан, да еще и делают это за деньги. При этом уточню, что уголовная ответственность не будет распространяться на случаи обработки персональных данных физическими лицами исключительно для личных и семейных нужд», — заявил Немкин.

Депутат добавил, что законопроекты тщательно готовились с 2022 года. Встречи с представителями отрасли проводились неоднократно. В той версии, в которой поправки были внесены в Госдуму, они учитывают «как минимум 80% всех имевшихся замечаний». Ко второму чтению они могут быть доработаны. В частности, обсуждению подлежит механизм смягчения ответственности для операторов, «пока к единому мнению прийти не удалось».

Ранее законопроект прокомментировал председатель Комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн.