В Совете по правам человека при президенте России (СПЧ) готовят предложения по усилению мер ответственности за утечку персональных данных, рассказал «Известиям» член совета Кирилл Кабанов. СПЧ, по его словам, будет отстаивать позицию, связанную с введением уголовной ответственностью за хищение и торговлю личными сведениями.
Сейчас меры ответственности за утечку персональных данных регулирует статья 13.11 КоАП РФ, рассказала «Известиям» член Ассоциации юристов России, управляющий партнер «Легес Бюро» Мария Спиридонова. При отсутствии признаков уголовно наказуемого деяния нарушителям грозит штраф: для физических лиц — до 4 тыс. рублей, для должностных лиц — до 20 тыс., для юридических лиц — до 100 тыс. В случае повторного нарушения санкции растут.
Однако, одних штрафов для решения проблемы недостаточно, считают опрошенные «Известиями» члены СПЧ. Эта ответственность затрагивает в основном юридических лиц, отметил член совета Игорь Ашманов.
— Воруют в основном инсайдеры, а не компании. Соответственно, нужно наказывать именно тех, кто украл и продает потом сведения. Кроме того, еще один аспект — это халатность. Нужно наказывать не только самих сотрудников, но и их начальство. Это уже статья Уголовного кодекса. Даже оборотными штрафами, если они будут введены, эти нарушения не исправить. Сисадмина или IT-директора, которые воруют и продают данные, обороты компании не касаются, — сказал он «Известиям».
Сейчас хакеры всё чаще используют персональные данные не для получения коммерческой выгоды, а практически для терроризма, обратил внимание Игорь Ашманов.
— Например, чтобы добраться до жен военнослужащих, до самих военнослужащих, сотрудников спецслужб и так далее. Посеять панику. С таким терроризмом экономическими методами бороться невозможно. Должны быть реальные сроки, — уверен он.
Уголовная ответственность за утечку персональных данных должна быть сопоставима с нанесенным ущербом, полагает Кирилл Кабанов. Она может доходить до реальных сроков заключения в пять-шесть лет.
— В процессе хищения данных участвуют несколько субъектов. Первый — тот, кто похищает данные. Второй — кто допустил эту халатность. И третий — кто участвует в покупке и продаже информации. Каждый субъект должен получать соответствующее наказание, — отметил он.
Общественники планируют в начале февраля обсудить свои предложения с депутатами Госдумы, членами Совета Федерации, представителям Ростелекома, Минцифры и бизнеса.
— Прежде чем принимать меры, важно понять, как отреагируют на этот процесс все, кто в нем задействован. Мы готовим свою позицию, но она не является истиной в последней инстанции. С первых чисел февраля, я думаю, что мы начнем обсуждать существующие предложения, — пояснил Кирилл Кабанов.
Помимо штрафов, предусмотренных сейчас КоАП РФ, руководители компании, где произошел инцидент, могут понести дисциплинарную ответственность, отметила член Ассоциации юристов России Асия Мухамедшина.
— Статьями Трудового кодекса предусмотрен как выговор за нарушение при работе с персональными сведениями, так и увольнение работника за придание публичного статуса личной информации, — пояснила она.
Также, по ее словам, существует гражданско-правовая ответственность за утечку персональных данных — возмещение убытков за использование персональных сведений в корыстных целях при условии его установления законом или договором.
Также существует и уголовная ответственность за нарушение неприкосновенности частной жизни, к чему относят незаконное собирание или распространение сведений о персоне без ее согласия, добавил юрист Алексей Гавришев. Он напомнил, что такие действия наказываются штрафом в размере до 2 тыс. рублей или в размере заработной платы за 18 месяцев. Возможны также обязательные или исправительные работы, арест на четыре месяца или лишение свободы до двух лет.
«Чрезвычайной» назвал существующую в России ситуацию с утечкой информации председатель комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн. Он также уверен, что существующих мер по защите персональных данных недостаточно и необходимо усилить ответственность за их незаконный оборот. Он пообещал, что эта тема станет приоритетной для комитета и работа над соответствующим законопроектом будет ускорена.
Комитет активно прорабатывает совершенствование законодательства в сфере персональных данных, подтвердил «Известиям» его зампред Олег Матвейчев.
— Встает вопрос размеров нанесенного ущерба и ответственности за него, вплоть до уголовной. Этот вопрос требует как раз определенной дискуссии, — отметил он.
Законодатели готовы учесть мнение всех заинтересованных сторон, в том числе и общественников, заверил он.
Ранее президент России Владимир Путин по итогам декабрьской встречи с членами СПЧ поручил правительству до 1 июля 2023 года рассмотреть вопрос об установлении оборотных штрафов в отношении компаний, допускающих утечку персональных данных.
В январе Минцифры сообщило, что соответствующий законопроект разработан. Штрафы могут составить до 3% от оборота организации, рассказал глава ведомства Максут Шадаев. По его словам, смягчающим обстоятельством для компаний станет возмещение ущерба большей части пострадавшим от утечки. Сумма штрафа также может быть уменьшена, если организация инвестирует средства в инфраструктуру для обеспечения безопасности.
Законопроект сейчас находится в проработке, рассматриваются все поступившие предложения, сообщили «Известиям» в Минцифры.
«Рассчитываем, что документ будет готов в установленные президентом сроки и его поддержат все участники обсуждения», — говорится в ответ ведомства на запрос издания.
Основная задача законопроекта об оборотных штрафах — побудить операторов персональных данных вкладываться в защиту информации и повысить сохранность информации, заверили там.
Ксения Набаткина