Об этом заявил заместитель председателя комитета Госдумы по информполитике, связи и IT Андрей Свинцов. При этом срок вступления закона в силу может быть отложен в зависимости от готовности бизнеса к регулированию.
Законопроект был принят Госдумой в первом чтении в январе 2024 г. Согласно документу, если утечка данных будет составлять от 1 тыс. до 10 тыс. субъектов персональных данных и (или) от 10 тыс. до 100 тыс. идентификаторов, то административный штраф будет налагаться:
- на граждан в размере от 100 тыс. до 200 тыс. рублей;
- на должностных лиц - от 800 тысяч до 1 миллиона рублей;
- на юридических лиц - от 3 миллионов до 5 миллионов рублей.
Если утечка будет составлять от 10 тыс. до 100 тыс. субъектов персональных данных и (или) от 100 тыс. до 1 млн идентификаторов, то административный штраф будет налагаться:
- на граждан в размере от 200 тыс. до 300 тыс. рублей;
- на должностных лиц - от 1 млн до 1,5 млн рублей;
- на юридических лиц - от 5 млн до 10 млн рублей.
Если утечка будет составлять более 100 тыс. субъектов персональных данных и (или) более 1 млн идентификаторов, то административный штраф будет налагаться:
- на граждан в размере от 300 тыс. до 400 тыс. рублей;
- на должностных лиц - от 1,5 млн до 2 млн рублей;
- на юридических лиц - от 10 млн до 15 млн рублей.
За повторные утечки для граждан будет грозить штраф от 400 тыс. до 600 тыс. рублей, для должностных лиц – от 2 млн до 4 млн рублей. Для юридических же лиц хотят ввести оборотные штрафы – от 0,1% до 3% выручки за календарный год или за часть текущего года, но не менее 15 млн рублей и не более 500 млн рублей.
В случае же утечки персональных данных специальной категории будет предусмотрен штраф:
- для граждан от 300 тыс. до 400 тыс. рублей;
- для должностных лиц от 1,5 млн до 2 млн рублей
- для юридических лиц от 10 млн до 15 млн рублей.
При повторной утечке персональных данных специальной категории – от 500 тыс. до 800 тыс. рублей, от 3 млн до 5 млн рублей, от 0,1% до 3% выручки за календарный год или за часть текущего года, но не менее 20 млн рублей и не более 500 млн рублей соответственно.
Также предполагается увеличение ответственности за обработку персональных данных в случаях, не предусмотренных законодательством, либо обработку персональных данных, несовместимой с целями сбора таких данных: для граждан – штраф в размере от 10 тыс. до 15 тыс., для должностных лиц – от 50 тыс. до 100 тыс. рублей, для юридических лиц от 150 до 300 тыс. рублей.
При повторном нарушении же будет предусмотрен штраф в размере от 15 тыс. до 30 тыс. рублей, от 100 до 200 тыс. рублей, от 300 до 500 тыс. рублей соответственно.
Неуведомление либо несвоевременное уведомление оператором персональных данных уполномоченного органа о намерении осуществлять обработку будет влечь штраф в размере от 5 тыс. до 10 тыс. рублей для граждан, от 30 тыс. до 50 тыс. рублей для должностных лиц, от 100 тыс. до 300 тыс. рублей для юридических лиц.
В случае же неуведомления либо несвоевременного уведомления оператором уполномоченного органа об установлении факта неправомерной передачи персональных данных будет налагаться штраф:
- на граждан в размере от 50 тыс. до 100 тыс. рублей;
- на должностных лиц - от 400 тыс. до 800 тыс. рублей;
- на юридических лиц - от 1 млн до 3 млн рублей.
Также Андрей Свинцов отметил, что власти понимают, что бизнес выделит сегмент, работающий с персональными данными, в отдельное подразделение с минимальной выручкой, которому оборотные штрафы будут не критичны. Поэтому сейчас решается вопрос, что в таком случае считать оборотом компании — выручку холдинга, отдельного бренда или непосредственно компании-оператора данных. Помимо этого, участники рынка указывают на необходимость прописать в законе смягчающие обстоятельства для компаний, которые предпринимают достаточно мер для защиты персональных данных.
Скорее всего, в законе будет предусмотрена ответственность группы лиц, что потенциально позволит привлекать к ней все компании, входящие в группу. Такой подход уже известен российскому законодательству (например, в конкурентном праве), поэтому, скорее всего, искусственное дробление бизнеса никак не поможет избежать исчисления штрафа в пропорции от выручки всех компаний, входящих в группу лиц.
Юридическая фирма «Надмитов, Иванов и Партнеры» оказывает услуги и консультирует по вопросам защиты персональных данных.
Email: info@nplaw.ru
Тел.: +7 (495) 649-87-12