Коротко и ясно с Трудовой практикой. HR & DIGITAL (Выпуск №4)

Новые штрафы за незаконную обработку ПДн

05 декабря 2023 года Госдума приняла в третьем окончательном чтении законопроект, увеличивающий размеры штрафов за обработку персональных данных без письменного согласия или с нарушением требований к нему. При первом нарушении штрафы составят:

• для граждан – от 10 000 до 15 000 рублей;

• для должностных лиц – от 100 000 до 300 000 рублей;

• для компаний – от 300 000 до 700 000 рублей.

Существенно возрастают размеры штрафов в случае повторного нарушения:

• для граждан – от 15 000 до 30 000 рублей;

• для должностных лиц – от 300 000 до 500 000 рублей;

• для индивидуальных предпринимателей – от 500 000 до 1 млн рублей;

• для компаний – от 1 до 1,5 млн рублей.

На данный момент законопроект ожидает своего рассмотрения в Совете Федерации. В случае одобрения и подписания законопроекта он вступает в силу по истечении 10 дней со дня опубликования.

Ответственность за незаконное размещение биометрических персональных данных

Этим же законопроектом устанавливается административная ответственность за нарушения, связанные с размещением и обновлением биометрических данных в единой биометрической системе (ЕБС) отдельными операторами (банками, МФЦ и иными организациями).

Штрафы составят:

• для должностных лиц – от 100 000 до 300 000 рублей;

• для компаний – от 500 000 до 1 млн рублей.

Напомним, что к биометрическим ПДн относятся сведения о физиологических или биологических характеристиках человека, позволяющих установить его личность (например, данные изображения лица или голоса человека, полученные с помощью технических устройств).

Обращаем внимание

04 декабря 2023 года в Госдуму также внесли законопроекты, ужесточающие ответственность для граждан, должностных лиц и компаний в случае утечки ПДн.

Административная ответственность за утечку ПДн

Размер налагаемых штрафов будет зависеть от количества субъектов ПДн, затронутых такой утечкой. В частности, на компании могут быть наложены следующие штрафы, если от утечки пострадали:

• от 1 000 до 10 000 человек – от 3 до 5 млн рублей;

• от 10 000 до 100 000 человек – от 5 до 10 млн рублей;

• более 100 000 человек – от 10 до 15 млн рублей.

При повторной утечке компании будут вынуждены заплатить оборотные штрафы в размере от 0,1 до 3% выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 млн и не более 500 млн рублей.

Утечка специальных категорий ПДн, независимо от количества пострадавших субъектов, грозит для компаний штрафом в размере от 10 до 15 млн рублей. Напомним, что к специальным категориям ПДн относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

На компании также может быть наложен штраф от 1 до 3 млн рублей за неуведомление или несвоевременное уведомление Роскомнадзора в случае установления факта утечки ПДн.

Обращаем внимание, что во внесенной версии законопроекта отсутствуют положения о возможности снижения размера оборотных штрафов, налагаемых на компании. Ранее Правительство одобрило предложение Минцифры о внедрении механизма компенсационных выплат пострадавшим от утечек и соразмерного уменьшения штрафов для компаний.

Уголовная ответственность за утечку ПДн

Другой законопроект предполагает введение уголовной ответственности за:

• незаконное использование, передачу, сбор, хранение компьютерной информации, содержащей ПДн, в том числе сопряженное с трансграничной передачей или перемещением ПДн;

• создание и обеспечение функционирования информационных ресурсов, предназначенных для незаконного хранения и/или распространения ПДн.

При наличии тяжких последствий виновным лицам за указанные преступления могут грозить максимальный штраф до 3 млн рублей и максимальный срок лишения свободы до 10 лет, а также принудительные работы, лишение права занимать определенные должности или заниматься определенной деятельностью.

Как быть готовым к новой ответственности?

Компаниям рекомендуется:

• проверить, какие процессы обработки ПДн в компании строго требуют письменного согласия, и обеспечить получение необходимых согласий;

• разработать механизмы и внедрить локальные нормативные акты, регулирующие вопросы предупреждения, своевременного выявления, предотвращения и реагирования на утечки;

• назначить ответственных лиц.