Аренда

Штрафы За Нарушение Персональных Данных В 2023 Году

Штрафы За Нарушение Персональных Данных В 2023 Году Штрафы За Нарушение Персональных Данных В 2023 Году Штрафы За Нарушение Персональных Данных В 2023 Году Штрафы За Нарушение Персональных Данных В 2023 Году Штрафы За Нарушение Персональных Данных В 2023 Году Пожбезопасность: что делать, чтобы не оштрафовали

Законы · 16 August

Предприниматель персонально отвечает за пожарную безопасность в компании. Если приедет проверка и найдёт нарушения, к собственнику придут с вопросами и могут оштрафовать на сумму до 400 000 ₽. Рассказываем, что нужно делать, чтобы избежать претензий пожнадзора.

Штрафы За Нарушение Персональных Данных В 2023 Году Как продавать товары онлайн и не нарушить права потребителей

Законы · 16 August

Когда покупатель делает заказ через интернет, он не видит товар вживую. А закрыться интернет-магазин может за минуту, в отличие от обычного. Из-за этих особенностей для розничных онлайн-продавцов есть специальные правила.

Штрафы За Нарушение Персональных Данных В 2023 Году Штрафы За Нарушение Персональных Данных В 2023 Году Штрафы За Нарушение Персональных Данных В 2023 Году Штрафы За Нарушение Персональных Данных В 2023 Году Кассовая книга: кому нужна и как вести

Законы · 16 August

Если предприниматель работает с наличкой, он должен вести кассовую книгу. Разбираемся, в каких случаях кассовая книга точно нужна и как правильно её заполнять.

Семь сервисов для проверки подрядчика

Законы · 16 August

Новый заказчик с чертовски привлекательным предложением может оказаться мошенником или фирмой-однодневкой. Вот шесть сервисов, которые позволят вам понять, кто перед вами.

СОУТ: выбрали компанию-оценщика, что дальше

Законы · 16 August

Выбрать подходящего оценщика — только полдела. Вам нужно организовать работу экспертов, а после оценки — забрать отчёт и заполнить декларацию соответствия. Показываем по шагам.

Что предпринимателю надо знать про СОУТ

Законы · 16 August

По закону работодатели обязаны проводить оценку условий труда. Они не знают, что с этим делать, и боятся штрафов. Наш налоговый консультант успокоила: всё не так страшно.

Уголок потребителя: нужен или нет

Законы · 16 August

Электронные трудовые книжки: когда и как нужно перейти

Законы · 16 August

Анкета Росстата: всем ИП придётся отчитаться

Законы · 16 August

Как ИП подключиться к ЕГАИС

Законы · 16 August

Чтобы торговарть алкоголем, предприниматель должен подключиться к ЕГАИС — государственной базе данных. В статье рассказываем, как это сделать.

Как провести розыгрыш для покупателей по закону

Законы · 16 August

Как проводить конкурсы и не попадать под закон о лотереях. Что нужно оформить и как действовать, чтобы конкурс был законным и при этом принес ожидаемый рост интереса к товарам.

Как Роструд проверяет работодателей

Законы · 16 August

По правилам Роструда инспектор может прийти на плановую и внеплановую проверку. Мы разобрались, кого и почему проверяют, и рассказываем, как подготовиться к проверке.

Как законно рекламировать алкоголь: четыре способа

Законы · 16 August

В законе о рекламе десятки запретов для продвижения алкоголя и штрафы до 500 000 ₽. Рассказываем, как можно и нельзя рекламировать алкоголь, и даём четыре законных способа обойти запреты.

Как опубликовать вакансию и не получить штраф

Законы · 16 August

Желание дать людям работу может довести до суда. Указал в объявлении, что нужен водитель со своим автомобилем — штраф. Не сообщил государству про вакансию — снова штраф. Рассказываем, за что ещё могут оштрафовать работодателя.

Что будет за работу без ИП

Законы · 16 August

Тех, кто печёт торты, шьёт одежду или делает маникюр на дому и не платит налоги, могут оштрафовать и заставить заплатить налоги. Рассказываем, кого могут обвинить в незаконном предпринимательстве и как вычисляют нарушителей.

Разглашение персональных данных — ответственность по 137 УК РФ за распространение ПДн без согласия владельца

Использование в любой деятельности идентифицирующих гражданина сведений налагает на любое физическое лицо, госслужащего, компанию или индивидуального предпринимателя обязанность обеспечивать безопасность ПДн в течение всего периода обработки.

Это четко прописано в ФЗ-152, как и необходимость несения определенной ответственности за распространение личных данных без согласия владельца.

Наказания могут варьироваться, в том числе нарушителя могут обвинить по статье УК РФ, что влечет за собой серьезные последствия, начиная от внушительного штрафа, заканчивая лишением свободы, арестом, принудительными и обязательными работами в течение определенного периода, а также лишением права заниматься той или иной деятельностью либо занимать некоторые должности.

Чтобы не оказаться участником уголовного разбирательства в качестве обвиняемого, нужно знать, когда действует статья 137 УК о разглашении персональных данных. Не менее важно гражданам знать свои права и порядок действий, если они каким-либо способом обнаружили, что конфиденциальная информация была использована без предварительного согласия.

Разглашение и распространение персональных данных без согласия субъекта

Хранить, использовать, дополнять, копировать, блокировать и совершать другие операции с ПДн необходимо исключительно после того, как получено одобрение от субъекта.

Причем человек должен дать официальное согласие в электронном либо письменном виде, предварительно ознакомившись с целями, методами, объемом и сроками обработки частных сведений.

Если оператор действует самовольно и передает секретные данные иным лицам, то имеет место незаконное распространение персональных данных.

Каким образом производится передача информации другим организациям, гражданам или общественности, не имеет значения, в любом случае за совершенные действия виновника накажут. Поводом для начала уголовного производства может служить как заявление субъекта в правоохранительные органы, так и инициатива надзорного органа, который обнаружил признаки несанкционированных операций в рамках плановой или внеплановой проверки.

Нарушением признается разглашение персональных данных без согласия владельца не только в том случае, если он не подписывал соответствующий документ, но и при отзыве ранее предоставленного разрешения. То есть нельзя продолжать обработку, если получили по всем правилам оформленное заявление об отзыве от гражданина либо его законного представителя.

Какая может быть ответственность за разглашение персональных данных гражданина?

Основание для наложения каких-либо санкций в отношении операторов, передающих ПДн третьим лицам, закреплено конфиденциальным статусом личной информации, что прописано в Статье 7 ФЗ-152.

Еще одним документом, предписывающим сохранять информацию в тайне является Трудовой Кодекс, где присутствует отдельная статья про дисциплинарные проступки.

Нормативно-правовая база РФ предусматривает несение нарушителем трех видов ответственности за распространение персональных данных:

  • уголовной;
  • административной;
  • дисциплинарной.

При обвинении в рамках ТК максимум, что грозит человеку, — это увольнение, хотя часто руководство ограничивается замечанием или взысканием.

Более серьезное наказание предусмотрено статьей 13 КоАП, которую недавно откорректировали, увеличив штрафы примерно в 10 раз. Примечательно, что за повторное нарушение полагается в 2-3 раза больший штраф, чем за первичное невыполнение нормативов ФЗ-152.

Значительные проблемы возникают у тех, чьи действия интерпретируют как нарушение положений Уголовного Кодекса.

Удобная таблица со всеми административными штрафами за нарушения в области обработки и защиты персональных данных

Статья 137 УК РФ: наказание за разглашение персональных данных

Изначально следует отметить, что уголовная ответственность может наступить, если речь идет именно о разглашении личной информации, например, о состоянии здоровья, интимной сфере, образе жизни и т.д.

Вид и серьезность наказания определяются в зависимости от исполнителя правонарушения, способа распространения сведений и последствий, к которым привели незаконные действия нарушителя.

Гораздо проще наказать тех, кто сообщает конфиденциальные сведения в публичных выступлениях либо через средства массовой информации.

Основные меры наказания прописаны в статьях 137 и 138 УК РФ:

  • за распространение данных, составляющих личную или семейную тайну — штраф до 200 тысяч рублей (или доход за последние 1,5 года), обязательные или принудительные работы продолжительностью до 360 часов и до 2 лет, соответственно (во втором случае нарушителя лишают права до 3 лет заниматься определенной деятельностью), арест до 4 месяцев, тюремное заключение максимум на 2 года;
  • за аналогичные действия в случае использования служебного положения — до 6 месяцев ареста, лишение свободы на 4 года (максимум), принудительные работы максимум в течение 4 лет с лишением возможности заниматься той или иной деятельностью до пяти лет, штраф 100-300 тысяч рублей либо в размере полученного за прошлые 1-2 года официального дохода;
  • за разглашение сведений, касающихся субъектов младше 16 лет — 150-300 тысяч штрафа, лишение права заниматься определенной деятельностью до пяти лет, принудительные работы до пяти лет, 6 месяцев ареста, заключение в тюрьму на срок до 5 лет;
  • за несоблюдение тайны переписки и переговоров (в любом формате — по телефону, электронной почте, в рамках видеоконференций и т.д.) — штраф до 80 тысяч рублей либо в размере полученного за прошлые полгода дохода/зарплаты, исправительные или принудительные работы в течение 1 года или 360 часов, соответственно.
Читайте также:  Налоговые Органы Вправе Проводить Проверки В 2023 Году

Действия субъекта в случае незаконного распространения ПДн

Ситуации, связанные с неправомерной передачей частных сведений, бывают разными, и каждый субъект вправе сам решать, как отстаивать собственные интересы:

  • обращение в судебные органы с иском, где прописано требование прекратить обработку, заблокировать доступ к ПДн, возместить материальный и моральный ущерб;
  • подача жалобы в Роскомнадзор, который инициирует дополнительную проверку, и если будут выявлены нарушения, предпримет адекватные меры;
  • обращение в правоохранительные структуры позволит в случае удачного завершения дела добиться несения нарушителем административной либо уголовной ответственности. В полицию имеет смысл обращаться, если отсутствует достаточно убедительная для судебного производства доказательная база, подтверждающая вину оператора.

Разобраться в том, по какой статье идентифицировать нарушение и правильно составить претензию на распространение личной информации без согласия владельца, помогут квалифицированные юристы.

Есть ряд требований к содержанию, оформлению и подаче жалоб, исковых и других заявлений.

Для наиболее эффективной защиты прав есть смысл пойти сразу несколькими путями, продумав обвинения таким образом, чтобы обращения в разные инстанции дополняли друг друга.

Обработка персональных данных с 1 сентября 2022 года: что поменялось

  1. Главная →
  2. Журнал →
  3. Бизнес →
  4. Риски

24 августа 2022 83 315 84

В начале осени вступает в силу Федеральный закон от 14.07.2022 № 266-ФЗ. Он должен повысить ответственность операторов персональных данных, сделать более прозрачной их деятельность и защитить личные данные россиян. Разберемся, что нового он несет предпринимателям.

Замглавы Роскомнадзора Милош Вагнер сообщил, что только в 2022 году в России произошло более 40 крупных утечек персональных данных россиян. Было скомпрометировано свыше 300 миллионов записей.

Его слова подтверждаются громкими новостями из открытых источников.

Еще в мае стало известно о слитых в открытый доступ базах данных клиентов СДЭК, ВТБ, Delivery Club, Wildberries, Avito, «Билайна», «Гемотест».

С 1 сентября требования к работе с персональными данными в очередной раз ужесточатся, у бизнеса появятся новые обязанности, а у Роскомнадзора — новые причины для штрафов.

Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки

Отчитаться

В России защита информации о личности граждан обеспечивается Федеральным законом от 27.07.2006 № 152-ФЗ. Он не содержит конкретного перечня, что относится к персональным данным. Это могут быть любые сведения, которые прямо или косвенно относятся к определенному физическому лицу (ст. 3 152-ФЗ), например:

  • Ф.И.О.;
  • дата рождения;
  • адрес регистрации и адрес проживания;
  • паспортные данные, СНИЛС, ИНН;
  • номер телефона;
  • e-mail;
  • адрес страницы в соцсетях;
  • контакт в мессенджере.

То есть к персональным данным (ПД) относится любая информация, которая позволяет определить конкретного человека — субъекта ПД. 

По 152-ФЗ те, кто получают доступ к ПД не для семейных нужд и работают с ними: собирают, систематизируют, используют, передают, хранят и т.п., являются операторами персональных данных (ОПД).

ОПД может быть как крупная корпорация, так и фотомастерская со штатом в два человека. Оператор имеет право, с согласия гражданина, поручить обработку его персональных данных другому лицу — обработчику (п.

 3 ст. 6 152-ФЗ).

ОПД несут ответственность перед гражданами за сохранность их личных данных. У операторов ПД есть обязанности (ст. 18–22.1 152-ФЗ).

Например, до начала обработки персональных данных нужно уведомить Роскомнадзор, чтобы попасть в Единый реестр. Исключения из правила указаны в п. 2 ст. 22 Закона № 152-ФЗ.

По общему правилу обработчики напрямую с субъектами ПД не контактируют и несут ответственность не перед ними, а перед оператором.

С 1 сентября 2022 года действие 152-ФЗ распространяется на обработку ПД российских граждан, осуществляемую иностранными юрлицами или физлицами на основании договора или с согласия гражданина (п. 1. ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ).

Автоматизируйте работу с сотрудниками: рассчитывайте зарплату, НДФЛ, взносы, оформляйте кадровые документы прямо в Экстерне

Попробовать

С 1 сентября 2022 года 266-ФЗ вводит дополнительные правила для ОПД и обработчиков или ужесточает имеющиеся. Предпринимателям станет сложнее соблюдать все требования работы с персональными данными.

  1. В договор с физическим лицом нельзя будет включать положение о том, что его бездействие подразумевает разрешение на заключение договора, в котором он будет выгодоприобретателем или поручителем (п. 3а ст. 1 266-ФЗ). 
  2. Появляются дополнительные требования о «предметности и однозначности» согласия на обработку ПД (п. 4 ст. 1 266-ФЗ). То есть фактически предпринимателям придется чаще получать согласие субъекта ПД.
  3. Появляются конкретные требования к содержанию поручения оператора, указанного в п. 3 ст. 6 152-ФЗ. Кроме того, вводится ответственность иностранного обработчика персональных данных перед субъектом ПД (п. 3а, 3в ст. 1 266-ФЗ). До 1 сентября 2022 года он отвечал только перед оператором.
  4. Оператор не сможет отказать в обслуживании физлицу, если то отказывается предоставить биометрические данные или дать согласие на обработку ПД в необязательных по закону случаях. Которых не так много по п. 2 ст. 11 152-ФЗ. Аналогичные изменения будут действовать с 1 сентября 2022 года и в Законе о защите прав потребителей (Федеральный закон от 01.05.2022 № 135-ФЗ).
  5. Оператор должен будет отреагировать на запрос субъекта ПД о предоставлении сведений по ч. 7 ст. 14 152-ФЗ в течение 10 рабочих дней (п. 8а, п. 12 ст. 1 266-ФЗ). Раньше срок ответа составлял 30 дней.
  6. Срок в 10 рабочих дней вместо 30 календарных устанавливается и для ответа в Роскомнадзор (п. 12 ст. 1 266-ФЗ). Об утечке персональных данных нужно будет сообщить в ведомство в течение 24 часов с момента инцидента, а в течение 72 часов — проинформировать о результатах внутреннего расследования (п. 13 ст. 1 266-ФЗ).
  7. ОПД обязан будет подключиться к системе ГосСОПКА, чтобы передавать туда информацию о компьютерных инцидентах, повлекших утечку персональных данных (п. 12 ст. 1 266-ФЗ).
  8. Оператор должен будет прекратить обработку ПД или обеспечить прекращение обработки при договоре с обработчиком в течение 10 рабочих дней с даты получения соответствующего требования от гражданина (п. 13 ст. 1 266-ФЗ).

Все изменения в законодательном регулировании нужно будет отразить в политике ОПД в отношении обработки персональных данных и локальных нормативных актах ОПД-юрлица, которые разрабатываются по требованиям ст. 18.1 152-ФЗ.

Глобальное изменение с 1 сентября 2022 года — сокращение списка ситуаций, когда не нужно уведомлять Роскомнадзор до начала обработки ПД.

В перечне остается всего три случая, когда оператору не обязательно входить в Единый реестр: работа с ПД без средств автоматизации, включение персональных данных в ГИС, созданных для защиты безопасности государства и общественного порядка и обработка в соответствии с законодательством РФ о транспортной безопасности (п. 14 ст. 1 266-ФЗ).

Кто и когда должен уведомить Роскомнадзор об обработке персональных данныхНапомним, что раньше таких ситуаций по ст. 22 152-ФЗ было девять. Например, можно было не уведомлять Роскомнадзор об обработке ПД штатных сотрудников. С 1 сентября 2022 года любой работодатель должен быть зарегистрирован в Едином реестре ОПД.

Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!

Попробовать

За невыполнение требований законодательства в области обработки ПД предприниматели могут получить штраф от 60 до 100 тыс. рублей (ст. 13.11 КоАП РФ).

С 1 сентября 2022 года устанавливается административная ответственность за отказ потребителю в заключении договора из-за непредоставления персональных данных. Штраф за нарушение для ИП и юрлиц составит от 30 до 50 тыс. рублей (Федеральный закон от 28.05.2022 № 145-ФЗ).

Предприниматель по Закону от 01.05.

2022 № 135-ФЗ имеет право отказать потребителю в заключении договора из-за непредоставления ПД, если персональные данные обязательны по законодательным требованиям или непосредственно нужны для исполнения договора. Например, покупатель выбирает доставку курьером, но не указывает адрес доставки. В этом случае продавец не будет нести ответственности за отказ в заключении договора.

Штраф по 145-ФЗ касается случаев избыточности требований о предоставлении ПД потребителем. Не секрет, что многие компании собирают много личной информации от клиентов, чтобы, как минимум, отправлять им рекламные рассылки.

Весной 2023 года начнут действовать положения о трансграничной передаче персональных данных, то есть передаче их на территорию иностранного государства: зарубежным органам власти, компаниям или физлицам.

Во-первых, Роскомнадзор будет утверждать список стран, обеспечивающих адекватную защиту ПД. В него, прежде всего, будут включать государства — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

Во-вторых, ОПД должны будут уведомлять Роскомнадзор до начала трансграничной передачи ПД. Ведомство, в свою очередь, может запретить или ограничить предоставление персональных данных иностранцам (п. 7 ст. 1 266-ФЗ).

Еще одно нововведение коснется выписок из ЕГРН. Если собственник недвижимости не подаст заявление о согласии на предоставление его персональных данных третьим лицам, то те по общему правилу не смогут их получить. Без согласия субъекта ПД Роскадастр даст выписки с личными сведениями ограниченному кругу лиц, например, нотариусам или кадастровым инженерам (ст. 4 266-ФЗ).

Читайте также:  Шум в выходные: правила или режим шума соседей в многоквартирном доме в праздничные дни в 2023 году, какой штраф и закон об этом

Это означает, что Единый реестр недвижимости становится закрытым. Предполагается, что эта мера защитит собственников имущества от мошенников, но такие данные не смогут также получить журналисты или общественники при расследовании коррупционных правонарушений.

Ответственность за принуждение к передаче персональных данных в 2023 году – Ериковское сельское поселение

Ранее ст. 85 ТК РФ гласила, что персональные данные работника — это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Обработка персональных данных работника — это получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

https://www.youtube.com/watch?v=6JMLZg19OTM\u0026pp=ygVb0KjRgtGA0LDRhNGLINCX0LAg0J3QsNGA0YPRiNC10L3QuNC1INCf0LXRgNGB0L7QvdCw0LvRjNC90YvRhSDQlNCw0L3QvdGL0YUg0JIgMjAyMyDQk9C-0LTRgw%3D%3D

Данная статья ТК РФ утратила силу (Федеральный закон от 7.05.13 г. № 99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных»).

В настоящее время ст. 86 ТК РФ регламентирует, что в целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества; при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами; все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение; работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных ТК РФ и другими федеральными законами; работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами; при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения; защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами; работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области (постановление ФАС Московского округа от 27.11.06 г. по делу № КА-А40/11424–06); работники не должны отказываться от своих прав на сохранение и защиту тайны; работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

  • Контроль и надзор за обработкой персональных данных
  • Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами.
  • Работодатель обязан обеспечить такой порядок хранения персональных данных, который бы ограничивал несанкционированный доступ к ним.
  • Право доступа к персональным данным работника имеют:
  • руководитель организации, работо­да­тель — индивидуальный пред­при­ни­ма­тель; непосредственный руководитель работ­ника; начальник отдела кадров; сотрудники отдела кадров.
  • При работе с документами, содержащими персональные данные, работниками, прежде всего отдела кадров, должен соблюдаться принцип конфиденциальности персональных данных.

Можно рекомендовать для отдела кадров все документы, содержащие персональные данные работников, прежде всего это личные дела, картотеки, учетные журналы хранить в рабочее и нерабочее время в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников хранить в сейфе отдельно от личных дел. В конце рабочего дня все личные дела должны сдаваться в отдел кадров.

Контроль и надзор за обработкой персональных данных осуществляется в соответствии со ст. 23 Федерального закона от 27.07.06 г. № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных).

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи. Таким органом является сегодня Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (постановление Правительства РФ от 16.03.09 г. № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»).

  1. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.
  2. При этом в отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.
  3. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.

Что не так с ответственностью бизнеса за утечки данных

Глава Минцифры Максут Шадаев на конференции «Телеком: трансформация бизнес-моделей и поиск новых решений», организованной газетой «Ведомости», рассказал о том, какие меры позволят бизнесу уменьшить размер штрафов за утечку персональных данных.

По словам министра, законопроект об оборотных штрафах за утечки персональных данных находится в финальной стадии разработки и уже через несколько недель может быть внесен в Госдуму.

В новой версии документа решено отказаться от ранее обсуждавшейся идеи создания фонда помощи пострадавшим от утечки их персональной информации. Вместо этого Минцифры предложило использовать портал «Госуслуги».

подпишитесь на нас в Telegram

Так, в новой версии законопроекта указано, что если утечка будет подтверждена компанией, ее допустившей, то у нее будет некоторое время для того, чтобы пострадавшие могли через «Госуслуги» запросить у нее компенсацию, рассказал Максут Шадаев.

В случае, если две трети из обратившихся согласятся с предложенной компанией суммой и получат компенсацию, это будет учитываться в качестве смягчающего обстоятельства.

В этом случае может быть применен пониженный коэффициент при определении размера оборотного штрафа для компании, допустившей утечку, пояснил министр.

«Законопроект дорабатывается совместными усилиями. Был ряд вопросов, по которым у нас была разная точка зрения, — сообщил Forbes глава комитета по информполитике Госдумы Александр Хинштейн. — Но сейчас по большинству из них консенсус найден».

Читайте также:  Зачет Военной Службы По Контракту В Выслугу Лет В 2023 Году

Напомним, что вопрос введения оборотных штрафов за утечку персональных данных разрабатывается с весны 2022 года.

О необходимости такого регулирования заявлял президент Владимир Путин на заседании Совета по развитию гражданского общества и правам человека 7 декабря 2022 года.

По его итогам правительству было поручено до 1 июля 2023 года подготовить соответствующие изменения в законодательство.

В декабре 2022 года в актуальной на тот момент версии законопроекта были предусмотрены штрафы в диапазоне от 5 млн до 500 млн рублей.

Причем в документе был оговорен фиксированный размер штрафа при первой утечке персональной информации компании, тогда как размер повторного штрафа уже зависел бы от оборота компании.

«Верхний потолок» был предусмотрен в случае, если компания допустила утечку данных повторно с момента вступления закона в силу и нарушила ряд требований регулятора, например, попыталась скрыть инцидент.

Никто не забыт

По данным специалистов по кибербезопасности F.A.C.C.T. (ранее Group-IB), общее количество баз данных российских компаний, оказавшихся в доступе на теневых форумах и в тематических Telegram-каналах, в 2022 году составило 311. В 2021 году таких сливов было в пять раз меньше — всего 61.

Общее количество строк данных пользователей, содержащихся в опубликованных сливах, по оценкам экспертов Group-IB, превысило 1,4 млрд. В 2021 году их насчитывалось всего 33 млн.

«Каждая третья строка из баз данных, выложенных в мире в 2022 году, приходилась именно на российские компании», — рассказывал в феврале 2022 года руководитель отдела исследования киберпреступности Group-IB Threat Intelligence Олег Деров.

По его оценке, основными причинами большого числа инцидентов стала недостаточная защищенность цифровых активов бизнеса и увеличение количества кибератак, вызванных мировым кризисом.

За 2022 год общий объем выставленных на продажу или размещенных в открытом доступе данных россиян превысил рекордные 2,8 терабайта, оценивали Forbes в «РТК-Солар».

Оказалось, что от утечек не защищена ни одна сфера российского бизнеса — жертвами злоумышленников становились финансовые, страховые и IT-компании, сервисы доставки, мобильные операторы, онлайн-магазины различных товаров и услуг, онлайн-кинотеатры, развлекательные и образовательные порталы, кафе, рестораны, социальные сети, а также энергетические, промышленные, туристические, строительные, транспортные и медицинские компании.

Добровольно-принудительно

Роскомнадзор принимает участие в обсуждении законопроекта, предложенного Минцифры, заявили в службе. «Цель законопроекта — не только увеличение ответственности для операторов, допустивших утечку, но и формирование модели справедливой компенсации гражданам, чьи данные были скомпрометированы», — добавляют в Роскомнадзоре.

Ряд опрошенных Forbes источников, впрочем, заверяют: с бизнесом документ не обсуждается, он готовится внутри Минцифры.

Изначально предложенная версия законопроекта критиковалась рынком, и в Минцифры решили «докручивать» ее без участия бизнеса совсем, рассуждает источник в одной из крупнейших IT-компаний.

«Те версии, которые обсуждались в прошлом году, могут иметь потенциальный катастрофический эффект для отрасли как от самих оборотных штрафов, так и от появления нового вида шантажа (когда злоумышленник приходит с некоей скомпилированной базой и говорит: либо покупаете ее у меня, либо я ее публикую и вам прилетает оборотный штраф), — размышляет собеседник Forbes. — В законопроекте также есть, по сути, безвиновная ответственность — штраф за сам факт утечки. То есть компании могут все деньги потратить на информбезопасность, но, если их взломают, им придется платить штраф».

Компенсация — как она была предложена — будет, помимо всего прочего, очень сложно администрируемой, размышляет другой источник Forbes в IT-отрасли. Основополагающим принципом для такого рода механизмов должна быть «полная и абсолютная добровольность», убежден он.

В Ассоциации больших данных (АБД, объединяет «Яндекс», VK, «Сбер», Газпромбанк, Тинькофф Банк, «Мегафон», «Ростелеком» и др.) также сообщили, что с текстом проекта не ознакомлены. «С бизнесом не обсуждалась редакция, о которой говорил министр.

Но надеемся, что такое обсуждение будет запланировано», — отмечают в АБД. Там подчеркивают, что ответственность с неопределенным составом (за утечку вообще, независимо от причин) является фактически безвиновной в ряде случаев.

«Это означает, что ответственность должна компенсироваться исполнимыми смягчающими обстоятельствами либо состав нарушения должен быть определен: это может быть, например, неисполнение правовых, организационных и технических мер защиты информации.

В противном случае это противоречит общим принципам КоАП, и ответственность может наступит без вины», — заявили Forbes в АБД.

В пресс-службе «Вымпелкома» (бренд «Билайн») отмечают, что компания готова участвовать в доработке законопроекта. «Главное — найти баланс интересов и сохранить ресурсы для повышения защищенности данных клиентов», — добавили в компании.

Главным вопросом этого законопроекта является то, будет ли нести ответственность компания за сам факт утечки или же за недостаточные меры по защите данных, в результате которых они были скомпрометированы, поясняет источник Forbes в крупной IT-компании.

По его словам, бизнес-сообщество предлагает Минцифры определить жесткие правила по защите данных, но полностью убрать оборотные штрафы в случае, если компания их выполняла, но утечка произошла.

Однако пока такая концепция не поддержана регулятором, сетует собеседник Forbes.

Действующее законодательство уже позволяет взыскивать компенсации всем заинтересованным лицам, и такая практика существует, указывают в АБД, добавляя, что «вряд ли компенсации от бизнеса в виде смягчающего обстоятельства — это правовой механизм».

«Такие механизмы могут быть только добровольными.

Добровольные практики ответственного поведения при утечке обсуждаются в настоящее время на Совете по совершенствованию практик работы с данными и могут быть в ближайшее время приняты как рекомендуемые отраслевые практики», — заключили в АБД.

В пресс-службе вице-премьера Дмитрия Чернышенко сообщили, что документ от Минцифры в аппарат не поступал. В пресс-службе Минэкономразвития сообщают, что законопроект в министерство не направлялся.

«Как только документ поступит, он будет рассмотрен в установленном порядке», — добавили в Минэкономразвития. В «Яндексе», МТС, Tele2, Ozon, Avito отказались от комментариев. Минфин переадресовал запрос Forbes в Минцифры.

В Минцифры не ответили на запрос.

Заложники «Госуслуг»

Если компания сама определяет сумму компенсации, это может привести к злоупотреблениям с ее стороны и искусственным занижениям размера компенсации, считает преподаватель образовательной платформы Moscow Digital School Александра Орехович.

Однако, с другой стороны, такое регулирование может позволить избегать случаев так называемого потребительского терроризма — случаев, когда при утечке данных своих клиентов компании имели бы риск стать заложниками ситуации и оплачивать компенсации, несопоставимые с последствиями утечки, считает Александра Орехович.

По мнению руководителя практики интеллектуальной собственности юридической фирмы DRC Владимира Ожерельева, главное — чтобы пострадавшие от утечки имели право оспорить предложенную оператором сумму.

Но и в таком случае в законодательстве по-прежнему не хватает механизмов для определения адекватного размера компенсации, считает он. «Далеко не во всех случаях можно будет связать скомпрометированную информацию с данными конкретной учетной записи на «Госуслугах».

В этом случае реальную пользу от такого механизма получат только те граждане, чьи скомпрометированные данные обладают связью с учетной записью на «Госуслугах», — заключает он.