Утечка персональных данных и введение оборотных штрафов за неё

Правительство России поддержало проект поправок в КоАП

Правительство России поддержало проект поправок в КоАП, резко увеличивающий штрафы для операторов персональных данных. Утечки наших личных тайн станут обременительным делом для тех, кто их не утаил.

Положительный отзыв

О получении положительного отзыва сообщил председатель Комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн. Он рассчитывает, что в ближайшее время в Госдуму будет внесен пакет соответствующих инициатив: вместе с поправки в КоАП будут предложены и изменения в Уголовный кодекс.

Размеры штрафов

Как рассказывалось ранее, наказание будет зависеть от количества пострадавших граждан. Если утечка персональных данных коснется от тысячи до 10 тысяч субъектов, то штраф для юридических лиц составит от 3 миллионов до 5 миллионов рублей. За утечку данных от 10 тысяч до 100 тысяч граждан штрафы уже составят от 5 миллионов до 10 миллионов рублей. Если в списках рассекреченных более 100 тысяч граждан, то оператору-нарушителю будет грозить штраф от 10 миллионов до 15 миллионов рублей.

Повторное нарушение

А вот за повторное нарушение предлагается штраф от 0,1 до 3 процентов выручки за календарный год или за часть текущего года, но не менее 15 миллионов рублей и не более 500 миллионов рублей, — рассказал Александр Хинштейн.

Защита персональных данных

По его мнению, высокие финансовые санкции заставят операторов тщательнее подходить к охране персональных данных. Ведь сегодня порой дешевле заплатить, чем устанавливать защитные системы.

Важность законопроекта

Член Комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин считает, что законопроект об оборотных штрафах — это документ, которого в индустрии очень ждали. Сегодня, когда количество утечек персональных данных и других инцидентов в цифровом пространстве продолжает расти, важно искать пути решения проблемы с разных сторон, — сказал он.

Увеличили штрафы за нарушения законодательства о персональных данных

Опубликован Федеральный закон от 12.12.2023 № 589-ФЗ, который внес изменения в КоАП РФ. Все операторы, которые обрабатывают персональные данные своих сотрудников и клиентов, должны проверить свои документы. О том, как поправки повлияют на бизнес и к каким изменениям готовиться, рассказываем в материале.

Как изменились штрафы

Возросли штрафы за нарушения в случаях, когда оператор обрабатывает персональные данные:

Операторами персональных данных могут быть:

• Российские юридические и физические лица
• Государственные и муниципальные органы

Иностранные юридические и физические лица, если они заключили договор или соглашение с гражданином РФ либо получили его согласие на обработку (ч. 1.1 ст. 1 Закона о персональных данных).

Каким другим критериям нужно соответствовать, чтобы считаться оператором? Что такое обработка персданных? Ответы на эти и другие вопросы — в материале Кто обрабатывает персональные данные.

Изменение размеров штрафов:

Оператор может обрабатывать персданные, если получил на это согласие субъекта (п. 1 ч. 1 ст. 6, п. 1 ч. 2 ст. 10, ч. 1 ст. 11 Закона о персональных данных). Но в ряде случаев оно не требуется.

Подробнее — в статье В каких случаях можно обрабатывать персональные данные.

Чтобы избежать претензий контролирующих органов, всем операторам нужно:

1. Проверить, в каких случаях обязательно получать письменное согласие субъекта на обработку персданных, и оформить согласия, если это необходимо. Перечень случаев — в статье Как оформить согласие на обработку персональных данных.

2. Привести формы согласия на обработку персданных в соответствие с требованиями Закона о персональных данных. Перечень сведений, которые должны быть включены в согласие, — в материале Как оформить согласие на обработку персональных данных.

Также Федеральный закон от 12.12.2023 № 589-ФЗ дополнительно предусмотрел штрафы за нарушения в области размещения биометрических персональных данных в ЕБС. Штраф для юрлиц — до 1 000 000 ₽.

К каким изменениям готовиться

В Госдуме РФ находятся на рассмотрении два законопроекта, которые ужесточат ответственность за нарушения законодательства о персональных данных. Так, планируют:

• Предусмотреть новые составы в КоАП РФ — например, установить административную ответственность за то, что оператор не уведомил Роскомнадзор о намерении осуществлять обработку персданных, а также об утечке таких данных (законопроект № 502104-8).
• Увеличить административные штрафы за обработку избыточных по содержанию и объему персданных, а также их обработку в случаях, которые не предусмотрены законодательством (законопроект № 502104-8).

## Введение ответственности за нарушение обработки персональных данных

_Елизавета Аришак, эксперт по юридическим вопросам_
_Екатерина Дорохова, редактор_

Президент РФ подписал Федеральный закон об ужесточении ответственности за нарушение правил обработки персональных данных граждан. Закон вступает в силу с 23 декабря 2023 года. Рассказываем, какие штрафы и за какие нарушения с указанного момента будут применяться к организациям и ИП.

## Штрафы за несогласованную обработку персональных данных

Подписанный президентом Федеральный закон от 12.12.2023 № 589-ФЗ значительно увеличивает размеры штрафов за обработку персональных данных граждан без их согласия. По новым правилам, операторы должны получить письменное согласие на обработку данных граждан.

### Новые штрафы с 23 декабря 2023 года

Физическим лицам, должностным лицам и организациям грозят следующие штрафы:

- Для граждан: от 10 000 до 15 000 рублей
- Для должностных лиц организаций и ИП: от 100 000 до 300 000 рублей
- Для организаций: от 300 000 до 700 000 рублей

Эти штрафы будут применяться с 23 декабря 2023 года.

Штрафы за нарушение правил обработки персональных данных

Повторное нарушение повлечет наложение штрафов в увеличенном размере:

• от 15 000 до 30 000 рублей – для граждан;
• от 300 000 до 500 000 рублей – для должностных лиц организаций;
• от 500 000 до 1 млн рублей – для ИП;
• от 1 млн до 1,5 млн рублей – для организаций.

Такие же штрафы повлечет за собой обработка персональных данных при наличии письменного согласия физлица, в котором отсутствуют часть обязательных сведений. Письменное согласие гражданина само по себе не является достаточным основанием для обработки его личных данных. Важно, чтобы такое согласие носило надлежащий характер.

Обязательные сведения в письменном согласии:

• ФИО и паспортные данные;
• наименование (или ФИО) и адрес оператора, получающего согласие на обработку персональных данных или лица, осуществляющего обработку персональных данных по поручению оператора;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов такой обработки;
• сведения об информационных ресурсах оператора (интернет-сайтах), посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными;
• срок, в течение которого действует согласие на обработку персональных данных;
• подпись физлица, предоставляющего свои данные.

Если в согласии отсутствует хотя бы часть из указанных выше сведений, обработка персональных данных будет считаться осуществленной без согласия физлица и оператора привлекут к ответственности по ч. 2 и 2.1 (при повторном нарушении) ст. 13.11 КоАП РФ.

Штрафы за размещение биометрических персональных данных

Одновременно закон вводит административные штрафы за нарушение правил размещения биометрических данных граждан. В этих целях с 23 декабря 2023 года вводится в действие новая ст. 13.11.3 КоАП РФ Нарушение требований в области размещения биометрических персональных данных.

Под биометрическими данными понимаются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются для идентификации физлица (ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ). Такие данные размещаются банками и МФЦ в Единой биометрической системе, в том числе для целей оказания государственных и банковских услуг дистанционным способом.

Биометрические данные могут собираться, размещаться и обновляться в Единой биометрической системе исключительно с письменного согласия физлица. Соответственно, ответственность по новой статье КоАП РФ будут нести банки и МФЦ. Штрафы на указанных субъектов станут налагаться за размещение и обновление персональных данных в Единой биометрической системе без согласия физлиц.

Штрафы по ст. 13.11.3 КоАП РФ с 23 декабря 2023 года

Штрафы за размещение и обновление персональных данных в Единой биометрической системе без согласия физлица:

• от 100 000 до 300 000 рублей – на должностных лиц кредитных учреждений и МФЦ;

• от 500 000 до 1 млн рублей – на банки и МФЦ.

Как обязать операторов персданных страховать риски утечек, не «убив» бизнес. В Совфеде обсудили новый законопроект

В России разрабатывается законопроект о системе страхования на случай утечек персональных данных. Документ направлен на борьбу с утечками: по задумке авторов, он обяжет компании, которые занимаются персданными, иметь у себя финансовое обеспечение для возмещения ущерба гражданам в случае утечек.

| | Основная суть, цель этого законопроекта в первую очередь — это финансово обеспечить выплату ущерба субъектам персональных данных, повысить уровень защищенности их прав, сделать так, чтобы компании серьёзнее относились с защите своих информационных ресурсов. И важная деталь — предотвратить излишний сбор компаниями персональных данных, которые им, в принципе, не нужны, — пояснил один из авторов законопроекта, член комитета Совета Федерации по конституционному законодательству и государственному строительству, зампред совета по развитию цифровой экономики Артем Шейкин. | |

| —————————————————— | ——————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————— | —————————————————— |

Благие намерения всем понятны, но регуляторы и игроки рынка имеют разное видение, каким должен быть этот законопроект. 22 февраля это обсудили в Совете Федерации.

У регуляторов и бизнеса много разных идей о том, что должно быть в готовящемся законопроекте

Сейчас оператором персданных в России является любая организация, обрабатывающая персданные, независимо от её размера и количества данных, которые она обрабатывает. Предлагаемый механизм, который обязывает каждого оператора иметь страховку или иные финансовые механизмы, нужно адресовывать тем компаниям, которые обрабатывают значительные объёмы персданных — например, от 100 тыс. записей или от 1 млн, считают в Роскомнадзоре. Такое предложение обусловлено тем, чтобы не потребовать несоразмерных усилий по финансовых гарантий от таких организаций, как управляющие компании или детские сады, пояснил замруководителя Роскомнадзора Милош Вагнер. Интервью TAdviser: Вячеслав Касимов, ИБ-директор МКБ — о применении DevSecOps при разработке веб-приложений

В ведомстве полагают, что к таким операторам было бы правильно предъявить не только требования страхования рисков, связанных с утечками персданных, но и предусмотреть механизм специальной аккредитации такого рода компаний и увязать обязанность такой аккредитации с размером возможного административного наказания, предусмотренного другим законопроектом — об оборотных штрафах за утечки.

| | Страховать нужно не только риски, связанные с компенсацией морального вреда и иных прав субъектов персональных данных, но и чтобы у операторов, которые обрабатывают значительное количество данных, была возможность заплатить административный штраф. Чтобы не было ситуаций, когда мы приняли закон, предусматривающий ответственность до 15 млн рублей, а компания обрабатывает большие объёмы данных и в случае утечек ничего, кроме банкротства или ликвидации ничего не может предложить, — отметил Милош Вагнер. | |

| —————————————————— | ———————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————— | —————————————————— |

Одна из идей, прозвучавших на обсуждении от участников, связана с тем, что страхование — это дополнительный административный барьер. И в то время, как мы стремимся в цифровое общество и развиваем технологии, он станет дополнительным бременем для небольших компаний. Можно было бы установить барьер, чтобы положения нового законопроекта не касались субъектов малого предпринимательства. Более того, есть идея и вовсе не относить малый бизнес к операторам персданных. Впрочем, со стороны регуляторов это поддержки пока не получило. В Роскомнадзоре занимают позицию, что утечки персданных — это крайне серьёзно, они могут повлиять на всю жизнь человека.

Президент Всероссийского союза страховщиков (ВСС) Евгений Уфимцев заявил, что страховое сообщество поддерживает инициативу по страхованию кибер-рисков, и что гарантии гражданам, чьи данные были использованы для нанесения им ущерба, должны быть обеспечены. Но во Всероссийском союзе страховщиков считают, что необходимо совершенствование этой инициативы в рамках представленного законопроекта.

Например, необходимо зафиксировать точные определения, а также лимиты и страховые суммы, иначе может возникать проблема, связанные с широким трактованием всех понесённых расходов. Также необходимо более чётко зафиксировать, чья ответственность страхуется. Должна быть какая-то классификация операторов, т.к. чувствительность утечки разных персданных разная: если утекли данные только с телефоном и местом жительства — это одно, а если данные, связанные с жизнью и здоровьем человека, с финансами, то это другой уровень чувствительности, пояснил Евгений Уфимцев.

Третий вопрос — нужно чётко определить позицию, что является страховым случаем: сам ли факт утечки или обращение людей, нанесение им ущерба или какие-то другие параметры. Без этого тоже может возникнуть проблема: появление каких-то данных в открытых источниках не всегда является подтверждением факта утечки и нанесения вреда человеку.

Вице-президент «Ростелекома» по ИБ Игорь Ляпунов на заседании в Совете Федерации заметил, что оборотные штрафы и законопроект о страховании рисков — это «колоссальный шаг, революция в защищённости персональных данных». Но он обозначил два вызывающих беспокойство момента. Первое, если говорить об оборотных штрафах, — это способ доказательства, что у оператора персданных произошла утечка. Сейчас здесь фактически действует презумпция виновности: регулятор говорит, что у компании утекло, выписывает предписание, и дальше компания должна доказать, что это утекло не у неё.

Что касается страхования рисков, непонятно, как оценить стоимость одной строчки персданных. Как её оценивать — это значимый фактор, т.к. от этого зависит, в каком объёме должно возникать финансовое обеспечение, и оно не должно быть запредельным, как, например, обеспечение в 500 млн рублей на 500 тыс. персональных данных. Для современных ИТ-компаний, которые работают на В2С-рынке, собрать на 100-500 тыс. персданных — это не много. И если наступит ответственность на 500 млн, то можно этот бизнес угробить, отметил Игорь Ляпунов.

Другой момент — в каком виде должно быть финансовое обеспечение. Любые формы, кроме страхования, — это способ изъятия финансовых средств из оборота компаний, из развития бизнеса, полагает вице-президент «Ростелекома» по ИБ.

Он также поднял вопрос о том, от утечки каких данных может наступить максимальный ущерб для субъекта. У государства, например, колоссальный объём самых разных персданных, и потенциально могут быть утечки. Будет ли государство компенсировать ущерб, если утечка произойдет по его вине? Замруководителя Роскомнадзора на это заметил, что по итогам 2023 года только 2 или 3 случая из 170 пришлись на государственные системы, в основном компрометируются данные из компаний коммерческого сектора. Милош Вагнер добавил, что речь в законопроекте всё-таки идёт о страховании риска компрометации данных, а ущерб, в том числе, моральный, доказывается затем в частном порядке через суд.

Директор департамента страхового рынка ЦБ Илья Смирнов заявил, что потребовать застраховать можно только ответственность, имущество — сильно сложнее. И при обсуждении страхования ответственности за утечку персданных необходимо учитывать следующее: сложно установить, что к ущербу привела конкретная утечка из конкретной компании.

| | Предположим, что была утечка у компании А, а потом по тому же человеку — у компании Б. Как доказать, что потери были у компании Б, и человек пострадал из-за этого? — привел пример Илья Смирнов. | |

| —————————————————— | ————————————————————————————————————————————————————————————————- | —————————————————— |

Важно также определить, кто будет контролировать наличие страховки — ФОИВы, Роскомнадзор, МВД, Минцифры, и насколько регулярным будет такой контроль, добавил он. И что будет, если у компании не окажется страховки: «Отсутствие страховки у «Ростелекома» будет означать, что он тоже не может функционировать на рынке»?

А гендиректор Национальной страховой информационной системы (НСИС) Николай Галушин полагает, что должна быть прямая связь между утечкой персданных и ущербом. Страхование может работать, только если физлицу нанесен ущерб. При этом о любом человеке в интернете есть вся информация, но наличие данных и ущерб от этого — разные вещи.

Законопроекты об оборотных штрафах и уголовной ответственности за утечки данных приняты в I чтении

Госдума 23 января 2024 года приняла в первом чтении законопроекты об административной и уголовной ответственности за утечки персональных данных. Об этом сообщила пресс-служба депутата ГосДумы РФ Антона Немкина.

Как отметил председатель Госдумы Вячеслав Володин, граждане обращаются с просьбой решить эту проблему.

| | Проводил опрос на эту тему в своем Telegram-канале — абсолютное большинство высказалось за необходимость усиления наказания за утечку персональных данных, — сказал, комментируя проект закона Володин. | |

| —————————————————— | ——————————————————————————————————————————————————————————————————— | —————————————————— |

Указанные законопроекты – самые обсуждаемые и самые ожидаемые за последние годы, причем и обществом, и отраслью, отметил Антон Немкин.

| | Актуальность их особенно очевидна на фоне катастрофы, которая происходит в части утечек персональных данных: только по официальным данным Роскомнадзора суммарно с 2022 по 2023 год зафиксировано более 300 утечек, в сеть утек почти миллиард строчек с данными россиян. Поэтому, у меня нет никаких сомнений, что наши законопроекты будут приняты очень оперативно, в эту сессию точно. И вот, первый шаг уже сделан — Госдума на пленарном заседании приняла в первом чтении оба законопроекта об административной и уголовной ответственности за утечки персональных данных, — сказал он. | |

| —————————————————— | ———————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————- | —————————————————— |

Так, в законопроекте, который предлагает дополнить новыми частями ст. 13.11 КоАП РФ (нарушение законодательства РФ в области персональных данных), стоит обратить внимание на то, что ужесточение наказания коснется не только самого факта утечки, но и ряда обязанностей операторов. Например, если невовремя уведомить или вообще не уведомить Роскомнадзор о намерении осуществлять обработку персональных данных, штраф для граждан может составить от 5 тыс. до 10 тыс. руб., для должностных лиц — от 30 тыс. до 50 тыс. руб., а для юрлиц — от 100 тыс. до 300 тыс. руб.

Отсутствие уведомления об инциденте с персональными данными или его несвоевременная отправка в Роскомнадзор (на это даются сутки) также повлечет для граждан штраф от 50 тыс. до 100 тыс. руб., для должностных лиц — от 400 тыс. до 800 тыс. руб., а для юрлиц — от 1 млн до 3 млн руб.

Также поправки к КоАП устанавливают штрафы до 15 млн рублей за утечку персональных данных. При этом предлагается вариативность размеров штрафа в зависимости от объема утечки – чем больше данных утекло, тем значительнее будет штраф. Наибольший размер штрафа предусмотрен для тех, кто допустил нарушение, и оно привело к неправомерной передаче информации, включающей персональные данные более ста тысяч субъектов персональных данных.

| | Однако самое серьезное наказание, конечно, касается тех, кто уже был оштрафован за действие или бездействие, повлекшее утечку данных, и при этом совершил это снова. Им грозит оборотный штраф, который может достигать 500 млн рублей, — добавил Немкин. | |

| —————————————————— | ————————————————————————————————————————————————————————————————————————————————————- | —————————————————— |

Вторым законопроектом Уголовный кодекс РФ предлагается дополнить статьей 272.1 (незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконного хранения и (или) распространения). Соответственно, уголовная ответственность будет предусмотрена для тех, кто незаконно собирает, хранит, использует и передает незаконно полученную компьютерную информацию, содержащую персональные данные. Также она грозит тем, кто незаконно передает базы данных с персональной информацией за рубеж или создает и администрирует сайты, которые позволяют незаконно хранить и предоставлять доступ к персональным данным.

По словам Немкина, законопроекты тщательно готовились с 2022 года.

| | Встречи с представителями отрасли проводились неоднократно, шли жаркие споры, проекты законов несколько раз дорабатывались, трансформировались. В той версии, в которой они были внесены в Госдуму, законопроекты, на мой взгляд, учитывают как минимум 80% всех имевшихся замечаний. Не исключено, что ко второму чтению они также могут быть доработаны, если отрасль или бизнес выступят с конструктивными предложениями. В частности, обсуждению еще подлежит механизм смягчения ответственности для операторов, пока к единому мнению прийти не удалось, — заключил парламентарий. | |

| —————————————————— | ————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————— | —————————————————— |

ИКТ-компании и банки просят доработать законопроект об уголовной ответственности за утечки данных

Ассоциация больших данных (АБД; в нее входят крупные российские ИКТ-компании и банки) в комитет Госдумы по госстроительству и законодательства письмо, в котором попросила депутатов уточнить формулировки законопроекта об уголовной ответственности за работу с персональными данными. Об этом обращении стало известно 16 января 2024 года.

Как пишет Forbes со ссылкой письмо АБД, ассоциация поддерживает уголовную ответственность за утечки данных, однако считает, что вводимый в УК состав должен быть однозначным, а ответственность должны нести взломщики и те, кто продает базы данных. В редакции законопроекта, внесенной в Госдуму в начале декабря 2023 года, состав «формален», отмечается в письме, а наказание предусмотрено за сбор и хранение данных вне зависимости от наличия умысла.

Бизнес попросил доработать инициативу об уголовной ответственности за утечки

Члены АБД предложили добавить формулировку: наказание «за заведомо незаконные сбор, хранение и использование персональных данных». Тем самым, как считают в ассоциации, можно будет избежать наказания тех, кто случайно получил доступ к персональным данным. Также бизнес предложил не привлекать к ответственности сотрудников подразделений информационной безопасности или экспертных учреждений, которые изучают утечки «в целях мониторинга защищенности и предотвращения атак на собственные информационные ресурсы».

Назначены наказания за громкие утечки данных из Минпросвещения, ЭКСМО и «Роза Хутор»

Суды выписали административные штрафы Минпросвещения РФ, Издательству «ЭКСМО», курорту «Роза Хутор», за утечки персональных данных, которые были опубликованы в начале июня 2023 года. Кроме того, было вынесено решение по утечке персональных данных пользователей сайта «МТВ.РУ», которая была зафиксирована 21 августа. В результате, все перечисленные компании получили административные штрафы в размере 60 тыс. рублей. Аналогичный процесс идет и против «Издательства АСТ», которое обжаловало решение суда.

В частности, суд установил, что 2 июня в открытом доступе оказалась база данных пользователей сайта «Российская электронная школа», содержащая 2,019 млн записей, которые включают в себя ФИО, номер телефона, адрес электронной почты, дата рождения, город, должность, место работы, место обучения, сведения о наличии детей. Утечка была результатом хакерской атаки на компоненты, обновления которых не было у оператора ПДн, однако суд не признал это смягчающим обстоятельством.

Изюминкой процесса является то, что обрабатывало данные не само Минпросвещения, но подведомственный институт – ФГАУ ГНИИ ИТТ «Информатика», против которого дела заведено не было. Причина в том, что согласия на обработку персональных данных, опубликованные на сайте «РЭШ», были оформлены от имени Министерства просвещения РФ.

Издательство «ЭКСМО» и курорт «Роза Хутор» также признаны виновными в нарушении закона №152-ФЗ «О персональных данных» и опубликовании 452 тыс. строк и 522 тыс. строк соответственно. В обоих случаях указывается, что в утечку вошли такие данные как фамилия, имя, отчество, дата рождения, номер телефона, адрес электронной почты. Для сайта eksmo.ru дополнительными полями были пол, сведения о писательской деятельности и адрес доставки. В обоих случаях причиной инцидента названа атака на CMS «1С-Битрикс», в которой была проэксплуатирована уязвимость.

Панорама на сайте курорта «Роза Хутор», который стал причиной утечки персональных данных посетителей

В постановлении по делу издательства «ЭКСМО» было отмечено следующее:

| | При этом обществом с ограниченной ответственностью ООО «Издательство «ЭКСМО» не представлено доказательств отсутствия реальной возможности исполнения требований действующего законодательства, а также принятия юридическим лицом всех зависящих от него мер по исполнению указанных требований. | |

| —————————————————— | ————————————————————————————————————————————————————————————————————————————————————————————————- | —————————————————— |

Вот тут-то и должны были бы вступить в силу те самые требования по безопасности ФСТЭК и подключения к ГосСОПКА. Если бы у издательства «ЭКСМО» была бы проведена аккредитация на соответствие требований ФСТЭК или хотя бы договор на взаимодействие с ГосСОПКА, то, возможно, и результат судебного разбирательства был бы другим. А, вероятно, и самого разбирательства не было бы, поскольку и ФСТЭК, и НКЦКИ рассылали предупреждения об обнаружении критических уязвимостей в CMS «1С-Битрикс», то есть ИТ-службы предприятий могли просто установить соответствующие обновления.

Причем если признавать свою вину, то судебный процесс будет проходить быстрее и с меньшим количеством подробностей – суду не нужно будет подробно формулировать обвинительную часть постановления. Именно так и случилось по делу «МТВ.РУ». Штраф при этом оказался таким же – 60 тыс. рублей, но опубликованных данных о самой утечке меньше.

Это важно потому, что в начале декабря в Госдуму внесен законопроект, который должен ужесточить административное наказание за не соблюдение требований законодательства в области персональных данных. После принятия этого законопроекта юридические лица не отделаются штрафом в 60 тыс. рублей — максимальная сумма штрафа может быть увеличена до 15 млн рублей, а за повторное нарушение вообще предусмотрен оборотный штраф до 3% от годовой выручки компании.

Объем штрафов за утечки данных в России вырос в 23 раза с 2021 года

За неполный 2023 год — с начала января по начало декабря — сумма штрафов за утечки персональных данных, которую постановили взыскать российские суды, превысила 4,6 млн рублей, что вдвое больше, чем годом ранее, и в 23 раза превосходит объем 2021 года. Такие данные в декабре 2023 года обнародовали в Роскомнадзоре.

Как пишут «Ведомости» со ссылкой на представителя Роскомнадзора, с начала января по начало декабря 2023 года суды рассмотрели 87 составленных ведомством протоколов по факту утечек персональных данных против 66 дел за весь 2022 год. В 2021-м Роскомнадзор составил только четыре протокола по таким нарушениям, а сумма штрафов по ним составила около 200 000 рублей.

Сумма штрафов за утечки персональных данных, которую постановили взыскать российские суды, превысила 4,6 млн рублей

Рост суммы штрафов связан с повышенным вниманием к проблеме утечек, а также с тем, что в последние годы увеличилось число утечек и случаев незаконной продажи персональных данных, считает руководитель направления «Разрешение IT & IP споров» юридической фирмы «Рустам Курмаев и партнеры» Ярослав Шицле.

По подсчетам опрошенных «Ведомостями» экспертов, с 1 января по начало декабря 2023 года в России было зафиксировано свыше 200 утечек персональных данных.

| | Их объем пока нельзя оценить точно, но, вероятнее всего, он составит не менее 300 млн строк уникальных клиентских данных, – подчеркнули собеседники издания (статья вышла 11 декабря 2023 года), отметив, что за весь 2021-й утечек было на уровне 260, но преступники получили лишь около 110 млн строк с клиентскими данными. | |

| —————————————————— | ——————————————————————————————————————————————————————————————————————————————————————————————————————————- | —————————————————— |

Депутаты серьезно ужесточают наказания за утечки персональных данных

Законопроект на сайте Госдумы

Кроме того вносится еще семь новых нарушений, которые подпадают под действие этой статьи: отсутствие уведомлений Роскомнадзора (до 300 тыс. руб.), нерасследование инцидентов с ИСПДн (до 3 млн руб.), преступная халатность (признаки уголовного деяния – до 5 млн руб.), средний размер утечки (до 10 млн руб.) и крупный (до 15 млн руб.), повторное нарушение (до 3% годовой выручки для юрлиц и до 4 млн для должностных лиц), утечка специальных ПДн (вне зависимости от объема – до 15 млн руб.) и ее повторение (до 3% годовой выручки юрлиц или 5 млн для должностных). Вступление в действие закона предусмотрено в течении месяца со дня его опубликования.

Изменение в Уголовный кодекс добавляет новую статью – 272.1, которая карает за «использование и(или) передачу, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконного хранения и (или) распространения».

Законопроект на сайте Госдумы

Наказание в этой статье предусмотрено в размере штрафа до 300 тыс. руб. или до 4 лет ограничения свободы для обычных ПДн, и до 700 тыс. руб. или до 5 лет – для специальных категорий данных. Отягчающими обстоятельствами служат корыстная заинтересованность, крупный ущерб, объединение в группу и служебное положение. В этом случае наказание увеличивается до 1 млн руб. или до 6 лет. В пояснении указано, что тяжкими последствиями является приостановка или нарушение деятельности оператора персональных данных, то есть имеется в виду ситуация, когда воровство данных прикрывается DDoS-атакой.

Отдельное наказание предусмотрено за трансграничную передачу персональных данных, правда в пояснении расшифровывается, что под этим подразумевается физический перенос данных через границу на каком-либо носителе. Наказание за это предусмотрено до 10 лет ограничения свободы или штраф до 3 млн руб.

Новая статья также определяет наказание за создание сайта или страницы в интернете специально предназначенных для незаконного хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей персональные данные. За это полагается штраф до 700 тыс. руб., либо наказание до 5 лет.

| | Самые значительные меры уголовной ответственности будут применяться к организованным группировкам, которые совершали незаконные действия с базами данных, содержащими персданные, полученные незаконным путем, что повлекло тяжкие последствия, – пояснил поправки Александр Хинштейн, председатель комитета Госдумы по информационной политике, в своем телеграмм-канале. – Предусмотрены крупные штрафы (до 3 млн рублей в случае тяжких последствий, либо действий орггруппы), запрет на занятие определенных должностей, принудительные работы и лишение свободы. Последняя санкция может достигать пяти лет, для создателей ресурсов, распространяющих краденые персданные. | |

| —————————————————— | ——————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————— | —————————————————— |

«Яндекс.Еда» выплатит пользователям компенсации за утечку их данных

В конце ноября 2023 года Санкт-Петербургский городской суд поставил точку в разбирательстве между пользователями «Яндекс.Еды» и сервисом: те требовали от компании компенсацию за утечку данных. Подробнее здесь.

Спикер Госдумы Володин узнал о желании россиян увеличить штрафы за утечки персональных данных

Председатель Государственной Думы Вячеслав Володин 3 октября 2023 года запустил у себя в Телеграмм-канале голосование об ужесточении ответственности компаний за утечку персональных данных граждан. Этот вопрос, по словам Володина, обсуждается в Госдуме.

На опрос, по состоянию на 4 октября, ответили 175 тыс. человек, из которых 93% требуют ужесточения штрафов за повторные утечки. В комментариях даже предлагают ввести уголовную ответственность с конфискацией имущества.

Читатели телеграм-канала Вячеслава Володина в подавляющем большинстве поддержали ужесточение штрафов за повторные утечки данных

Судя по всему, своим опросом Вячеслав Володин отреагировал на открытое письмо бизнес-сообщества, которое днем ранее ему направили представители «Опоры России», «Деловой России», Российского союза промышленников и предпринимателей, Торгово-промышленной палаты. Они-то и высказали предложение рассчитывать оборотный штраф за повторную утечку иначе: умножать размер предыдущего штрафа на порядковый номер правонарушения.

То есть если текущий законопроект предусматривает штраф в размере от 15 млн руб., то за третью утечку из того же оператора уже придется заплатить от 45 млн руб. В их предложении также есть требование, что с определенного количества повторных нарушений все-таки наступает уголовная ответственность.

Судя по голосованию в Телеграмм-канале, именно такая концепция ужесточения наказания для нарушителей закона №152-ФЗ `О защите персональных данных` и является наиболее популярной.

Собственно, процесс разработки законопроекта о введении оборотных штрафов был инициирован в январе 2023 года поручением Президента РФ – отчет о проделанной работе назначен был на июль. В середине лета было разработано предложение, которое председатель правительства Михаил Мишустин согласовал с Президентом. По данным РБК, в том законопроекте предлагалось ввести следующие штрафы: если утечка содержит от 1 тыс. до 10 тыс. записей ПДн, то, штраф для юрлиц составит от 3 млн до 5 млн руб.; от 10 тыс. до 100 тыс. — от 5 млн до 10 млн руб.; и более 100 тыс. — от 10 млн до 15 млн руб. При этом за повторное нарушение при любом объеме утёкшей информации, но от 1 тыс. субъектов предлагается штраф от 0,1 до 3% выручки проштрафившейся компании за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 млн руб. и не более 500 млн руб. За утечки биометрических персональных данных предлагалось штрафовать юрлица на сумму от 15 млн до 20 млн руб.

Однако на момент обсуждения Государственная Дума была на каникулах, поэтому немедленно после согласования законопроект невозможно было вынести на рассмотрение. Сейчас же, когда осенняя сессия уже началась, идет процесс доработки законопроекта, поскольку после публикации РБК к нему было много претензий со стороны операторов персональных данных и бизнес-сообщества.

Собственно текущее голосование как раз и является еще одной попыткой показать, что у народа есть четкое желание покарать те компании, которые допускают утечки, хотя далеко не все, голосующие за ужесточение наказания, понимают, что сейчас операторами персональных данных стали фактически все компании России, и для них подобные штрафы могут быть смертельны.

Жертвы утечек данных смогут получить компенсацию через Госуслуги

Правительство РФ поддержало инициативу Минцифры о компенсации пострадавшим от утечек персональных данных в рамках закона об оборотных штрафах. Об этом говорится в сообщении от 26 сентября 2023 года, опубликованном на официальном сайте министерства.

Финансовое возмещение нанесённого пользователю вреда компанией, которая допустила утечку, будет признаваться смягчающим обстоятельством. В этом случае к компании будут применяться пониженные оборотные штрафы.

Как это будет работать:

Компания должна сообщить пользователю об утечке, прислать ему SMS/e-mail на номер/адрес, которые были указаны при регистрации. Если компания готова выплачивать компенсацию — это будет напрямую указано в тексте сообщения. Минцифры также разместит эту информацию на Госуслугах.

После этого у пользователя будет 15 рабочих дней, чтобы подать заявку на Госуслугах на возмещение причинённого ущерба. Компания в течение 20 рабочих дней после получения заявок рассчитает объём денежной выплаты и направит через Госуслуги своё предложение всем обратившимся.

Пользователь сможет принять предложение или отказаться от него в течение 20 рабочих дней.

Если более 80% обратившихся согласятся на компенсацию, то компания должна будет выплатить её в течение 5 рабочих дней.

Роскомнадзор возьмет на себя сертификацию операторов персональных данных

19 июля 2023 года стало известно о планах Роскомнадзора взять на себя сертификацию операторов персональных данных. Как пишет «Коммерсантъ», ведомство предлагает ввести в готовящийся законопроект об оборотных штрафах за утечки персональных данных требование для компаний получать лицензию на обработку таких данных. Лицензированием должен заняться удостоверяющий центр регулятора.

Предполагается, что для этого Роскомнадзор будет проводить аудит ИТ-инфраструктуры компании на соответствие определенным критериям, пояснил изданию один из собеседников. Источник газеты, близкий к Минцифры, говорит, что инициативу могут распространить только на компании, обрабатывающие большой объем данных.

Роскомнадзор хочет взять на себя сертификацию операторов персональных данных

По мнению главного юрисконсульта практики интеллектуальной собственности юридической компании ЭБР Кирилла Ляхманова, если предлагаемую Роскомнадзором норму о лицензировании деятельности примут, то она, скорее всего, будет касаться всех обработчиков персональных данных, в противном случае «ее политический эффект будет стремиться к нулю». В самом Роскомнадзоре заявили, что ведомство не предлагает ввести лицензии на обработку персональных данных.

| | Это не так. Предложения в законопроект не предусматривают необходимость лицензирования или введения дополнительных разрешительных процедур. Речь идёт о повышении уровня защиты данных граждан для операторов, обрабатывающих значительные объёмы таких данных, — отметили в ведомстве. | |

| —————————————————— | ————————————————————————————————————————————————————————————————————————————————————————————— | —————————————————— |

Минцифры РФ введет внеплановые проверки допустивших утечки данных ИТ-компаний

9 июня 2023 года стало известно о том, что Минцифры РФ и Федеральная антимонопольная служба (ФАС) собираются снять мораторий на внеплановые проверки для ИТ-компаний, которые допустили утечку персональных данных или нарушили антимонопольное законодательство.

Как сообщает газета «Коммерсантъ», инспекции предлагается проводить в том случае, если «в Сети появится база данных, прямо или косвенно принадлежащая организации». Дело в том, что ситуация с утечками конфиденциальной информации в России ухудшается. По оценкам сервиса мониторинга даркнета DLBI, только в течение первого квартала 2023-го объём персональных данных граждан, незаконно попавших в интернет, превысил 118 млн уникальных записей. Это в 2,3 раза больше по сравнению с аналогичным периодом 2022 года. Предполагается, что риск попасть под внеплановую проверку со стороны регуляторов будет стимулировать российские компании к внедрению дополнительных средств обеспечения безопасности. Однако некоторые эксперты считают, что подобные меры не всегда будут действенными.

Минцифры и ФАС собираются снять мораторий на внеплановые проверки для ИТ-компаний, которые допустили утечку персональных данных или нарушили антимонопольное законодательство

| | Стремление государства регулировать цифровую среду в текущих условиях понятно. Но не всегда в утечке данных можно напрямую обвинить даже ИТ-компанию, тем более что чаще в подобных инцидентах фигурируют как раз другие отрасли, — отмечает замгендиректора Zecurion Александр Ковалев. | |

| —————————————————— | —————————————————————————————————————————————————————————————————————————————————————————————- | —————————————————— |

VK оштрафована за утечку данных пользователей почтового сервиса Mail.ru

11 мая 2023 года VK была оштрафована за утечку данных пользователей почтового сервиса Mail.ru. Соответствующее постановление вынес Мировой суд Савеловского района Москвы. Подробнее здесь.

НИУ ВШЭ оштрафовали на 60 тыс. рублей за утечку персональных данных

Национальный исследовательский университет «Высшая школа экономики» (НИУ ВШЭ) оштрафована на 60 тыс. рублей за утечку персональных данных. Соответствующее постановление 10 мая 2023 года мировой судья судебного участка №387 Центрального района города Москвы. Вуз был признан виновным в совершении административного правонарушения по части 1 статьи 13.11 КоАП РФ (Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяниях). Максимальный штраф по этой статье составляет 100 тыс. рублей. Подробнее здесь.

«Уралхим» оштрафован за утечку базы данных сотрудников

Мировой суд Пресненского района Москвы оштрафовал «Уралхим» на 60 тыс. рублей за утечку базы сотрудников. Один из крупнейших производителей минеральных удобрений признан виновным в нарушении закона о персональных данных. Подробнее здесь.

Суд в Москве оштрафовал Skyeng за утечку данных пользователей

1 марта 2023 года судебный участок Таганского района Москвы оштрафовал Skyeng на 60 000 рублей из-за утечки персональных данных пользователей онлайн-школы английского языка. Компания была признана виновной по ч. 1 ст. 13.11 КоАП (обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации). Максимальное наказание по статье — штраф в размере 100 000 рублей. Подробнее здесь.

Сервис «ТуТу» оштрафован за утечку данных пользователей

В начале марта 2023 года Таганского района Москвы оштрафовал сервис «Туту.ру» на 60 тыс. рублей за утечку пользовательских данных. Компания была признана виновной в совершении административного правонарушения, которое предусмотрено ч.1 ст.13.11 КоАП (нарушение законодательства Российской Федерации в области персональных данных). Подробнее здесь.