Минюст России поддержал концепцию законопроекта о введении новых, а также об увеличении действующих штрафов за несоблюдение требований в сфере защиты персональных данных

Юридическая компания «Пепеляев Групп» сообщает, что Минюстом России подготовлен проект официального отзыва Правительства России на проект федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», вносимый в Госдуму сенаторами РФ А. А. Турчаком, И. В. Рукавишниковой, депутатом Государственной Думы А. Е. Хинштейном. Концепция законопроекта поддержана, однако есть ряд замечаний к предложенным изменениям.

С содержанием проекта федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» можно ознакомиться в нашем алерте.

Согласно тексту проекта официального отзыва Правительства России (далее – проект отзыва) предложенные размеры административных штрафов нуждаются в дополнительном обосновании и проработке, в частности, на предмет соразмерности и возможности их исполнения лицами, привлеченными к административной ответственности.

Ниже перечислены основные замечания, указанные в проекте отзыва.

• Необходимо уточнить, какие именно действия (бездействие) оператора, повлекшие неправомерную передачу информации, включающей персональные данные, будут влечь административную ответственность по ч. 12–14 ст. 13.11 КоАП РФ (в ред. законопроекта).
• Предлагаемую административную ответственность за утечку персональных данных специальной категории и биометрических персональных данных следует дифференцировать в зависимости от характера административного правонарушения и степени его общественной вредности.
• Возложение на индивидуальных предпринимателей равных с юридическими лицами мер административной ответственности за нарушение законодательства в области персональных данных может повлечь несоблюдение принципа индивидуализации административного наказания, которое подлежит назначению в том числе с учетом имущественного положения лица, привлекаемого к административной ответственности (ст. 4.1 КоАП).
• В целях стимулирования операторов персональных данных к добросовестному поведению необходимо предусмотреть в законопроекте осуществление добровольной денежной компенсации операторами персональных данных предполагаемого вреда, нанесенного субъектам персональных данных, в связи с установлением факта неправомерной передачи персональных данных в качестве смягчающего административную ответственность обстоятельства.

Проект отзыва должен быть рассмотрен Правительством России, подписан и направлен субъекту права законодательной инициативы для возможного внесения изменений в содержание законопроекта.

О чем подумать, что сделать?

Операторам персональных данных целесообразно уже сейчас:

• проверить наличие сведений об операторе в реестре операторов персональных данных Роскомнадзора. В случае отсутствия в Реестре сведений об операторе подать в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных (ст. 22 152-ФЗ);
• определить лиц, ответственных за выполнение требований о подаче уведомления о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, а также определить внутреннюю процедуру подачи такого уведомления (ч. 3.1 ст. 21 152-ФЗ);
• определить, применимы ли к оператору требования Приказа ФСБ России от 13.02.2023 № 77 «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных»;
• обеспечить информированность персонала о требованиях к обработке персональных данных, проводить регулярный контроль знаний.

Помощь консультанта

Специалисты «Пепеляев Групп» готовы оказать компаниям всестороннюю юридическую поддержку.

Спектр услуг «Пепеляев Групп» включает:

• проведение полного аудита (в том числе технического) процессов обработки персональных данных, выявление нарушений, приведение процессов в соответствие с требованиями законодательства;
• подготовка и направление уведомления о намерении осуществлять обработку персональных данных, уведомления о намерении осуществлять трансграничную передачу персональных данных;
• подготовка правовых заключений и проведение консультаций по вопросам обработки персональных данных;
• разработка локальных нормативных актов, направленных на выполнение требований законодательства о персональных данных;
• правовая поддержка при взаимодействии с Роскомнадзором и/или субъектом персональных данных;
• обучение персонала требованиям к обработке персональных данных;
• иные услуги.