За утечку персональных данных оштрафуют на 15 млн рублей

Компании в России собираются обязать платить высокие штрафы за утечки персональных данных — от 3 до 15 млн рублей. Должностным лицам, допустившим утечку, придётся заплатить до 2 млн рублей. А за незаконное использование, хранение и передачу персданных установят уголовную ответственность — до 10 лет лишения свободы. Такие законопроекты находятся на рассмотрении Госдумы. 

В 2023 году Роскомнадзор зафиксировал 168 случаев утечки персональных данных. В результате более 300 млн записей о россиянах попали в открытый доступ. В 2023 году суды рассмотрели 87 протоколов о нарушениях в области персональных данных, выписав штрафы на общую сумму 4,6 млн рублей.

Текущие санкции не мотивируют банки и компании создавать надежные системы защиты. Сейчас за утечку персданных установлены штрафы до 6 тыс. рублей для физлиц, до 20 тыс. для должностных лиц и до 100 тыс. для компаний. За повторные случаи могут взыскать до 12 тыс., 50 тыс. и 300 тыс. рублей соответственно, напоминает«Парламентская газета».

В связи с этим законодатели под руководством первого вице-спикера СФ Андрея Турчака внесли предложение ввести для компаний дополнительные санкции. Они считают, что санкции должны быть рассчитаны таким образом, чтобы соответствовать вероятным последствиям утечек, которые могут привести к мошенничеству, шантажу и другим преступлениям. 

На чёрном рынке круговорот баз с персданными оценивается в 20 тысяч. Они содержат информацию примерно о 80 процентах населения России

Андрей Турчак, первый заместитель Председателя СФ

Пакет законопроектов, которые должны подвигнуть компании с большим вниманием относиться к сохранности личных сведений россиян, сейчас находится на рассмотрении в ГД. Согласно первому из них, штрафы будут вводить согласно количеству утекших данных. 

Если скомпромитирована информация о 1-10 тыс. человек, компании грозит взыскание в размере от 3 до 5 млн рублей, работникам — от 100 до 200 тыс., а должностным лицам — от 800 тыс. до 1 млн рублей. При утечке данных 10-100 тысяч клиентов компания может быть оштрафована на сумму от 5 до 10 млн рублей, сотрудники — на 200-300 тыс., должностные лица — на 1-1,5 млн рублей.

В случае раскрытия данных более чем о 100 тыс. клиентов, компании понесут наказание в размере от 10 до 15 млн рублей, должностные лица — от 1,5 до 2 млн. Работникам, допустившим утечку, грозит штраф в размере 300-400 тыс. рублей.

Для повторных нарушений предлагается ввести для компаний оборотные штрафы. После утечки данных более чем об 1 тыс. человек размер штрафа будет составлять от 0,1% до 3% годовой выручки компании. Взыскание не может быть меньше 15 млн и больше 500 млн рублей. Для физлиц повторное нарушение обернётся взысканием от 500 до 800 тыс, а для должностных лиц — от 3 до 5 млн рублей.

Вторая новелла касается незаконного использования, передачи, сбора и хранения информации, содержащей персданные, а также создания ресурсов для нелегального хранения и распространения таких сведений.

За это предусматривается штраф до 300 тыс. рублей, четыре года тюрьмы или принудительные работы.

Если речь идёт о биометрических или медицинских данных, злоумышленникам грозит штраф в размере 700 тыс. рублей, 5 лет тюремного заключения или принудительных работ. Аналогичное наказание предлагают для создателей нелегальных программ и баз данных, которые используются для хранения и передачи такой информации.

За кражу личных данных, организацию утечек и создание баз данных, совершенных из корыстных побуждений или с использованием служебного положения, наказание может достигать 1 млн рублей или дохода за 2 года, а также тюремного заключения на 6 лет.То же самое предусмотрено за причинение крупного ущерба. За трансграничную передачу сведений предусмотрены 8 лет тюрьмы и штраф в 2 млн.

За незаконный оборот персональной компьютерной информации с тяжкими последствиями или организованные группой, посадят в тюрьму на 10 лет и оштрафуют на сумму до 3 млн рублей. Эти нормы хотят применять как к киберпреступникам, так и к обычным сотрудникам компаний, замешанным в незаконной передаче информации.