Законы, ужесточающие оборот персональных данных и наказание за их утечку, подписаны Президентом и вступят в силу через полгода

Президент РФ Владимир Путин подписал законы, который вводят новые штрафы за нарушение требований в области персональных данных и ужесточают несколько прежних наказаний. Документы опубликованы.

Законы, которые вступят в силу через 180 дней после опубликования, получили номера 420-ФЗ («О внесении изменений в кодекс об административных правонарушениях») и 421-ФЗ («О внесении изменения в Уголовный кодекс»).

Теперь компаниям, допустившим утечки, грозят штрафы в размере до 15 млн руб. при первом нарушении и до 3% от суммы выручки при повторном.

Административные штрафы теперь зависят от объёма утекших данных. Так, за утечку данных от 1 000 до 10 000 субъектов предусмотрены штрафы до 5 млн рублей. Если объём утечек увеличивается до 10 000–100 000 субъектов или от 100 000 до 1 млн идентификаторов, штраф может достигать 10 млн рублей. При утечке более 100 000 субъектов или 1 млн идентификаторов применяется оборотный штраф до 3% годовой выручки компании, минимум 20 млн и максимум 500 млн рублей.

За утечки данных специальной категории штрафы могут составить до 15 млн рублей, а при повторных инцидентах – до 3% выручки, но не менее 25 млн рублей. Операторы также обязаны своевременно уведомлять регулирующие органы о планах обработки персональных данных. Нарушения в этой части грозят штрафами до 300 тыс. рублей для юридических лиц.

Если данные переданы неправомерно или случайно, штрафы варьируются от 50 тыс. рублей для граждан до 3 млн рублей для организаций. Также установлена ответственность за отказ в заключении договоров с потребителями из-за их отказа предоставить биометрические данные.

Принятый закон предусматривает административные наказания в том числе для физических и должностных лиц. Максимальный размер штрафа составит до 400 тыс. и 600 тыс. руб. соответственно.

Документ также устанавливает наказание за незаконную передачу медицинских данных и других персональных данных специальных категорий. Штраф составит до 400 тыс. руб. для граждан, до 1,3 млн руб. для госслужащих и до 15 млн руб. для юрлиц.

Изменения внесены и в Уголовный кодекс РФ. Незаконный сбор и передача персональных данных предусматривают наказание до четырех лет лишения свободы. Если информация содержала данные несовершеннолетних, срок приговора составит до пяти лет лишения свободы. До десяти лет лишения свободы грозит в случае аналогичного нарушения, которое совершено группой лиц или повлекло тяжкие последствия.

Несмотря на то что работа над поправками велась год, и компании из сектора информационной безопасности, и операторы персональных данных все еще считают, что их интересы до конца так и не были учтены.

Незадолго до его принятия представители ИБ-отрасли направляли в Госдуму письмо, в котором предупреждали, что принятие инициативы в текущем виде напрямую может затронуть ИБ-специалистов. Уголовно наказуемо, в частности, создание ресурсов для незаконного хранения такой информации, но проект не предусматривает исключений для компаний, расследующих утечки данных, писали они.

Добросовестные участники рынка уже давно делают все, чтобы не допустить утечки данных, говорят в Ассоциации больших данных (АБД, объединяет «Яндекс», «Сбер» и т. д.).

«К сожалению, принятая редакция вводит фактический налог на ИБ, и даже после выполнения всех мер по защите данных ответственность наступает независимо от наличия вины оператора данных»,— указывают в АБД.

С заботой о вашей безопасности, команда Origin Security

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *