Усилилась ответственность за нарушения в области персональных данных

Вопрос регулирования персональных данных в первую очередь актуализировался со вступлением в силу с 30 мая Федерального закона № 420-ФЗ, который внес существенные изменения в КоАП РФ. А именно, были введены как отдельные дополнительные составы, так и повышены штрафы за уже имеющиеся составы правонарушений (см. таблицу).

Закрепленные в ч. 12-14 ст. 13.11 КоАП РФ составы варьируются в зависимости от количества субъектов персональных данных, чьи интересы были затронуты утечкой. В зависимости от количества таких субъектов, соответственно, зависит и корреспондирующий размер административного штрафа. Следует отметить, что минимальное нарушение, за которое установлен штраф должно касаться 1 000 субъектов и (или) 10 000 id.

При этом, под id понимается уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу (ч. 4 ст. 13.11 КоАП РФ).

 На дату вступления Закона № 420-ФЗ в силу, однако, не было опубликовано каких-либо официальных разъяснений в отношении того, как именно должен толковаться термин id и как, к примеру, должен оцениваться критерий «уникальности».

Также были предусмотрены новые составы за допущение «утечки» специальных категорий персональных данных и биометрии (ч.16-17 ст. 13.11 КоАП РФ).

Отдельно стоит отметить, что с 30 мая в связи с вступлением в силу Закона № 420-ФЗ также начнут действовать и так называемые «оборотные» штрафы. По сути это штрафы, предусмотренные ч. 15, 18 ст. 13.11 КоАП РФ за повторное совершение правонарушений, связанных с утечкой как общих, так и специальных или биометрических категорий персональных данных. 

Так, за повторную утечку персональных данных штраф для юридических лиц может составить до 3% от выручки (не менее 20 млн руб. и не более 500 млн руб.). При повторной же утечке биометрии или специальных категорий данных оборотный штраф также может составлять 3% от выручки, однако минимальный порог уже будет в размере 25 млн руб. (максимальный при этом также 500 млн. руб.).

В свете начала действия «оборотных» штрафов немаловажно помнить о том, что законодателем также были обозначены отдельные обстоятельства, которые могут быть расценены как «смягчающие» при назначении административного наказания.

Так, в ст. 4.1 КоАП РФ, устанавливающей общие правила назначения административного наказания, закрепляются смягчающие обстоятельства, которые могут быть учтены при расчете штрафа за повторную «утечку» иных категорий персональных данных и (или) специальных и биометрических персональных данных по  ч. 15 и части 18 ст. 13.11 КоАП РФ.

При одновременном выполнении смягчающих обстоятельств возможно существенное уменьшение штрафа.

30 мая вступил в силу Федеральный закон № 420-ФЗ, который существенно ужесточил ответственность за нарушения в сфере персональных данных, внося изменения в ст.13.11 КоАП РФ. Целью законодателя при принятии этого закона было стимулировать операторов к более ответственному подходу в работе с персональными данными.

Рассмотрим основные изменения.

·      Кроме заметного увеличения размеров штрафов по действующим составам введены новые составы правонарушений в ст. 13.11 КоАП РФ

- ответственность за неуведомление или несвоевременное уведомление Роскомнадзора об обработке персональных данных.

Ранее подобное нарушение могло быть квалифицировано по ст. 19.7 КоАП РФ, которая предусматривала маленький штраф (до 5 тыс. руб.), в связи с чем значительное количество операторов не уведомляло надзорный орган об обработке. Теперь это нарушение выделено в отдельный состав (ч. 10 ст. 13.11 КоАП РФ), предусматривающий штраф до 300 тыс. руб.

Именно с этим связан резкий рост количества поданных уведомлений во второй половине мая этого года. На настоящий момент Закон о персональных данных обозначает крайне узкий перечень исключений, когда компания может не подавать такое уведомление (ч. 2 ст. 22 Закона о персональных данных). Поэтому практически ко всем операторам, кто не направил уведомления до 30 мая, уже может быть применен новый штраф.

- ответственность за неуведомление или несвоевременное уведомление об утечке персональных данных.

В случае установления факта утечки персональных данных оператор обязан уведомить уполномоченный орган в течение 24 часов, а также направить более подробный отчет в течение 72 часов (ч. 3.1 ст. 21 Закона о персональных данных). Теперь за несвоевременное сообщение об утечке предусмотрены штрафы до 3 млн руб. (ч. 11 ст. 13.11 КоАП РФ). Новый состав призван мотивировать операторов выстраивать эффективную систему мониторинга и реагирования на инциденты.

- дифференцированная ответственность за утечку персональных данных.

Данное нововведение является наиболее революционным. Ранее в случае утечки персональных данных возможности Роскомнадзора были ограничены. Теперь же появилась целая группа новых составов, предусматривающих ответственность за «действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные» (ч. 12-18 ст. 13.11 КоАП РФ).

Размер штрафа по данным составам зависит от объема утекших данных, количества затронутых утечкой субъектов и категории данных: специальные, биометрические или «обычные». В частности, за утечку данных свыше 100 000 субъектов или свыше 1 млн идентификаторов, штраф может достигать 10-15 млн руб.  Более того, за повторную утечку предусмотрены оборотные штрафы до 3% годовой выручки (ч. 15 и ч. 18 ст. 13.11 КоАП РФ).

При этом устанавливаются смягчающие обстоятельства. Так, согласно ч. 3.4-2 ст. 4.1 КоАП, оборотные штрафы, могут быть снижены до 0,1 минимального размера, если оператор-нарушитель до момента вынесения постановления о наложении штрафа выполняет следующие условия:

1. в течение трех лет ежегодные расходы на услуги по обеспечению информационной безопасности составляли не менее 0,1% от общей выручки;
2. оператор может документально подтвердить соблюдение им требований к обработке данных в течение 12 месяцев до обнаружения правонарушения;
3. отсутствуют отягчающие обстоятельства.

·      Отмена «скидки» при быстрой уплате штрафа

50-процентная скидка при уплате административного штрафа в течение 20 дней, предусмотренная частью 1.3.3 ст. 32.2 КоАП РФ, не применяется к штрафам, налагаемым по ст. 13.11 КоАП РФ.

Все рассмотренные изменения соответствуют тренду последних лет на ужесточение регулирования в области обработки и защиты персональных данных. Насколько активно Роскомнадзор начнет применять к операторам новые санкции мы узнаем в ближайшее время.