Автор: Андрей Краснов
Хинштейн: Принят закон ужесточающий ответственность за утечку персданных
Сегодня Госдума единогласно одобрила во втором и третьем чтениях пакет законопроектов, который ужесточает административные и вводит уголовные меры ответственности за утечку персональных данных.
Эта инициатива крайне актуальна сейчас, когда утечки персональных данных принимают размеры национальной угрозы. Задача государства — максимально защитить данные своих граждан, в том числе установив соответствующие меры ответственности.
«К сожалению, процесс продвижения законопроекта ко второму чтению был весьма непростым. Не отрицаю, что часть бизнеса пыталась помешать его принятию — причина проста: кому хочется тратить больше, если можно обойтись меньшими затратами?»- сообщает Александр Хинштейн в своем Telegram канале.
Существующие штрафы на сегодняшний день остались неадекватными и не отражают серьёзность подобных нарушений.
Кратно усиливается административная ответственность за действия или бездействие оператора, приведшие к утечке персональных данных. Наказания будут зависеть от объема утечки: для юридических лиц она варьируется от 5 до 15 миллионов рублей. При повторной утечке компании придется платить уже штраф на основе оборота — от 1 до 3% от её прошлогоднего дохода.
Наиболее строгие меры предусмотрены за утечки биометрических данных. В случае повторного нарушения штраф за оборот может составлять от 25 миллионов до 500 миллионов рублей.
В ходе долгих обсуждений рассматривали вопрос о возможности смягчающих обстоятельств для нарушителей. В конечном итоге мы согласились с позицией Минцифры.
Смягчающими обстоятельствами станут три условия: Ежегодные инвестиции оператора в информационную безопасность — не менее 0,1% от оборота/выручки на протяжении трех лет. Отсутствие отягчающих обстоятельств (не привлечение к административной ответственности). Документальное подтверждение соблюдения требований к защите персональных данных. Однако даже в этом случае нарушителям все равно придется уплатить штраф.
Также вводится административная ответственность за отказ в предоставлении государственных, муниципальных или других услуг, если гражданин не желает предлагать свою биометрию. Ответственность установлена за непринятие мер по обеспечению безопасности биометрических данных в Единой биометрической системе (ЕБС).
Уголовный кодекс дополнится новой статьей 272.1, согласно которой предусмотрена ответственность за незаконное хранение, сбор или передачу персональных данных, полученных преступным путем. В зависимости от тяжести нарушения наказание может достигать 10 лет лишения свободы.
Одновременно будет введена уголовная ответственность за создание и функционирование интернет-ресурсов, предназначенных для заведомо незаконного хранения или передачи «криминальных» персональных данных.
Важно отметить, что новые меры уголовной ответственности не коснутся обработки персональных данных для личных и семейных нужд, а также специалистов по информационной безопасности, которые расследуют утечки — если их деятельность законна, вопросов к ним не возникнет.
Принятие данных законов — это значительный шаг к наведению порядка в цифровой сфере. Я искренне убежден, что без введения серьезной ответственности мы не сможем заставить бизнес инвестировать в информационную безопасность и защищать персональные данные граждан. И без этого нам будет очень сложно справиться с киберпреступностью!