Ужесточение штрафов за нарушение ПДн (v2017)

Ужесточение штрафов за нарушение ПДн (v2017)
Президент РФ подписал Федеральный закон «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»,  принятый в третьем чтение 27 января 2017 госдумой, и устанавливающий новые размеры штрафов за нарушение законодательства в области Персональных данных .

Новые штрафы вступают в силу с 1 июня текущего года. По мимо этого, статья 13.11 КоАП была переработана, и теперь предусматривает дифференциацию в зависимости от тяжести и последствий нарушения. Так же новая редакция отныне содержит семь конкретизированных составов правонарушений с соответствующими их тяжести штрафами, среди которых максимальный составляет 75 тысяч рублей для юридических лиц.

27 января 2017 Госдума  в третьем окончательном чтении приняла новые штрафы по нарушению законодательства в сфере защиты Персональных данных . Нужно сказать, что правки в КоАП вступают в силу с 1 июля 2017 года.

И так, административная ответственность по статье 13.11 КоАП в новой редакции предусматривает дифференциацию в зависимости от последствий нарушения. Так ответственность для юридического лица предусматривает наложение штрафа в размере от 15 до 295 тысяч рублей, что значительно выше  штрафа указанного в предыдущей версии документа. Помимо этого новая редакция содержит теперь семь конкретизированных составов правонарушений с соответствующими их тяжести штрафами, среди которых максимальный для юридических лиц, к примеру  составляет 75 тысяч рублей.

И так, что же изменилось и на сколько крупные стали  теперь штрафы за нарушения?

Начнем с изменения статьи 13.11

прежняя редакция:

КоАП РФ, Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

новая редакция:

Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных

1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, - влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц - от пяти тысяч до десяти тысяч рублей; на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей.

2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, - влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от пятнадцати тысяч до семидесяти пяти тысяч рублей.

3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных - влечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц - от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от пяти тысяч до десяти тысяч рублей; на юридических лиц - от пятнадцати тысяч до тридцати тысяч рублей.

4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, - влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от четырех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц - от двадцати тысяч до сорока тысяч рублей.

5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, - влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от двадцати пяти тысяч до сорока пяти тысяч рублей.

6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния - влечет наложение административного штрафа на граждан в размере от семисот до двух тысяч рублей; на должностных лиц - от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от двадцати пяти тысяч до пятидесяти тысяч рублей.

7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных - влечет предупреждение или наложение административного штрафа на должностных лиц в размере от трех тысяч до шести тысяч рублей.


Спец категории ПДн

Что касается специальных категория ПДн, то изменения их не коснулись.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также персональных данных о судимости в случаях, не предусмотренных законодательством Российской Федерации о персональных данных,
— влечет наложение административного штрафа на граждан от трех тысяч до пяти тысяч рублей; на должностных лиц — от десяти тысяч до двадцати пяти тысяч рублей; на индивидуальных предпринимателей — от пятидесяти тысяч до ста тысяч рублей; на юридических лиц — от ста пятидесяти тысяч до трехсот тысяч рублей.

Мнения экспертов

Это событие точно повлияет на то, что часть операторов персональных данных, которые отложили вопрос с соблюдением требований законодательства по персональным данным на потом, вернуться к нему. Но не уверен, что это повлияет именно на защиту персональных данных.
На это больше повлиял инцидент с блокировкой Linkedin, после чего многие международные компании озаботились вопросом именно защиты персональных данных.
Законопроект в любом случае влияет на всех владельцев баз с персональными данными. - Максим Лагутин, директор Б-152

Данные несколько раз откладываемые изменения определенно положительно скажутся на выполнении требований по защите персональных данных в российских организациях. На фоне смехотворных штрафов, которые есть сейчас, бизнес зачастую "принимал риски" и ничего не делал для защиты персональных данных. Однако и новые штрафы нельзя назвать большими. Они явно не пропорциональны возможному урону для субъектов персональных данных, который возникает при крупных утечках. В Евросоюзе штрафы за нарушения в области защиты персональных данных измеряются сотнями тысяч и даже миллионами евро.
Кроме того, существующие и обновленные штрафы предусмотрены за формальные нарушения требований законодательства, а не за утечки данных, и не пропорциональны нанесенному урону.
Конечно же, обновленные штрафы повлияют в первую очередь на средний и малый бизнес, а не владельцев крупнейших баз персональных данных. Однако, они дают хоть какие-то рычаги давления на многочисленных злостных нарушителей законодательства, распоряжающихся персональными данными граждан, как им заблагорассудится. -  Андрей Янкин, руководитель отдела консалтинга Центра информационной безопасности компании "Инфосистемы Джет"
В законе «О персональных данных» предусмотрена ответственность только за нарушение правил обработки персональных данных, а не за инцидент. Как следствие – компании не защищают данные от утечки, а озабочены защитой от санкций со стороны регуляторов, – «для галочки». Ожидаемых изменений в части ответственности за утечку персональных данных в законе не появилось.
Мы недавно проводили исследование черного рынка баз данных, которое показало, что данные почти всех граждан России уже находятся в свободной продаже. Среди них базы данных крупных банков, операторов связи, торговых компаний. Общий объем рынка таких нелегальных баз насчитывает 30 млн руб. Причем цена одной записи варьируется от 0,02 до 10 руб., а средняя цена базы составляет 15 тыс. руб.
Все это говорит о низком уровне защиты персональных данных и, судя по цене, предложение превышает спрос.
Увеличение финансовых санкций могло бы повлиять на компании, где из-за низких штрафов вообще не защищали персональные данные, – побудить их выполнять требования по защите данных клиентов и сотрудников. Но сумма штрафа в 75 тыс. рублей вряд ли что-то изменит.
Требования закона «О персональных данных» одинаково распространяются на всех операторов, обрабатывающих персональные данные, как на небольшие компании, так и на владельцев больших баз данных, поэтому и санкции будут распространяться на всех. Любую компанию регулирующие органы могут проверить на выполнение требований законодательства и обязать устранить нарушения до повторной проверки. - Александр Суханов, эксперт по информационной безопасности «МФИ Софт»
КоАП надзор нарушение новый ПДн персональные данные Роском штраф 2017 13.11 президент дума
Alt text

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!

Иван Пискунов

Персональный блог Ивана Пискунова о безопасности, реверс инжениринге и ИТ-менеджменте. Аналитика, новости, обзоры, события