«Жесткий пакет»

В Государственную Думу ФС РФ внесен пакет законопроектов об оборотных административных штрафах и лишении свободы на срок до 10 лет за утечки персональных данных. Вплотную парламент займется рассмотрением этих инициатив только после Нового года. Впрочем, юристы сомневаются в эффективности предложенных мер. «Защита персональных данных требует определенной санкционности, но появление столь жесткого пакета кажется чрезвычайно несвоевременным, поскольку на сегодняшний день отсутствует сколько-нибудь внятная, однозначная правоприменительная практика по вопросу о том, что является должной обработкой персональных данных, как обеспечивается требуемый контроль за их защитой», – полагает вице-президент Федеральной палаты адвокатов РФ Елена Авакян. Предложенные административные штрафы она называет «драконовскими».

В сопроводительных документах к пакету поправок приводятся такие данные: общий объем выявленных утечек за 2022 г. – более 1 млрд 130 млн записей, содержащих сведения о персональных данных граждан РФ, а в теневом сегменте интернета (даркнете) количество таких записей превышает 1 млрд 600 млн.

Закон «О персональных данных» признает таковыми фамилию, имя и отчество, адреса мест жительства и пребывания, номера мобильных и домашних телефонов, электронную почту, реквизиты различных документов и другие данные, позволяющие идентифицировать гражданина. А операторами персональных данных называет государственные и муниципальные органы, юридических и физических лиц, которые собирают или обрабатывают такие данные. Трудно сказать, кто в эпоху интернета их не собирает и не обрабатывает.

В КоАП РФ уже есть ст. 13.11, наказывающая за нарушения при сборе, хранении, использовании или распространении информации о гражданах. Эксперты констатируют: текущая практика показывает, что за утечки операторов персональных данных привлекают к ответственности по ч. 1 этой статьи. Максимальное наказание для юридических лиц – 100 тыс. рублей, однако обычно суд выбирает минимально возможные 60 тыс. рублей: такой размер штрафа был у большинства компаний, допустивших даже многомиллионные утечки. При повторном нарушении в течение года максимальный штраф для юрлиц поднимается до 300 тыс. рублей.

Нынешние штрафы «не соразмерны с возможными последствиями от произошедших утечек», говорится в пояснительной записке к законопроекту о внесении изменений в КоАП РФ. Чтобы простимулировать организации к инвестициям в защиту персональных данных, ст. 13.11 предложено радикально ужесточить.

Размер штрафа будет зависеть от объема «утекшей» информации. Минимальный штраф для юрлиц установлен в 3 млн рублей, максимальный – 15 млн рублей. В случае повторной утечки в течение года штрафы превращаются в оборотные: от 0,1% до 3% выручки компании за календарный год или часть текущего года, но не менее 15 млн рублей и не более 500 млн рублей.

Минимальное наказание для граждан, чьи действия или бездействие привели к утечке, предложено установить в размере 100 тыс. рублей штрафа, а для должностных лиц – 800 тыс. рублей; максимальное в случае повторного нарушения – 600 тыс. рублей для граждан и 4 млн для должностных лиц. И тут размер штрафа будет зависеть от объема «утекшей» информации.

Еще сильнее бить рублем обещают за утечки «специальной категории персональных данных» – сведений, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Авторы сами называют предложенные ими штрафы «суровыми».

За злонамеренный доступ к персональным данным, их похищение и распространение пока наказывают по ст. 272 УК РФ (до семи лет лишения свободы). Но, по мнению авторов второго законопроекта, этого недостаточно: нужна еще одна, новая статья 272.1, с наказаниями в виде штрафа до 300 тыс. рублей или до четырех лет принудительных работ, а то и лишения свободы на тот же срок за «незаконные использование и (или) передачу, сбор и (или) хранение компьютерной информации, содержащей персональные данные». Если незаконно получены персональные данные специальных категорий или биометрические, штраф вырастет до 700 тыс. рублей, а максимальный срок лишения свободы – до пяти лет.

За «трансграничную передачу компьютерной информации» с персональными данными, ввоз или вывоз носителей, содержащих такие данные, в том числе электронные (флешка или жесткий диск), предлагают наказывать безальтернативным лишением свободы на срок до восьми лет со штрафом до 2 млн рублей и возможным запретом на профессию на срок до четырех лет. Если в результате наступили тяжкие последствия, срок лишения свободы увеличивается максимум до 10 лет, штраф может достигать 3 млн рублей, а возможный запрет на профессию – пяти лет.

Отдельный состав придуман для тех, кто создает или обеспечивает работу информационных ресурсов в интернете, систем, программ, «заведомо предназначенных» для незаконного хранения, распространения или передачи информации с персональными данными (продажи, например): до пяти лет колонии со штрафом до 700 тысяч рублей и возможным запретом на профессию до двух лет. На случаи обработки персональных данных гражданами «исключительно для личных и семейных нужд» эта статья УК распространяться не будет.

Источник – еженедельник «Профиль».