Персональные данные. Дайджест за 1–31 декабря 2023 г.

Принятые акты и проекты нормативных правовых актов

Вступил в силу закон, предусматривающий административную ответственность за незаконное размещение биометрических персональных данных, а также увеличение действующих штрафов за несоблюдение требований к обработке персональных данных

Речь идет о Федеральном законе от 12.12.2023 № 589-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее – КоАП РФ).

Так, размещение и обновление банками, МФЦ, иными организациями в случаях, определенных федеральными законами, биометрических персональных данных субъекта персональных данных в Единую биометрическую систему (ЕБС) с нарушением установленных требований повлечет наложение штрафа на должностных лиц в размере от 100 тысяч до 300 тысяч рублей; на юридических лиц – от 500 тысяч до 1 миллиона рублей по статье 13.11³ КоАП РФ .

Также увеличена административная ответственность за обработку персональных данных без согласия в письменной форме субъекта персональных данных либо обработку персональных данных с нарушением установленных требований к составу сведений, включаемых в такое согласие, а также за повторное совершение данного правонарушения (части 2 и 2.1 статьи 13.11 КоАП РФ).

В частности, в соответствии с частью 2 статьи 13.11 КоАП РФ за обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, предусматривается административная ответственность в виде административного штрафа в отношении граждан в размере от 10 тысяч до 15 тысяч рублей; должностных лиц - от 100 тысяч до 300 тысяч рублей; юридических лиц - от 300 тысяч до 700 тысяч рублей.

Частью 2.1 статьи 13.11 КоАП, предусматривающей административную ответственность за повторное совершение указанного административного правонарушения, в новой редакции закона устанавливаются административные штрафы в отношении граждан в размере от 15 тысяч до 30 тысяч рублей; должностных лиц - от 300 тысяч до 500 тысяч рублей; индивидуальных предпринимателей - от 500 тысяч до 1 миллиона рублей; юридических лиц - от 1 миллиона до 1,5 миллионов рублей.

Федеральный закон вступил в силу 23 декабря 2023.

Подробную информацию об увеличении штрафов за обработку персональных данных без согласия в письменной форме субъекта персональных данных либо обработку персональных данных с нарушением установленных требований к составу сведений, включаемых в такое согласие, можно найти в нашем алерте.

12.12.2023. Официальный интернет-портал правовой информации

В Госдуму внесен законопроект, устанавливающий оборотные штрафы за утечки персональных данных

Речь идет о законопроекте № 502104-8, которым предложены новые административные штрафы за невыполнение оператором требований Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ (далее – 152-ФЗ), а также увеличение действующих штрафов за несоблюдение требований к обработке персональных данных.

Напомним, что в настоящее время операторы, допустившие утечки персональных данных, привлекаются по части 1 ст. 13.11 КоАП РФ, предусматривающей максимальный размер штрафа для юридических лиц до 100 тысяч рублей (при повторном совершении административного правонарушения – до 300 тысяч рублей).

В пояснительной записке к законопроекту указывается, что его целью является стимулирование операторов персональных данных инвестировать в развитие инфраструктуры информационной безопасности и защиту персональных данных своих пользователей законопроектом.  Предлагается дополнить статью 13.11 КоАП РФ новыми составами административных правонарушений, предусматривающими установление административной ответственности за утечки баз данных, содержащие персональные данные.

04.12.2023. СОЗД

В Госдуму внесен законопроект, предусматривающий уголовную ответственность за незаконное использование и (или) передачу персональных данных

Речь идет о законопроекте № 502113-8, согласно которому Уголовный кодекс РФ (далее – УК РФ) дополняется новой статьей 272.1.  

Указанная статья предусматривает уголовную ответственность за использование и(или) передачу (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем, а также за создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для незаконного хранения и (или) распространения персональных данных.

Законопроектом предусмотрены штрафы в размере до 700 тысяч рублей и наказание в виде лишения свободы на срок до десяти лет.

В пояснительной записке уточняется, что данный законопроект предусматривает специальный объект преступного посягательства, что позволяет разграничивать новый состав УК РФ от правонарушений, ответственность за которые предусмотрена КоАП РФ в статье 13.11 «Нарушение законодательства РФ в области персональных данных», а также иных составов преступлений.

04.12.2023. СОЗД

Опубликован проектhttps://regulation.gov.ru/Regulation/Npa/PublicView?npaID=144512
 Приказа Минцифры РФ об изменении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных

С информацией о действующих Приказах, устанавливающих перечень таких индикаторов риска, (Приказ Минцифры России от 15.11.2021 № 1187, Приказ Минцифры от 17.08.2023 № 720) можно ознакомиться в нашем алерте.

Напомним, что выявление Роскомнадзором у оператора персональных данных хотя бы одного индикатора риска является основанием для проведения внепланового контрольного (надзорного) мероприятия (внеплановой проверки).

Проектом Приказа, опубликованным 22 декабря, перечень предлагается дополнить следующим индикатором риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных:

• «Выявление контролирующим органом в течение календарного года двух и более фактов непредставления контролируемым лицом, являющимся владельцем сайта и (или) страницы сайта в сети «Интернет», программы для электронных вычислительных машин, на которых применяются рекомендательные технологии, информации, связанной с применением рекомендательных технологий, а также доступа к программно-техническим средствам рекомендательных технологий по запросу контролирующего органа».

22.12.2023. Федеральный портал проектов нормативных правовых актов

Новости и события

Названы цели поправок об усилении ответственности за утечки персональных данных

Усиление ответственности за утечку персональных побудит руководство компаний формировать надежный контур защиты. Об этом рассказала первый зампред Комитета Совета Федерации по конституционному законодательству и госстроительству Ирина Рукавишникова.

«Внесенные 4 декабря в Госдуму законопроекты предусматривают увеличение административной ответственности за утечку персональных данных, а также введение уголовной ответственности за их незаконное использование», — отметила Ирина Рукавишникова, которая стала соавтором документов. Это, по ее словам, необходимая мера, особенно в условиях роста количества таких утечек за последнее время.

«Поправки в УК РФ предусматривают наказание до десяти лет лишения свободы, если утечка данных повлекла за собой тяжкие последствия либо была совершена организованной группой», — сообщила Ирина Рукавишникова. И добавила, что столь жесткие меры позволят усилить ответственность сотрудников компаний, имеющих доступ к персональным данным, отвечающих за обеспечение безопасности конфиденциальной информации граждан.

«Кроме того, они будут способствовать предупреждению многих преступлений в сфере использования персональных данных, что является важным шагом в борьбе с киберпреступностью», — заключила сенатор.

04.12.2023. Парламентская газета

В Госдуме поддержали законопроект, устанавливающий новые требования к обработке персональных данных

Документ был внесен в Госдуму кабмином в 2020 году, в первом чтении депутаты приняли его в начале 2021 года. Поправками дополняется Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

Законопроектом устанавливается новое регулирование сразу нескольких вопросов.

Во-первых, уточняются особенности обработки персональных данных, полученных в результате их обезличивания, при формировании составов таких данных.

Как отметил в ходе заседания глава комитета Александр Хинштейн, новые нормы устанавливают, что оператор персональных данных будет обязан по требованию Минцифры России обезличить обрабатываемые им персональные данные и предоставить их в государственную информационную систему (ГИС). Если у оператора нет технической возможности обезличить такие данные самостоятельно, то он передает в ГИС персональные данные, которые обезличиваются уполномоченным органом. При этом Минцифры будет обязано обеспечить конфиденциальность поступивших от операторов данных, а при поступлении необезличенных данных Минцифры будет самостоятельно их обезличивать.

«Определено, что Правительство РФ по согласованию с ФСБ установит порядок взаимодействия уполномоченного органа в сфере регулирования информационных технологий с операторами персональных данных и порядок взаимодействия государственной информационной системы уполномоченного органа и информационных систем операторов персональных данных», — отметил Хинштейн.

Во-вторых, новые нормы предусматривают возможность давать согласие на обработку персональных данных одновременно на несколько целей. Инициатива также вводит право предоставлять согласие на обработку личной информации нескольким лицам, осуществляющим эту деятельность по поручению оператора.

07.12.2023. ТАСС

Расширится перечень случаев, когда россияне смогут использовать биометрические персональные данные

Посадка на поезда и другие виды общественного транспорта, проход в метро, получение и отправка посылок «Почтой России» могут стать возможными по биометрическим данным в 2024 году. Об этом сообщил вице-премьер-руководитель аппарата Правительства РФ Дмитрий Григоренко.

Вторым значимым направлением станет, по словам вице-премьера, создание условий для использования биометрических данных для открытия бизнеса. «Идея в том, что сразу по биометрии открывается счет в банке, [получается] лицензия, разрешение, плюс облачная электронная подпись», — пояснил он.

Третьим направления внедрения биометрии, по словам Григоренко, должна стать замена данными документов, удостоверяющих личность.

07.12.2023. ТАСС

Объем штрафов за утечки персональных данных увеличился в 20 раз с 2021 года

Сумма штрафов за утечки персональных данных, которую постановили взыскать российские суды, в 2023 году выросла в 23 раза по сравнению с показателями 2021 года и в 2 раза по сравнению с 2022 годом, — следует из комментариев представителя Роскомнадзора.

«В 2023 году суды уже рассмотрели 87 составленных Роскомнадзором протоколов по факту утечек персональных данных и назначили штрафы на общую сумму более 4,6 млн рублей. В 2022 году Роскомнадзор составил и направил в суд 66 протоколов об административных правонарушениях, сумма штрафов составила более 2,4 млн рублей», — сообщил представитель Роскомнадзора.

11.12.2023. Ведомости

В Госдуме не поддерживают введение компенсации потерпевшим от утечки персональных данных

Комитет по информполитике Госдумы не поддерживает предложение Минцифры ввести механизм компенсации ущерба пострадавшим от утечки персональных данных в качестве смягчающего обстоятельства при назначении оборотных штрафов компаниям.

Об этом на пресс-конференции рассказал председатель комитета Александр Хинштейн.

«Идет дискуссия с Правительством, с отраслевыми ведомствами, с Министерством цифрового развития, которое настаивает на необходимости смягчающих факторов. Мы не исключаем такого подхода, но считаем, что это все должно быть очень жестко выверено и не может и не должно стать лазейкой для ухода недобросовестных участников рынка от ответственности», — сказал он.

По словам Хинштейна, одно из предложений Минцифры – это установить «прямую связь между определенным объемом инвестиций участника рынка в информационную безопасность».

Второе предложение Минцифры о введении в качестве смягчающего обстоятельства механизма компенсации, с помощью которого компанией в досудебном порядке могут быть урегулированы претензии пострадавших от утечек, профильный комитет не поддерживает.

«Мы считаем, что администрировать этот процесс невозможно. Конструкция, при которой нарушитель дальше рассылает 10%-ную скидку пользователям и считает, что таким образом инцидент исчерпан, нас устроить не может», — сказал Хинштейн.

21.12.2023. Интерфакс

В Госдуме предложили отменить мораторий на внеплановые проверки IT-компаний

Роскомнадзор сможет организовывать внеплановые проверки IT-компаний, но только в том случае, если они допустили утечку персональных данных пользователей. Соответствующий законопроект внесли на рассмотрение в Госдуму 22 декабря. По мнению его авторов, инициатива позволит эффективнее защищать личную информацию россиян, особенно в условиях гибридной войны. «Парламентская газета» рассказывает подробности.

Как указано в пояснительной записке к документу, актуальность законопроекта обусловлена резко выросшим количеством утечек персональных данных.

При этом Роскомнадзору в плане предотвращения утечек и наказания виновных сковывает руки мораторий на внеплановые проверки IT-компаний. Именно его и предлагают отменить авторы законопроекта.

«Мы предлагаем дать Роскомнадзору возможность принимать решения о проведении внеплановых проверок, необходимых для оперативного реагирования на инциденты, — пояснил в своем Telegram-канале председатель Комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн. — Но при сохранении их обязательного согласования с органами прокуратуры, что исключит риски излишнего административного давления на бизнес. Кроме того, законопроект дает право регулятору проверять исполнение законодательства в сфере связи без оглядки на мораторий».

По словам депутата, законопроект затронет прежде всего крупных сотовых операторов и провайдеров, а также банковский сектор и популярные цифровые сервисы вроде VK и Mail.ru, то есть тех, кто оперирует большими массивами персональных данных.

«Что немаловажно, основанием для проведения внеплановых проверок наравне с требованием прокурора или соответствующими поручениями органов власти станет факт поступления в Роскомнадзор информации об утечках персональных данных, — написал парламентарий в своем официальном Telegram-канале. — Эта инициатива позволит регулятору реагировать более оперативно, снизит риск распространения слитой информации и, следовательно, потенциал ее использования против наших граждан».