Штрафы за утечки персональных данных. Что ждет бизнес?

Photo by Clint Patterson on Unsplash

В данной статье мы рассмотрим изменения, которые планируется внести в КоАП РФ.

1. Ответственность за утечки персональных данных

Законопроект, которым вносятся изменения в КоАП РФ («Изменения в КоАП»), предусматривает целый ряд новых составов правонарушений, за совершение которых будет наступать административная ответственность, а именно:

  • Ответственность за неуведомление или несвоевременное уведомление Роскомнадзора об утечке персональных данных.

(напомним, что в случае утечки оператор персональных данных должен подать два уведомления в Роскомнадзор – первичное в течение 24 часов с момента выявления утечки и повторное в течение 72 часов);

  • Ответственность за утечку персональных данных субъектов или их идентификаторов (в терминах законопроекта идентификатор означает «уникальное обозначение сведений о физических лицах, необходимый для определения таких лиц»).

В текущих формулировках Изменений в КоАП административная ответственность наступает за «действия (бездействие) оператора», которые повлекли утечку персональных данных. При буквальном толковании этих положений можно сделать вывод о том, что ответственность должна наступать вне зависимости от того, какие усилия оператор прилагал для соблюдения требований законодательства в сфере обработки и защиты персональных данных.

  • Ответственность за утечку специальных категорий персональных данных.

Изменения в КоАП предусматривают административные штрафы за нарушение законодательства в сфере персональных данных для физических, юридических и должностных лиц. При этом в некоторых случаях штрафы будут оборотными.

Ранее Минцифры РФ предлагало дополнить законопроект, вносящий Изменения в КоАП, перечнем смягчающих обстоятельств, которые позволяли бы снижать размер административных штрафов. Среди таких обстоятельств были названы урегулирование претензий субъектов персональных данных, чьи права были затронуты утечкой, а также подтверждение инвестиций компаний в их системы защиты данных. В редакции Изменений в КоАП, которая была принята Государственной Думой в первом чтении, указанные предложения Минцифры РФ не учтены. Однако депутат Государственной Думы Александр Хинштейн, который является одним из авторов законопроекта, отметил, что ко второму чтению механизм смягчения ответственности будет проработан.

Изменения в КоАП также предусматривают два новых примечания к статье 13.11 КоАП РФ, которые фактически сужают круг лиц, подлежащих административной ответственности, а именно:

  • под должностным лицом понимается должностное лицо государственного или муниципального органа, сотрудник государственного или муниципального учреждения;
  • под юридическим лицом понимается юридическое лицо, которое НЕ является государственным или муниципальным органом / учреждением.

Таким образом, по буквальному смыслу Изменений в КоАП, к коммерческим организациям будут применяться более высокие штрафы, в то время как должностные лица таких организаций к ответственности за все новые составы правонарушений привлекаться не будут. В государственном секторе ответственность, напротив, будет носить персональный характер, поскольку будет распространяться на должностных лиц и сотрудников, а не на сами органы/учреждения.

Можно предположить, что при формулировании данного примечания разработчики законопроекта исходили из идеи о том, что государственные (муниципальные) органы/учреждения осуществляют по сути некоммерческую деятельность, поэтому санкция в виде оборотного штрафа (т.е. процента от выручки, полученной от реализации товаров (работ, услуг)) не может быть к ним применима. Если данное предположение верно, то это примечание должно применяться только к тем частям ст. 13.11 КоАП РФ, которые предусматривают оборотный штраф в качестве санкции. Однако редакция Изменений в КоАП, принятая в первом чтении, содержит более широкую формулировку, согласно которой указанное примечание распространяется и на те новые части ст. 13.11 КоАП РФ, в которых оборотный штраф в качестве санкции не предусмотрен.

2. Ответственность за неподачу уведомления об обработке персональных данных

Хотя основное внимание бизнеса приковано к новым составам правонарушений и ужесточению административной ответственности за утечки персональных данных, законопроект вносит в КоАП РФ и другие изменения. Так, он предусматривает специальную ответственность за неуведомление и несвоевременное уведомление Роскомнадзора о намерении осуществлять обработку персональных данных.

Напомним, что по общему правилу операторы персональных данных должны уведомить Роскомнадзор о начале обработки персональных данных. 1 сентября 2022 года вступили в силу изменения, согласно которым число случаев, когда оператор персональных данных вправе не подавать уведомление в Роскомнадзор, было существенно сокращено. Начиная с 1 сентября 2022 года, право не уведомлять Роскомнадзор о начале обработки персональных данных возникает только в тех случаях, когда обработка персональных данных происходит:

  • в рамках государственных информационных систем, созданных в целях защиты безопасности государства и общественного порядка;
  • без использования средств автоматизации; или
  • в рамках законодательства, регулирующего деятельность по обеспечению транспортной безопасности.

Таким образом, подавляющая часть операторов обязана направлять уведомление о начале обработки персональных данных в Роскомнадзор.

Согласно данным официального сайта Роскомнадзора, по состоянию на январь 2024 года такое уведомление подали примерно 935 000 операторов. При этом ЕГРЮЛ содержит информацию о более чем 3,2 млн юридических лиц и 3,6 млн индивидуальных предпринимателей, значительная часть которых является операторами персональных данных. Стоит отметить, что операторы персональных данных, руководствуясь разными соображениями, зачастую не подают в Роскомнадзор уведомления о начале обработки персональных данных. Например, некоторые организации полагают, что, подав такое уведомление, они непременно попадут под более пристальное внимание Роскомнадзора, другие – что Роскомнадзор проводит проверочные мероприятия в отношении только тех лиц, которые подали такое уведомление. Есть и такие организации, которые не подают указанное уведомление, исходя из того, что КоАП РФ не содержит какой-либо специальной ответственности за это (на данный момент в таких случаях применяется ст. 19.7 КоАП РФ, которая предусматривает максимальный штраф в размере 5000 рублей).

Принятие Изменений в КоАП в части установления специальной ответственности за неуведомление и несвоевременное уведомление Роскомнадзора о намерении осуществлять обработку персональных данных, очевидно, изменит описанную практику. За данное нарушение предлагается установить административный штраф в размере от 30 000 до 50 000 рублей для должностных лиц и от 100 000 до 300 000 рублей для юридических лиц. Фактически, штраф за данное нарушение увеличится в 60 раз.

Эти изменения затронут подавляющее большинство операторов персональных данных.

Для того, чтобы подготовиться к подаче уведомления необходимо в обязательном порядке провести аудит процессов обработки персональных данных в компании и описать выявленные процессы. Описание каждого процесса (цели обработки) минимально должно содержать категории и перечень обрабатываемых персональных данных, категории субъектов, способы, сроки обработки и хранения, а также порядок уничтожения персональных данных.

3. Изменение «общего» состава правонарушений в сфере персональных данных

Изменения в КоАП также затрагивают размер административных штрафов, предусмотренных частями 1 и 11 ст. 13.11 КоАП РФ, за так называемый «общий» состав правонарушений, предусматривающий административную ответственность за обработку персональных данных в случаях, не предусмотренных законом, или обработку, которая не совместима с целями сбора.