Речь идет о проекте федерального закона №502104-8 "О внесении изменений в Кодекс РФ об административных правонарушениях" (в части усиления ответственности за нарушение порядка обработки персональных данных) и о проекте федерального закона №502113-8 "О внесении изменений в Уголовный кодекс РФ" (в части установления ответственности за незаконные использование и передачу, сбор и хранение компьютерной информации, содержащей персональные данные).
Член комитета по государственному строительству и законодательству Дмитрий Вяткин на заседании Госдумы отметил, что в обоих законопроектах речь идет об усилении и установлении ответственности за нарушение порядка обработки персональных данных (ПДн), обращении с ними и иных правонарушениях и преступлениях: "Чтобы подготовить первый законопроект ко второму чтению, нам потребовалось 10 месяцев. По результатам рассмотрения изменений в Кодекс об административных правонарушениях депутаты и сенаторы высказали ряд предложений. Всего поступило 30 поправок, из них комитет рекомендует 16 к принятию и к отклонению 14".
Дмитрий Вяткин уточнил, что ответственность для нарушителей в зависимости от особенностей работы с ПДн в отдельных сферах, видах деятельности и у различных субъектов обработки и хранения ПДн будет распределена: именно для этих целей комитет ввел еще целый ряд составов административных правонарушений и уточнил санкции по сравнению с первым чтением, частично в сторону смягчения, частично в сторону усиления ответственности.
Согласно законопроекту, компаниям будет грозить штраф. Наказание будет впрямую зависеть от объема утечки: для юрлиц оно составит от 3 млн до 15 млн руб. В случае повторной утечки компании придется заплатить уже оборотный штраф: от 1% до 3% от ее прошлогоднего оборота. Самые жесткие санкции предусмотрены за утечки биометрических ПДн. При повторном нарушении - оборотный штраф может доходить до 500 млн руб.
Председатель ИТ-комитета Госдумы Александр Хинштейн, комментируя принятие второго законопроекта, отметил, что Роскомнадзор по-прежнему фиксирует высокий уровень утечек ПДн: "Мы впервые вводим уголовную ответственность за эти действия, причем серьезную, до 10 лет лишения свободы. Мы устанавливаем высокие штрафы и усиливаем административную ответственность".
Соучредитель российского сообщества специалистов по ПДн Russian Privacy Professionals Association (RPPA) Алексей Мунтян считает принятие Госдумой этих двух законопроектов важной вехой в нормативно-правовом регулировании сферы данных в нашей стране: "Оба законопроекта активно обсуждались и неоднократно корректировались еще с 2022 г., и ответственность, которая предусмотрена законопроектами, крайне жесткая. Я не уверен, что такое кардинальное ужесточение ответственности приведет к глобальному изменению ситуации с утечками персональных данных. Статистика показывает, что во многих случаях утечки ПДн происходят в компаниях, которые имеют необходимые ресурсы для обеспечения информационной безопасности. И эти компании, как правило, стараются добросовестно выполнять обязанности в этой области".
Руководитель направления консалтинга и аудита информационной безопасности ООО "Стэп Лоджик" (Step Logic) Алена Игнатьева считает, что уголовная ответственность должна быть соизмерима последствиям. "Объясню этот тезис на примере. Возьмем благотворительную организацию, помогающую детям. Предположим, что методологи при составлении формы согласия на обработку ПДн несовершеннолетних упускают некоторые аспекты - например, данные о состоянии здоровья несовершеннолетних хранятся и обрабатываются на web-сервере, который конфигурировал администратор компании. В результате содержимое web-сервера было проиндексировано зарубежными поисковыми системами".
Алена Игнатьева рассказала, что в этом случае руководителя организации могут привлечь к ответственности за незаконное распространение ПДн несовершеннолетних лиц, совершенное с использованием служебного положения, сопряженное с трансграничной передачей: "За это ему грозит лишение свободы на срок до восьми лет со штрафом до 2 млн руб. - УК РФ ст.272.1 ч.4. При этом если руководитель организации, например, продаст сервер с иными конфиденциальными документами (не ПДн), то будет привлечен к ответственности по ст.272, где максимальное наказание - до пяти лет лишения свободы".
Заместитель гендиректора Staffcop ("Атом Безопасность" входит в ГК "СКБ Контур") Юрий Драченин обратил внимание, что введение уголовной ответственности за ПДн - серьезный шаг, однако его эффективность будет зависеть от практического применения закона и разъяснения критериев привлечения к ответственности. "Нужно учитывать различные обстоятельства утечек данных: от случайных инцидентов и профессиональных кибератак до умышленных действий инсайдеров. Важно справедливо распределять ответственность, сосредоточить внимание на умышленных нарушениях и не привлекать компании к ответственности за инциденты, которые произошли, несмотря на применение всех необходимых мер безопасности", - подчеркнул Юрий Драченин.
Руководитель департамента аудита и консалтинга АО "Инфозащита" (Itprotect) Роман Писарев cчитает, что любое повышение штрафов ведет к повышению безопасности ПДн: "Это значит, что все больше компаний предпочтут выполнить требования законодательства, чтобы точно не платить штрафы. Также повысятся бюджеты на информационную безопасность тех компаний, которые уже провели серьезную работу в части защиты ПДн. Штрафы за некоторые нарушения с нововведениями стали еще серьезнее, а значит, повысится и уровень самих средств защиты, касающихся ПДн. Отмечу, что немаловажную роль тут будет играть и то, как эти штрафы будут взиматься. Но точно не стоит забывать, что стоимость защиты информации, как и прежде, не должна превышать целесообразность ее защиты".
Алексей Миколенко