• КоАП: повышение размера штрафов
• УК: до десяти лет колонии
• Смягчающие вину обстоятельства

КоАП: повышение размера штрафов

Закон «О персональных данных» признает таковыми фамилию, имя и отчество, адреса мест жительства и мест пребывания, номера мобильных и домашних телефонов, электронную почту, реквизиты различных документов и другие данные, позволяющие идентифицировать гражданина. А операторами персональных данных называет государственные и муниципальные органы, юридических и физических лиц, которые собирают или обрабатывают такие данные. Трудно сказать, кто в эпоху интернета их не собирает и не обрабатывает.

В КоАП уже есть статья 13.11, наказывающая за нарушения при сборе, хранении, использовании или распространении информации о гражданах. Элина Муханова, юрист компании Comply, рассказала «Профилю»: «Текущая практика показывает, что за утечки операторов персональных данных привлекают к ответственности по части первой этой статьи. Максимальное наказание для юридических лиц тут – 100 тыс. рублей. Однако обычно суд выбирает минимально возможные 60 тыс. рублей: такой размер штрафа был у большинства компаний, допустивших даже многомиллионные утечки». При повторном нарушении в течение года максимальный штраф для юрлиц поднимается до 300 тыс. рублей.

Железная логика: российская ИТ-отрасль обеспечит цифровой суверенитет страны

Нынешние штрафы «не соразмерны с возможными последствиями от произошедших утечек», говорится в пояснительной записке к законопроекту о внесении изменений в КоАП. Чтобы простимулировать организации к инвестициям в защиту персональных данных, статью 13.11 предложено радикально ужесточить.

Размер штрафа будет зависеть от объема «утекшей» информации. Минимальный штраф для юрлиц установлен в 3 млн рублей, максимальный – 15 млн. В случае повторной утечки в течение года штрафы превращаются в оборотные: от 0,1% до 3% выручки компании за календарный год или часть текущего года, но не менее 15 млн и не более 500 млн рублей.

Минимальное наказание для граждан, чьи действия или бездействие привело к утечке, предложено установить в размере 100 тыс. рублей штрафа, а для должностных лиц – 800 тыс. рублей. Максимальное в случае повторного нарушения – 600 тыс. рублей для граждан и 4 млн для должностных лиц. И тут размер штрафа будет зависеть от объема «утекшей» информации.

Еще сильнее бить рублем обещают за утечки «специальной категории персональных данных» – сведений, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Авторы сами называют предложенные ими штрафы «суровыми».

УК: до десяти лет колонии

За злонамеренный доступ к персональным данным, их похищение и распространение пока наказывают по статье 272 УК (до семи лет лишения свободы). Но, по мнению авторов второго законопроекта, этого недостаточно: нужна еще одна, новая статья 272.1, с наказаниями в виде штрафа до 300 тыс. рублей или до четырех лет принудительных работ, а то и лишения свободы на тот же срок за «незаконные использование и (или) передачу, сбор и (или) хранение компьютерной информации, содержащей персональные данные». Если незаконно получены персональные данные специальных категорий или биометрические, штраф вырастет до 700 тыс. рублей, а максимальный срок лишения свободы – до пяти лет.

За «трансграничную передачу компьютерной информации» с персональными данными, ввоз или вывоз носителей, содержащих такие данные, в том числе электронные (флешка или жесткий диск) предлагают наказывать безальтернативным лишением свободы на срок до восьми лет со штрафом до 2 млн рублей и возможным запретом на профессию на срок до четырех лет. Если в результате наступили тяжкие последствия, срок лишения свободы увеличивается максимум до 10 лет, штраф может достигать 3 млн рублей, а возможный запрет на профессию – пяти лет.

Отдельный состав придуман для тех, кто создает или обеспечивает работу информационных ресурсов в интернете, систем, программ, «заведомо предназначенных» для незаконного хранения, распространения или передачи информации с персональными данными (продажи, например): до пяти лет колонии со штрафом до 700 тысяч рублей и возможным запретом на профессию до двух лет.
На случаи обработки персональных данных гражданами «исключительно для личных и семейных нужд» эта статья УК распространяться не будет.

Смягчающие вину обстоятельства

Гендиректор Института исследований интернета Карен Казарян в разговоре с «Профилем» обращает внимание на то, что административно «наказывать собираются за факт утечки, вне зависимости от того, какие меры предпринял оператор персональных данных». К тому же непонятно, кто и как будет определять реальный объем утечек. «Не будет ли компаниям проще заплатить штраф и не предпринимать дополнительные меры безопасности? Этот законопроект, безусловно, нуждается в корректировке», – считает эксперт.

Как цифровые технологии убивают прайвеси

«Защита персональных данных требует определенной санкционности, но появление столь жесткого пакета кажется чрезвычайно несвоевременным, поскольку на сегодняшний день отсутствует сколько-нибудь внятная, однозначная правоприменительная практика по вопросу о том, что является должной обработкой персональных данных, как обеспечивается требуемый контроль за их защитой», – полагает вице-президент Федеральной палаты адвокатов РФ Елена Авакян. Предложенные административные штрафы она называет «драконовскими».

Элина Муханова, в свою очередь, обращает внимание на то, что формулировки в новой версии статьи 13.11 КоАП нечеткие «и на практике это может быть критично» при определении состава нарушения и размера штрафа. В официальном отзыве правительства предлагаемые размеры административных штрафов названы «нуждающимися в уточнении на предмет соразмерности и возможности исполнения такого наказания лицами, привлеченными к административной ответственности». Кабмин считает правильным в качестве смягчающего ответственность обстоятельства «предусмотреть возможность осуществления добровольной денежной компенсации операторами персональных данных предполагаемого вреда».

На вопрос «Профиля» о том, возможно ли появление в законопроекте об оборотных штрафах таких оговорок, один из авторов, глава думского Комитета по информационной политике, информационным технологиям и связи Александр Хинштейн (ЕР) ответил так: «Ко второму чтению мы будем обсуждать эти предложения, но дьявол в деталях – важно, чтобы нормы не стали лазейкой для ухода от ответственности». Он объяснил, что первоначальное предложение Минцифры о взаимосвязи между частичным погашением ущерба со стороны нарушителя и наказанием сочли «нереализуемым»: невозможно администрировать, да и речь шла не о погашении материального ущерба и выплате компенсаций, а о возможности получения пострадавшими от утечек каких-то льгот или скидок.

По словам депутата, недавно представители Минцифры предложили другой вариант: «Прописать, что смягчение наказания наступает в случае, если компания инвестирует в развитие информационной безопасности в четко определенных объемах, в процентах от оборота за текущий год».