Меню
Главная
Лента
Закладки
Скачайте приложение
App Store
установить
Play Market
установить
RuStore
установить
Комментарии 0
...комментариев пока нет
Назад
Audit-it.ru
2 года назад

Введение уголовной ответственности за утечки персданных и усиление административной прошли 1 чтение

© anekdotov.net

Незаконное распространение персональных данных неограниченному кругу лиц с целью причинения вреда жизни, здоровью, имуществу будет приводить к сроку в 10 лет, если эта норма законопроекта не изменится ко второму чтению.

Госдума приняла в первом чтении два законопроекта, которыми вводится административная (502104-8) и уголовная (502113-8) ответственность за незаконное распространение персональных данных.

Административная ответственность

В настоящее время в КоАП имеется статья 13.11, посвящённая нарушениям законодательства в области персональных данных. Их обработка в случаях, не предусмотренных законодательством, либо обработка, несовместимая с целями сбора таких данных, организациям сейчас обходится в суммы от 60 до 100 тысяч рублей, должностным лицам – от 10 до 20 тысяч. В случае повторного совершения таких нарушений грозят штрафы в среднем в два-три раза выше. В законопроекте данные штрафы предложено повысить в 2,5 – 3 – 5 раз.

Штрафы по этой норме сейчас применяются в том числе и в случае утечек персональных данных, указали авторы законопроекта. Они считают, что такие штрафы несоразмерны с возможными последствиями от произошедших утечек. Злоумышленники могут использовать эти сведения для спам-звонков, шантажа, мошенничества и других более тяжких преступлений. Так что утечки надо вывести в отдельные составы. Это простимулирует операторов персональных данных инвестировать в развитие инфраструктуры информационной безопасности и в защиту сведений.

В этой связи указанную статью КоАП предлагается дополнить новыми пунктами. Это, в частности, будут наказания за действия или бездействие оператора, повлекшие утечку персональных данных. При этом штрафы, по замыслу авторов, должны варьироваться в зависимости от объёма утекшей информации. За сведения об 1-10 тысячах граждан, или за утечку 10-100 тысяч идентификаторов предложено штрафовать юрлиц на суммы от 3 до 5 млн рублей. Если утекли сведения 10-100 тысяч граждан либо от 100 тысяч до 1 млн идентификаторов, то штраф составит для организаций от 5 до 10 млн рублей. Если распространены сведения о более чем 100 тысячах граждан или более 1 млн идентификаторов, то для организаций предложен штраф от 10 до 15 млн рублей.

При повторных нарушениях штрафы для бизнеса согласно законопроекту становятся оборотными, то есть, зависящими от выручки соответствующего субъекта. Кстати, согласно замечаниям ответственного комитета, эти штрафы также должны зависеть от объема утечек. Вероятно, такое изменение следует ждать ко второму чтению законопроекта.

Но на данный момент согласно законопроекту за повторные нарушения организации рискуют потерять от 0,1% до 3% полной годовой выручки от реализации за предшествующий год. Если за предыдущий год выручки не было, то в расчёт может быть взята выручка за текущий год до момента выявления правонарушения.

Также штраф от 10 до 15 млн рублей предложено установить за утечку информации, включающей специальную категорию персональных данных. За повторное такое нарушение предложен оборотный штраф – такой же, как указан выше.

Кроме того, если в случае утечки обнаружится, что оператор в своё время не уведомил Роскомнадзор об обработке персональных данных, то случае принятия законопроекта будет грозить еще дополнительно штраф. Потолок – до 3 млн рублей для юрлиц.

Предлагается также оговорить, что за эти нарушения ИП несут ответственность такую же, как юрлица. При этом также авторы указали в примечаниях, что к юрлицам в целях этих штрафов не относятся госорганы, государственные или муниципальные учреждения. Для них в случае принятия проекта утечки персональных данных, видимо, останутся безнаказанными.

Уголовная ответственность

Второй законопроект предполагает дополнение УК новой статьей 272.1, в состав которой войдут:

  • незаконные использование, передача, сбор, хранение компьютерной информации, содержащей персональные данные;
  • создание, обеспечение функционирования информационных ресурсов, предназначенных для незаконного хранения, распространения такой информации.

Базовое наказание – штраф до 300 тысяч рублей, либо принудительные работы до четырех лет, либо лишение свободы на тот же срок. То же самое, но совершенное в отношении специальных категорий персональных данных, а также биометрических персданных, будет караться штрафом до 700 тысяч рублей или в размере дохода осужденного за период до одного года с дисквалификацией до двух лет или без такового, либо принудительными работами на срок до 5 лет, либо лишением свободы на тот же срок.

Если при всем вышесказанном имеет место:

  • корыстная заинтересованность;
  • крупный ущерб;
  • предварительный сговор;
  • использование служебного положения,

то штраф по УК сможет достигать 1 миллиона рублей, а лишение свободы – до шести лет (плюс промежуточные варианты наказаний типа изъятия дохода и дисквалификации).

Создание и/или поддержка сайтов, информсистем, ПО, заведомо предназначенных для незаконного хранения, передачи персданных, может в случае принятия законопроекта грозить штрафом до 700 тысяч рублей или отсидкой до 5 лет (плюс промежуточные варианты наказаний).

Более существенные сроки грозят:

  • при трансграничном перемещении персданных или носителей с ними – лишение свободы до 8 лет (плюс штрафы, диквалификация);
  • в случае тяжких последствий (полный список которых приведен в примечаниях к статье и включает, например, распространение неограниченному кругу лиц с целью причинения вреда жизни, здоровью, имуществу), либо в случае совершения вышеназванных преступлений организованной группой. В этих случаях срок отсидки возрастает до 10 лет (плюс штрафы, диквалификация).

Также предложено оговорить, что все это не распространяется на случаи обработки персданных физлицами исключительно для личных и семейных нужд.

Бизнес по этому поводу сильно испугался – Ассоциация больших данных (АБД), куда входит ряд мобильных операторов, банков, а также Яндекс, ВК, направила в комитет письмо с просьбой уточнить состав преступления по новой статье с тем, чтобы под него не подпадали те, кто не сливает базы, а слитые базы просто использует, якобы, не зная, что получены они незаконно (подробнее).

Назад