Ужесточить нельзя смягчить
В Госдуму внесен новый законопроект о штрафах, в том числе оборотных, за утечку персональных данных.
Проблему с утечкой персональных данных законодатель планирует решить с помощью ужесточения административных штрафов: в Госдуму поступил законопроект №502104-8. Документ прокомментировала Кристина Лисицина, юрист INTELLECT.
Это один из самых суровых законопроектов: предусмотренная им ответственность для предпринимателей достигает полумиллиарда рублей. На протяжении трех лет бизнес предупреждали, что такой документ появится, однако невозможно было представить, что штрафы будут настолько беспощадными. Персональные данные, категория прежде вполне абстрактная, стали пугающе материальны.
Поправки предполагают не только ужесточение ответственности по уже имеющимся административным составам, но и добавление новых. И это без учета еще одного законопроекта, касающегося биометрических данных (находится на подписании у Президента).
Что изменится, если законопроект будет принят в текущей редакции
1. Штрафы для юрлиц за нарушение обработки персональных данных (далее – ПД) существенно увеличатся и составят:
- от 150 000 до 300 000 руб. (сейчас – от 60 000 до 100 000 руб.);
- от 300 000 до 500 000 руб. за повторное нарушение (сейчас – от 100 000 до 300 000 руб.).
2. Статья 13.11 КоАП дополнится сразу восемью новыми частями (с 10 по 17) с весьма чувствительными, если не сказать – болезненными, штрафами для юридических лиц и индивидуальных предпринимателей: нижняя граница ответственности за нарушения установлена на уровне 1 млн рублей, а верхняя может достигать 500 млн.
Столь «увесистыми» суммами компании и ИП планируется наказывать за:
- невыполнение (несвоевременное выполнение) оператором уведомления о намерении осуществлять обработку ПД – от 1 млн до 3 млн руб. (ч. 10);
- невыполнение (несвоевременное выполнение) оператором уведомления уполномоченного органа в случае установления факта неправомерной передачи/распространения ПД – от 1 млн до 3 млн руб. (ч. 11);
- совершение действий по неправомерной передаче ПД – от 3 млн до 15 млн руб. (суммы различаются в зависимости от количества субъектов ПД) (ч. 12-14);
- повторное совершение действий по неправомерной передаче ПД – от 0,1 % до 3 % совокупного размера выручки юрлица или ИП за предшествующий выявлению правонарушения календарный год, но не менее 15 млн и не более 500 млн руб. (ч. 15);
- совершение действия (бездействия), повлекшего неправомерную передачу ПД, подпадающих под специальную категорию, – от 10 млн до 15 млн руб. (ч. 16);
- совершение оператором, подвергнутым наказанию по составу ч. 12-14, нарушения, предусмотренного ч. 16, – от 0,1 % до 3 % совокупного размера выручки юрлица или ИП за предшествующий выявлению правонарушения календарный год, но не менее 20 млн и не более 500 млн руб. (ч. 17).
3. Появятся штрафы в размере нескольких миллионов рублей для должностных лиц – государственных или муниципальных служащих.
4. Будет введено новое понятие – «идентификатор», не предусмотренное в Законе о персональных данных. Как можно вносить такие изменения в административное законодательство без внесения поправок в специальный закон – непонятно. Неизвестны и последствия: как это понятие будет применяться контролирующими органами и не возникнет ли правовой неопределенности в результате отсутствия закрепления указанного термина в Законе №152-ФЗ.
Многие ли смогут заплатить?
Вопрос «индентификатора» – отнюдь не единственное «узкое» место законопроекта. Проблемой предложенных санкций, особенно с учетом их размера, является обширность категории «персональные данные» и отсутствие четких законодательных разграничений, по которым можно точно определить, какая именно информация о человеке относится к ПД.
Сомнения вызывают и соразмерность штрафов содеянному, и реальная возможность их оплаты субъектами предпринимательства. Даже сумма в миллион рублей может оказаться неподъемной для индивидуальных предпринимателей и юридических лиц, не говоря уже о более серьезных взысканиях.
Отдельно стоит остановиться на так называемых «оборотных» штрафах – тех, что представляют собой процент от размера годовой выручки. Под выручкой принято понимать совокупность всех полученных бизнесом денежных средств, без учета понесенных расходов. А значит, неизбежно возникает вопрос по компаниям, у которых расходы за предшествующий нарушению календарный год по каким-то причинам превышают доходы или равны им.
Без усиления информационной безопасности бизнесу теперь не обойтись
До сих пор бизнес не проявлял особой заинтересованности в усилении информационной безопасности, применении современных технологий и увеличении штата сотрудников, которые занимаются вопросами обработки персональных данных. Однако с введением новой жесткой системы штрафов предпринимателям, пожалуй, будет куда выгоднее вложить деньги в развитие собственной инфраструктуры, чем потратить их на уплату штрафа. В данном случае «кнут» может сработать как вполне эффективный стимул.
На сегодняшний день законопроект еще не прошел все необходимые законодательные фильтры. Но тенденция по усилению контроля и ужесточению административного законодательства, на наш взгляд, будет только набирать обороты. Поэтому рекомендуем бизнесу направить внимание и ресурсы на усиление информационной безопасности.
Источник: газета «ЭЖ-Юрист» (№49 (1300) / 2023)
Статьи экспертов юридической фирмы INTELLECT >>
Похожие материалы
