Законопроект об “оборотных штрафах”
Что это за законопроект и зачем он нужен?
Законопроект “Об оборотных штрафах” является ответом на беспрецедентное количество утечек персональных данных, произошедших в прошлом году. При помощи данного законопроекта государство хочет стимулировать операторов ПДн не только на соответствие требованиям законодательства, но и на обеспечение результативной безопасности персональных данных. Будет увеличен как размер штрафа за первичное нарушение, так и за повторное.
Что он меняет?
При вступлении закона в силу (в рамках КоАП) будут добавлены новые составы правонарушения:
- Несвоевременное уведомление (или отказ от него) РКН о намерении осуществлять обработку ПДн — штраф до 300 тысяч рублей на юрлицо;
- Несвоевременное уведомление (или отказ от него) субъектов ПДн и РКН о фактах неправомерной передачи персональных данных — штраф от 1 до 3 миллионов рублей на юрлицо;
- Действия (бездействия) оператора, повлекшие неправомерную передачу информации, включающей ПДн — штраф от 3 до 5 миллионов рублей на юрлицо;
- Действия (бездействия) оператора, повлекшие неправомерную передачу информации, включающей специальную категорию ПДн и (или) биометрические ПДн — штраф от 15 до 20 миллионов рублей на юрлицо;
- Нарушение порядка обработки, включая сбор, хранение биометрических ПДн в ЕБС, порядка обработки, включая сбор, хранения и уничтожения биометрических ПДн, векторов ЕБС в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации, организаций, осуществляющих аутентификацию на основе биометрических ПДн физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических ПДн, векторов ЕБС в целях проведения идентификации и (или) аутентификации — штраф от 500 тысяч до 1 миллиона рублей на юрлицо;
- Невыполнение организационных и технических мер по обеспечению безопасности биометрических ПДн при их обработке в ЕБС, иных информационных системах, обеспечивающих аутентификацию с использованием биометрических ПДн физических лиц, в том числе информационных системах, владельцами и (или) операторами которых являются государственные органы, либо при использовании указанных информационных систем — штраф от 1 миллиона до 1,5 миллионов рублей на юрлицо;
- Обработка биометрических ПДн, векторов ЕБС для аутентификации физических лиц в информационных системах организаций, информационной системе Центрального банка Российской Федерации, информационных системах, владельцами и (или) операторами которых являются государственные органы, без аккредитации, а равно в случае, если аккредитация приостановлена или прекращена — штраф от 1 миллиона до 2 миллионов рублей на юрлицо.
Возможные изменения в следующую ревизию законопроекта
Мы считаем, что в законопроект будут внесены правки. Как минимум из-за того, что без подписи Минцифры закон не может вступить в силу. Последние настаивают на введении системы компенсаций пострадавшим гражданам и акцентировали внимание на том, что не поддержат иного варианта законопроекта.
Мы предполагаем, что в следующей ревизии законопроекта должны быть уточнены моменты, касающиеся следующих вопросов:
- Как доказать факт действия или бездействия со стороны оператора?
- Как доказать факт наличия утечки?
- Как отличить текущую утечку от прошлой или сфальсифицированной?
- Как уведомить каждого субъекта о факте утечки его персональных данных?
Также, Виталий Лютиков из ФСТЭК заявил, что сумма штрафа может быть значительно снижена, если организация, допустившая утечку ПДн, предпринимала меры по защите персональных данных.
Как подготовиться к нововведениям?
Если вы являетесь нашим клиентом по защите персональных данных, мы заблаговременно оповестим вас о необходимых мероприятиях и возможных рисках, как только станет известна финальная версия законопроекта.