Комментарии

Госдума РФ предложила ввести административную ответственность за действия (бездействие) оператора, из-за которых произошла незаконная передача персональных данных физических лиц https://sozd.duma.gov.ru/bill/502104-8

Кто является оператором персональных данных?7

Оператор персональных данных - это государственный орган, муниципальный орган, юридическое или физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, определяют цели такой обработки, состав подлежащих обработке персональных данных, а также перечень совершаемых с ними действий (операций). Например, организация является оператором персональных данных в отношении своих сотрудников и иных физлиц, чьи данные получает.

Роскомнадзор ведет реестр операторов персональных данных. Сведения вносятся в реестр и исключаются из него на основании уведомлений, подаваемых операторами. Проверить, включены ли Вы в этот реестр, можно на Портале персональных данных, (http://pd.rkn.gov.ru/) который ведет Роскомнадзор.

➡ Согласно официальной позиции Роскомнадзора, если Вы не включены в реестр Роскомнадзора, Вы не перестаете быть оператором персональных данных и не освобождаетесь от связанных с этим статусом обязанностей.

Какие новые штрафы предлагают ввести депутаты?

1. Штрафы на утечку персональных данных

Согласно законопроекту, в случае незаконной передачи оператором персональных данных о людях в количестве от 1 тыс. до 10 тыс. человек грозит штраф:
- для должностных лиц государственного или муниципального органа (учреждения) - от 800 тыс. до 1 млн. рублей;
- для любых компаний и большинства некоммерческих организаций - от 3 млн. до 5 млн. рублей.

На те же суммы предлагают штрафовать в случае утечки от 10 тыс. до 100 тыс. идентификаторов, по которым можно определить физических лиц. При этом за более масштабные происшествия хотят ввести более крупные штрафы до 15 млн. рублей.

Неправомерное распространение специальных категорий персональных данных (данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни) обернется штрафом:
- для должностных лиц государственного или муниципального органа (учреждения) - от 1,5 млн. до 2 млн. рублей;
- для любых компаний и большинства некоммерческих организаций - от 10 млн. до 15 млн. рублей.

На данный момент таких составов правонарушений в КоАП РФ нет. Имеется только норма об ответственности оператора за необеспечение сохранности данных при их неавтоматизированной обработке, если это повлекло, например, неправомерный или случайный доступ к ним (ч. 6 ст. 13.11 КоАП РФ).

2. Штрафы за неуведомление Роскомнадзора о произошедшей утечке персональных данных

В случае, если оператор не сообщит ведомству об утечке, которая нарушила права субъектов персональных данных, предлагают назначать следующие штрафы:
- должностным лицам государственного или муниципального органа (учреждения) - от 400 тыс. до 800 тыс. рублей;
- любым компаниям и большинству некоммерческих организаций — от 1 млн. до 3 млн. рублей.

Если оператор не исполнит свою обязанность по уведомлению Роскомнадзора о намерении осуществлять обработку персональных данных, будет грозить штраф:
- должностным лицам государственного или муниципального органа (учреждения) - от 30 тыс. до 50 тыс. рублей;
- любым компаниям и большинству некоммерческих организаций — от 100 тыс. до 300 тыс. рублей.

Аналогичные наказания предлагают установить для тех, кто известил Роскомнадзор несвоевременно.

 На данный момент в аналогичных ситуациях к операторам могут применить общую статью КоАП РФ о непредоставлении сведений (ст. 19.7 КоАП РФ), однако в качестве наказания данная статья предусматривает предупреждение или намного более низкий штраф.