Ужесточение ответственности за утечку персональных данных: как было и что будет
С началом наступившего года Минцифры вновь инициировало широкое обсуждение изменений действующего законодательства в части штрафов за утечку персональных данных (ПДн).
В связи с широко участившимися случаями масштабных утечек ПДн в крупнейших компаниях, Роскомнадзор ещё прошлым летом предлагал значительно ужесточить ответственность в виде повышения штрафов за подобные инциденты. Несмотря на актуальность вопроса, проект изменений до сих пор не был представлен. Тем не менее, в конце декабря Минцифры сообщило о том, что основные параметры изменений в ст. 13.11 КоАП уже разработаны, и в скором времени ведомство внесёт проект закона для обсуждения и дальнейшего принятия.
⚖️Основой новой системы штрафов должна стать метрика оборотности, по аналогии с рядом других составов в КоАП. Так, Минцифры считает, что штраф за единичный случай массовой утечки данных (от 10 000 до 100 000 субъектов) для юридического лица может составить 0,02% от оборота, но не менее 1 млн руб. (сейчас сумма такого штрафа не превышает 500.000 руб в случае повторного нарушения). Кроме того, ответственность за неправомерный или случайный доступ к ПДн отныне будет распространяться и на должностное лицо по аналогии с иными частями ст 13.11 КоАП. Предполагается, что такой штраф для должностного лица составит до 400.000 руб.
👉🏻Помимо этого, для случаев, если утечка затронет более 100 000 субъектов, будет установлен особы диапазон оборотного штрафа. Предполагается, что в рамках диапазона, штраф будет рассчитываться от размера суммы выручки компании за календарный год, предшествующий году, в котором был выявлен инцидент. Минимальный размер составит 5 млн руб., а максимальное значение может быть установлено на уровне 500 млн руб.
📌При этом, у компаний потенциально будет возможность снизить свою ответственность, в случае возмещения ущерба двум третям пострадавших от утечки, а также сертификация всей инфраструктуры в соответствии с требованиями безопасности.
Предполагается, что внедрение столь серьёзных штрафных санкций сможет мотивировать компании уделить соответствующее внимание проблеме потенциальных утечек ПДн и внедрить достаточные меры защиты.
#ПДн #инициативы #новостирегулятора
С началом наступившего года Минцифры вновь инициировало широкое обсуждение изменений действующего законодательства в части штрафов за утечку персональных данных (ПДн).
В связи с широко участившимися случаями масштабных утечек ПДн в крупнейших компаниях, Роскомнадзор ещё прошлым летом предлагал значительно ужесточить ответственность в виде повышения штрафов за подобные инциденты. Несмотря на актуальность вопроса, проект изменений до сих пор не был представлен. Тем не менее, в конце декабря Минцифры сообщило о том, что основные параметры изменений в ст. 13.11 КоАП уже разработаны, и в скором времени ведомство внесёт проект закона для обсуждения и дальнейшего принятия.
⚖️Основой новой системы штрафов должна стать метрика оборотности, по аналогии с рядом других составов в КоАП. Так, Минцифры считает, что штраф за единичный случай массовой утечки данных (от 10 000 до 100 000 субъектов) для юридического лица может составить 0,02% от оборота, но не менее 1 млн руб. (сейчас сумма такого штрафа не превышает 500.000 руб в случае повторного нарушения). Кроме того, ответственность за неправомерный или случайный доступ к ПДн отныне будет распространяться и на должностное лицо по аналогии с иными частями ст 13.11 КоАП. Предполагается, что такой штраф для должностного лица составит до 400.000 руб.
👉🏻Помимо этого, для случаев, если утечка затронет более 100 000 субъектов, будет установлен особы диапазон оборотного штрафа. Предполагается, что в рамках диапазона, штраф будет рассчитываться от размера суммы выручки компании за календарный год, предшествующий году, в котором был выявлен инцидент. Минимальный размер составит 5 млн руб., а максимальное значение может быть установлено на уровне 500 млн руб.
📌При этом, у компаний потенциально будет возможность снизить свою ответственность, в случае возмещения ущерба двум третям пострадавших от утечки, а также сертификация всей инфраструктуры в соответствии с требованиями безопасности.
Предполагается, что внедрение столь серьёзных штрафных санкций сможет мотивировать компании уделить соответствующее внимание проблеме потенциальных утечек ПДн и внедрить достаточные меры защиты.
#ПДн #инициативы #новостирегулятора
Новая защита персональных данных
С 1 марта вступила в силу последняя часть недавних масштабных поправок в Закон "О персональных данных". Изменения коснулись целого ряда положений, включая трансграничную передачу ПДн, уничтожения данных, а также учёта инцидентов, связанных с утечками персональной информации.
Согласно тексту принятого ещё в июле закона, в 152-ФЗ были внесены следующие новшества.
📌Самые масштабные изменения коснулись трансграничной передачи ПДн. Начиная с 1 марта (для тех, кто не успел подать заявление о передаче в уведомительной форме) действует т.н. «разрешительный» порядок осуществления трансграничной передачи. Это означает, что в соответствии с новой редакцией ст. 12 Закона, оператор обязан уведомить Роскомнадзор (РКН) о том, куда, на каком основании и с использованием каких средств защиты он осуществляет передачу данных за рубеж.
Если в списке принимающих стран есть государства, не обеспечивающие адекватную защиту ПДн, то оператору придётся дождаться прямого разрешения от РКН на дальнейшую передачу (до этого момента трансграничная передача ПДн должна быть приостановлена).
Операторам, подавшим уведомление о трансграничной передаче до 1 марта, не надо будет подавать новое уведомление после этой даты, до тех пор, пока в их деятельности не произойдут изменения, которые предполагают создание новых трансграничных потоков данных (в случае изменения стран или целей передачи).
📌Оценку вреда, который может быть причинен субъектам ПДн в случае нарушения Закона нужно будет осуществлять в соответствии с новыми требованиями, утверждёнными приказом РКН. В частности, операторам надлежит определять одну из степеней потенциального вреда системам ПДн: высокую, среднюю или низку.
📌С 1 марта необходимо по-новому подтверждать уничтожение ПДн, Факт такого уничтожения нужно будет фиксировать в соответствии с требованиями, установленными Роскомнадзором. Оператором нужно будет составлять акт об уничтожении ПДн, осуществлять выгрузку из журнала регистрации событий и т.д.
Обеспечить уничтожение ПДн оператор будет обязан, помимо прочего, в случае:
✅выявления неправомерной обработки ПДн;
✅подтверждения факта неточности ПДн;
✅достижения цели обработки ПДн;
✅отзыва субъектом своего согласия на обработку.
📌Роскомнадзор начинает вести реестр учета инцидентов в области ПДн. Операторы будут обязаны взаимодействовать с ведомством для ведения такого учёта и информировать об инцидентах, связанных с утечками ПДн.
Кроме того, в соответствии с поправками, информация о компьютерных инцидентах, повлекших неправомерную или случайную передачу ПДн, должна быть передана в ФСБ в рамках взаимодействия службы с РКН.
Помимо этого, в марте также ожидается законопроект об увеличении ответственности операторов за указанные утечки ПДн.
#ПДн #регулирование
С 1 марта вступила в силу последняя часть недавних масштабных поправок в Закон "О персональных данных". Изменения коснулись целого ряда положений, включая трансграничную передачу ПДн, уничтожения данных, а также учёта инцидентов, связанных с утечками персональной информации.
Согласно тексту принятого ещё в июле закона, в 152-ФЗ были внесены следующие новшества.
📌Самые масштабные изменения коснулись трансграничной передачи ПДн. Начиная с 1 марта (для тех, кто не успел подать заявление о передаче в уведомительной форме) действует т.н. «разрешительный» порядок осуществления трансграничной передачи. Это означает, что в соответствии с новой редакцией ст. 12 Закона, оператор обязан уведомить Роскомнадзор (РКН) о том, куда, на каком основании и с использованием каких средств защиты он осуществляет передачу данных за рубеж.
Если в списке принимающих стран есть государства, не обеспечивающие адекватную защиту ПДн, то оператору придётся дождаться прямого разрешения от РКН на дальнейшую передачу (до этого момента трансграничная передача ПДн должна быть приостановлена).
Операторам, подавшим уведомление о трансграничной передаче до 1 марта, не надо будет подавать новое уведомление после этой даты, до тех пор, пока в их деятельности не произойдут изменения, которые предполагают создание новых трансграничных потоков данных (в случае изменения стран или целей передачи).
📌Оценку вреда, который может быть причинен субъектам ПДн в случае нарушения Закона нужно будет осуществлять в соответствии с новыми требованиями, утверждёнными приказом РКН. В частности, операторам надлежит определять одну из степеней потенциального вреда системам ПДн: высокую, среднюю или низку.
📌С 1 марта необходимо по-новому подтверждать уничтожение ПДн, Факт такого уничтожения нужно будет фиксировать в соответствии с требованиями, установленными Роскомнадзором. Оператором нужно будет составлять акт об уничтожении ПДн, осуществлять выгрузку из журнала регистрации событий и т.д.
Обеспечить уничтожение ПДн оператор будет обязан, помимо прочего, в случае:
✅выявления неправомерной обработки ПДн;
✅подтверждения факта неточности ПДн;
✅достижения цели обработки ПДн;
✅отзыва субъектом своего согласия на обработку.
📌Роскомнадзор начинает вести реестр учета инцидентов в области ПДн. Операторы будут обязаны взаимодействовать с ведомством для ведения такого учёта и информировать об инцидентах, связанных с утечками ПДн.
Кроме того, в соответствии с поправками, информация о компьютерных инцидентах, повлекших неправомерную или случайную передачу ПДн, должна быть передана в ФСБ в рамках взаимодействия службы с РКН.
Помимо этого, в марте также ожидается законопроект об увеличении ответственности операторов за указанные утечки ПДн.
#ПДн #регулирование
Минэк выступил против крупных оборотных штрафов за утечки ПДн
В своём отзыве на законопроект о введении оборотных штрафов за утечки личной информации, принадлежащей физическим лицам, ведомство предложило существенно снизить предлагаемые пороги административного взыскания.
Минцифры продолжает работу по подготовке законопроекта о введении оборотных штрафов для юридических лиц в случае допущения ими утечки персональных данных.
📌Предполагается, что если утечка касается от 1 тыс. до 10 тыс. субъектов ПДн, штраф для юрлиц составит от 3 млн до 5 млн руб.; за утечку данных от 10 тыс. до 100 тыс. субъектов — от 5 млн до 10 млн руб.; более 100 тыс. — от 10 млн до 15 млн руб.📌
При этом, в случае повторного нарушения, предлагается накладывать штраф от 0,1 до 3% выручки за календарный год, предшествующий нарушению. Верхняя граница взыскания не должна превышать 500 млн руб.
В свою очередь Минэк посчитало, что предлагаемый размер наказания является «неоправданно высоким», и такого рода штрафы нуждаются в дополнительном основании и должны иметь чёткие критерии применения, чтобы исключить наказание за «мнимые» утечки.
Ранее Минцифры отдельно настаивало на том, что смягчающим обстоятельством может быть ситуация, при которой компания аттестовала и сертифицировала всю инфраструктуру в соответствии с требованиями безопасности, а также, если компания будет готова компенсировать ущерб тем гражданам, чьи данные утекли.
Поправки в КоАП, касающиеся штрафов за утечки ПДн остаются одной из самых обсуждаемых инициатив. При этом, Правительство до сих пор не предоставило для публичного обсуждения официальный текст документа несмотря на то, что Минцифры планировало, что изменения вступят в силу уже в начале 2024 г.
Мы продолжим следить за ходом обсуждения данной инициативы.
#ПДн #Инициативы
В своём отзыве на законопроект о введении оборотных штрафов за утечки личной информации, принадлежащей физическим лицам, ведомство предложило существенно снизить предлагаемые пороги административного взыскания.
Минцифры продолжает работу по подготовке законопроекта о введении оборотных штрафов для юридических лиц в случае допущения ими утечки персональных данных.
📌Предполагается, что если утечка касается от 1 тыс. до 10 тыс. субъектов ПДн, штраф для юрлиц составит от 3 млн до 5 млн руб.; за утечку данных от 10 тыс. до 100 тыс. субъектов — от 5 млн до 10 млн руб.; более 100 тыс. — от 10 млн до 15 млн руб.📌
При этом, в случае повторного нарушения, предлагается накладывать штраф от 0,1 до 3% выручки за календарный год, предшествующий нарушению. Верхняя граница взыскания не должна превышать 500 млн руб.
В свою очередь Минэк посчитало, что предлагаемый размер наказания является «неоправданно высоким», и такого рода штрафы нуждаются в дополнительном основании и должны иметь чёткие критерии применения, чтобы исключить наказание за «мнимые» утечки.
Ранее Минцифры отдельно настаивало на том, что смягчающим обстоятельством может быть ситуация, при которой компания аттестовала и сертифицировала всю инфраструктуру в соответствии с требованиями безопасности, а также, если компания будет готова компенсировать ущерб тем гражданам, чьи данные утекли.
Поправки в КоАП, касающиеся штрафов за утечки ПДн остаются одной из самых обсуждаемых инициатив. При этом, Правительство до сих пор не предоставило для публичного обсуждения официальный текст документа несмотря на то, что Минцифры планировало, что изменения вступят в силу уже в начале 2024 г.
Мы продолжим следить за ходом обсуждения данной инициативы.
#ПДн #Инициативы
MedPharma Pulse
Разработан механизм компенсации физлицам за утечки личной информации
Минцифры подготовило концепцию механизма материального возмещения лицам в случае незаконного раскрытия их персональных данных. Как предполагается, физические лица смогут получать компенсацию при помощи специального алгоритма действий, связанных с сервисом «Госуслуги»
Примечательно, что подобная инициатива является весьма редким примером. В большинстве случаев, связанных с административными правонарушениями, штрафы взыскиваются в пользу государства, которое, в свою очередь, от такого нарушения не пострадало. Таким образом, предлагаемая идея представляет собой публично-правовой механизм защиты физических лиц от нематериального вреда, причинённого в рамках административного нарушения.
Ожидается, что Правительство РФ поддержит данную инициативу и выступит с предложением о проекте соответствующего Постановления.
Кроме того, планируется, что соответствующие нормы будут также добавлены в ст. 13.11 КоАП после обсуждения законопроекта об оборотных штрафах компаниям за утечки личной информации.
#ПДн #инициативы
Минцифры подготовило концепцию механизма материального возмещения лицам в случае незаконного раскрытия их персональных данных. Как предполагается, физические лица смогут получать компенсацию при помощи специального алгоритма действий, связанных с сервисом «Госуслуги»
Примечательно, что подобная инициатива является весьма редким примером. В большинстве случаев, связанных с административными правонарушениями, штрафы взыскиваются в пользу государства, которое, в свою очередь, от такого нарушения не пострадало. Таким образом, предлагаемая идея представляет собой публично-правовой механизм защиты физических лиц от нематериального вреда, причинённого в рамках административного нарушения.
Ожидается, что Правительство РФ поддержит данную инициативу и выступит с предложением о проекте соответствующего Постановления.
Кроме того, планируется, что соответствующие нормы будут также добавлены в ст. 13.11 КоАП после обсуждения законопроекта об оборотных штрафах компаниям за утечки личной информации.
#ПДн #инициативы
Внесён законопроект об оборотных штрафах за утечки ПДн
В Государственную Думу поступил пакет документов о внесении изменений в Закон о персональных данных и КоАП РФ в части ужесточения ответственности операторов за утечки ПДн.
Согласно тексту опубликованного проекта изменений, размер денежных штрафов будет рассчитываться путём определения периметра субъектов, которых затронет потенциальная утечка. Так, если утечка коснётся:
📌от 1 тысячи до 10 тысяч субъектов ПДн, штраф для юридических лиц составит от 3 миллионов до 5 миллионов рублей;
📌от 10 тысяч до 100 тысяч субъектов ПДн — от 5 миллионов до 10 миллионов рублей;
📌в случае утечки более 100 тысяч субъектов — от 10 миллионов до 15 миллионов рублей.
За повторные утечки предлагается ввести оборотные штрафы от 0,1 до 3% выручки за календарный год или за часть текущего года. При этом, сумма такого штрафа не сможет составлять менее 15 миллионов рублей и не сможет превышать 500 миллионов рублей.
Помимо этого, законопроектом предусматривается введение уголовной ответственности за использование, передачу, сбор и хранение ПДн, полученных незаконным путём, а также за создание информационных ресурсов, распространяющих ПДн.
При этом, из финального текста законопроекта исчезло упоминание о возможных способах снижения ответственности оператора путём возмещения вреда, причинённого утечкой, самому субъекту ПДн.
Внесение законопроекта планировалось с 2022 года, теперь его принятие в трёх чтениях планируется завершить до конца текущего месяца.
#регулирование #ПДн #банкротствонаровномместе
В Государственную Думу поступил пакет документов о внесении изменений в Закон о персональных данных и КоАП РФ в части ужесточения ответственности операторов за утечки ПДн.
Согласно тексту опубликованного проекта изменений, размер денежных штрафов будет рассчитываться путём определения периметра субъектов, которых затронет потенциальная утечка. Так, если утечка коснётся:
📌от 1 тысячи до 10 тысяч субъектов ПДн, штраф для юридических лиц составит от 3 миллионов до 5 миллионов рублей;
📌от 10 тысяч до 100 тысяч субъектов ПДн — от 5 миллионов до 10 миллионов рублей;
📌в случае утечки более 100 тысяч субъектов — от 10 миллионов до 15 миллионов рублей.
За повторные утечки предлагается ввести оборотные штрафы от 0,1 до 3% выручки за календарный год или за часть текущего года. При этом, сумма такого штрафа не сможет составлять менее 15 миллионов рублей и не сможет превышать 500 миллионов рублей.
Помимо этого, законопроектом предусматривается введение уголовной ответственности за использование, передачу, сбор и хранение ПДн, полученных незаконным путём, а также за создание информационных ресурсов, распространяющих ПДн.
При этом, из финального текста законопроекта исчезло упоминание о возможных способах снижения ответственности оператора путём возмещения вреда, причинённого утечкой, самому субъекту ПДн.
Внесение законопроекта планировалось с 2022 года, теперь его принятие в трёх чтениях планируется завершить до конца текущего месяца.
#регулирование #ПДн #банкротствонаровномместе
Увеличены штрафы за обработку персональных данных без надлежащего письменного согласия субъекта.
Соответствующие изменения внесены в КоАП РФ.
Обработка персональных данных без письменного согласия в случаях, когда такое согласие должно быть получено в соответствии с законом, либо с нарушением требований к составу сведений, включаемых в согласие влечет наложение административного штрафа:
🔹 на граждан – от 10 тыс. до 15 тыс. руб. (ранее 6-10 тыс. руб.);
🔹 на должностных лиц – от 100 тыс. до 300 тыс. руб. (ранее 20-40 тыс. руб.);
🔹 на юридических лиц – от 300 тыс. до 700 тыс. руб. (ранее 30-150 тыс. руб.).
Штрафы за повторное правонарушение также увеличены:
🔹 для граждан – от 15 тыс. до 30 тыс. руб. (ранее 10-20 тыс. руб.);
🔹 для должностных лиц – от 300 тыс. до 500 тыс. руб. (ранее 40-100 тыс. руб.);
🔹 для ИП - от 500 тыс. до 1 млн. руб. (ранее 100-300 тыс. руб.);
🔹 для юридических лиц – от 1 млн. до 1,5 млн. руб. (ранее 300-500 тыс. руб.).
Кроме того, КоАП дополнен статьей 13.11.3 «Нарушение требований в области размещения биометрических персональных данных», предусматривающей наложение административного штрафа за размещение и обновление банками, МФЦ, иными организациями в предусмотренных федеральными законами случаях, биометрических персональных данных в ГИС ЕСИА с использованием биометрических персональных данных с нарушением требований. Предусмотрены следующие штрафы:
🔹 на должностных лиц – от 100 тыс. до 300 тыс. руб.;
🔹 на юридических лиц – от 500 тыс. до 1 млн. руб..
📅 Изменения вступят в силу 23.12.2023
#регулирование #ПДн
Соответствующие изменения внесены в КоАП РФ.
Обработка персональных данных без письменного согласия в случаях, когда такое согласие должно быть получено в соответствии с законом, либо с нарушением требований к составу сведений, включаемых в согласие влечет наложение административного штрафа:
🔹 на граждан – от 10 тыс. до 15 тыс. руб. (ранее 6-10 тыс. руб.);
🔹 на должностных лиц – от 100 тыс. до 300 тыс. руб. (ранее 20-40 тыс. руб.);
🔹 на юридических лиц – от 300 тыс. до 700 тыс. руб. (ранее 30-150 тыс. руб.).
Штрафы за повторное правонарушение также увеличены:
🔹 для граждан – от 15 тыс. до 30 тыс. руб. (ранее 10-20 тыс. руб.);
🔹 для должностных лиц – от 300 тыс. до 500 тыс. руб. (ранее 40-100 тыс. руб.);
🔹 для ИП - от 500 тыс. до 1 млн. руб. (ранее 100-300 тыс. руб.);
🔹 для юридических лиц – от 1 млн. до 1,5 млн. руб. (ранее 300-500 тыс. руб.).
Кроме того, КоАП дополнен статьей 13.11.3 «Нарушение требований в области размещения биометрических персональных данных», предусматривающей наложение административного штрафа за размещение и обновление банками, МФЦ, иными организациями в предусмотренных федеральными законами случаях, биометрических персональных данных в ГИС ЕСИА с использованием биометрических персональных данных с нарушением требований. Предусмотрены следующие штрафы:
🔹 на должностных лиц – от 100 тыс. до 300 тыс. руб.;
🔹 на юридических лиц – от 500 тыс. до 1 млн. руб..
📅 Изменения вступят в силу 23.12.2023
#регулирование #ПДн