ИНФОЦЕНТР
1 февраля 2024
Персональные данные: ужесточение ответственности и другие законодательные инициативы

Законодателем рассматриваются и перешли на следующую стадию значимые проекты нормативных актов в сфере обработки персональных данных, которые актуальны для всех направлений бизнеса.

1.      23 января 2024 г. Госдума приняла в первом чтении законопроекты (№ 502104-8[1] и № 502113-8[2]), значительно увеличивающие ответственность за нарушения при обработке персональных данных.

Первый законопроект (№ 502104-8) вводит существенную административную ответственность за «утечки» персональных данных, в том числе оборотные штрафы.

В частности, предлагается дополнить ст. 13.11 КоАП РФ новыми частями 12–17, согласно которым за действия (бездействия) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные, может быть назначен значительный административный штраф, размер которого зависит от числа пострадавших субъектов, количества или чувствительности «утекших» данных.

Так, штраф для компаний может составить:

  • до 5 млн руб., если «утечка» коснется от 1 тыс. до 10 тыс. субъектов (и/или от 10 тыс. до 100 тыс. идентификаторов[3]);
  • до 10 млн руб., если пострадают от 10 тыс. до 100 тыс. субъектов (и/или от 100 тыс. до 1 млн идентификаторов);
  • до 15 млн руб. для инцидента в отношении свыше 100 тыс. субъектов (и/или более 1 млн идентификаторов) или за утечку информации, включающей специальную категорию персональных данных (например, о состоянии здоровья).

За повторное нарушение размер штрафа будет зависеть от совокупного размера выручки (до 3%) за предшествующий год (или иной указанный в законе период), но составит не менее 15 млн руб. (не менее 20 млн руб. при утечке специальной категории персональных данных) и не более 500 млн руб.

Также предусматривается ответственность за неуведомление (несвоевременное уведомление) Роскомнадзора о намерении осуществлять обработку персональных данных или об «утечке» (штраф до 300 тыс. руб. и до 3 млн руб. соответственно).

Второй законопроект предлагает ввести в УК РФ статью 272.1, устанавливающую новые составы преступлений (№ 502113-8):

  • незаконное использование и/или передача, сбор и/или хранение компьютерной информации, содержащей персональные данные, полученной незаконным путем. Наказание (с учетом отягчающих обстоятельств) - до 10 лет лишения свободы со штрафом в размере до 3 млн руб.; возможно лишение права занимать определенные должности или заниматься определенной деятельностью до 5 лет;
  • создание и/или обеспечение функционирования информационных ресурсов, информационных систем или программ, заведомо предназначенных для незаконного хранения, передачи компьютерной информации, содержащей персональные данные. Наказание - до 5 лет лишения свободы со штрафом в размере до 700 тыс. руб.; возможно лишение права занимать определенные должности или заниматься определенной деятельностью до 2 лет.

Срок представления поправок к законопроектам – до 6 февраля 2024 г.

2.      22 декабря 2023 г. в Госдуму внесен законопроект[4], предлагающий наделить Роскомнадзор правом проводить внеплановые выездные проверки при поступлении к нему информации об «утечках».

В качестве отдельного основания для проведения внеплановой выездной проверки, наравне с основаниями, предусмотренными Федеральным законом от 31 июля 2020 г. № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» (в частности, требование прокурора, поручение Президента РФ или Правительства РФ), вводится поступление в контрольный орган информации об «утечках» персональных данных.

Как отмечается в пояснительной записке, такое дополнительное основание необходимо для оперативного реагирования на инциденты, в том числе для выявления причин их возникновения и предотвращения новых.

При проведении проверок по данному основанию сохраняются общие правила проведения внеплановых выездных проверок, в том числе необходимость согласования с органами прокуратуры.

Проект планируется рассмотреть в весеннюю сессию. Срок представления отзывов, предложений и замечаний – до 7 февраля 2024 г.

3.      16 января 2024 г. принят в первом чтении законопроект[5], регулирующий деятельность в области исследований российского товарного рынка.

Законопроект № 412669-8 вводит механизм регулирования деятельности организаторов исследований структуры рынка потребления, т.е. российских компаний, оказывающих услуги по сбору, обработке и анализу данных о структуре товарного рынка в России и имеющих выручку за прошедший год не менее 30 млн руб. («организаторы исследований»). Под данными о структуре товарного рынка понимается информация об уровне спроса и предложения на товарном рынке в Российской Федерации и об условиях обращения определенного товара на соответствующем товарном рынке, обобщенные данные о потребителях, производителях и импортерах товаров, условиях реализации товаров и принципах определения их цены, иная информация, необходимая для продвижения определенного товара (категорий товаров) на рынке. Собираемая и обрабатываемая организаторами исследований информация потенциально может содержать и персональные данные.

Проект устанавливает ряд требований для организаторов исследований, в том числе:

  • осуществление иностранным лицом, лицом без гражданства или с двойным гражданством, аффилированными с ними лицами прямо или косвенно, совместно или по отдельности владения, управления либо контроля в отношении более чем 20% уставного капитала организатора исследований требует согласования с правительственной комиссией;
  • компания должна соблюдать требование о локализации в РФ баз данных в отношении данных, полученных в результате проведенных исследований;
  • компания обязана размещать на территории РФ технические средства, используемые для проведения исследований;
  • компания обязана не допускать исполнения иностранных решений о введении ограничительных мер в отношении России, граждан РФ или российских юридических лиц.

Организаторы исследований на основании представления антимонопольного органа, а также в случае оказания услуг по сбору, обработке и анализу данных о структуре товарных рынков более чем половины субъектов РФ подлежат включению в специальный реестр.

Срок представления поправок к законопроекту – до 14 февраля 2024 г.

4.      Запрет на коллекторскую деятельность организациям с недружественным иностранным участием.

Тренд на ограничение доступа иностранных лиц к персональным данным российских граждан продолжает проект Указа Президента РФ «Об особенностях осуществления деятельности по возврату просроченной задолженности физических лиц ‎отдельными категориями лиц»[6], который сейчас находится на стадии общественного обсуждения.

Предлагается запретить взыскивать долги россиян коллекторам, микрофинансовым организациям и банкам, если их учредителями (участниками), членами органов управления, в том числе единоличным исполнительным органом, являются иностранные лица из недружественных стран.

Как отмечается в пояснительной записке, одной из целей принятия акта выступает стремление законодателя ограничить для подобных взыскателей доступ к значительной части персональных данных россиян, поскольку это может угрожать экономической и национальной безопасности.

Общественное обсуждение проекта продлится до 31 января 2024 г.

РЕКОМЕНДАЦИИ:

  • Рассмотреть возможность предоставить предложения по рассматриваемым проектам нормативных актов.
  • Проанализировать бизнес-процессы и документацию на предмет того, как их нужно модифицировать в связи с уже введенным регулированием и в случае принятия проектов нормативных актов.

________________________________________________________________________________________________

[1] Законопроект № 502104-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (в части административной ответственности за «утечки» персональных данных): https://sozd.duma.gov.ru/bill/502104-8.

[2] Законопроект № 502113-8 «О внесении изменений в Уголовный кодекс Российской Федерации»: https://sozd.duma.gov.ru/bill/502113-8.

[3] Под идентификаторами понимаются уникальные обозначения сведений о физических лицах, необходимые для определения таких лиц (возможно, к таким обозначениям будут относиться, например, серия и номер паспорта, СНИЛС, ИНН).

[4] https://sozd.duma.gov.ru/bill/518022-8.

[5] https://sozd.duma.gov.ru/bill/412669-8.

[6] https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=144879.

 

Данный материал подготовлен исключительно в информационных и/или образовательных целях и не является юридической консультацией или заключением. ЕПАМ, его руководство, адвокаты и сотрудники не могут гарантировать применимость такой информации для Ваших целей и не несут ответственности за Ваши решения и связанные с ними возможные прямые или косвенные потери и/или ущерб, возникшие в результате использования содержащейся в данных материалах информации или какой-либо ее части.

Практики

КЛЮЧЕВЫЕ КОНТАКТЫ

Елена Агаева

Елена Агаева

Санкт-Петербург

Вернуться назад
Содержание данного информационного ресурса (сайт www.epam.ru), включая любую информацию и результаты интеллектуальной деятельности, защищены законодательством Российской Федерации и международными соглашениями. Любое использование, копирование, воспроизведение или распространение любой размещенной информации, материалов и (или) их частей не допускается без предварительного получения согласия правообладателя и влечет применение мер ответственности.

Комментарии, презентации и статьи юристов, размещенные на сайте www.epam.ru, или доступ к которым предоставлен через сайт www.epam.ru, отражают их личное мнение и собственные выводы, которые могут не совпадать с позицией Адвокатского бюро ЕПАМ.

Сведения и материалы, размещенные на сайте www.epam.ru, подготовлены исключительно в информационных целях и не являются юридической консультацией или заключением. Адвокатское бюро ЕПАМ, его руководство, адвокаты и сотрудники не могут гарантировать применимость такой информации для ваших целей и не несут ответственности за ваши решения и связанные с ними возможные прямые или косвенные потери и/или ущерб, возникшие в результате использования информации или какой-либо ее части, содержащейся на сайте www.epam.ru.
© Адвокатское бюро ЕПАМ. 1993-2024. Все права защищены. Политика обработки персональных данных
Создание сайтов – amigo.studio