Вопрос регулирования персональных данных в первую очередь актуализировался со вступлением в силу с 30 мая Федерального закона № 420-ФЗ, который внес существенные изменения в КоАП РФ. А именно, были введены как отдельные дополнительные составы, так и повышены штрафы за уже имеющиеся составы правонарушений (см. таблицу).
|
Нарушение |
Штраф |
|
непредоставление уведомления о намерении осуществлять обработку персональных данных в Роскомнадзор (ч. 10 ст. 13.11 КоАП РФ) |
в размере от 100 тыс. руб. до 300 тыс. руб. для юридических лиц и от 30 тыс. руб. до 50 тыс. руб. для должностных лиц. |
|
за неуведомление или несвоевременное уведомление Роскомнадзора об «утечке» персональных данных (ч. 11 ст. 13.11 КоАП РФ) |
в размере от 1 млн руб. до 3 млн руб. для юридических лиц и от 400 тыс. руб. до 800 тыс. руб. для должностных лиц. Операторы, обрабатывающие персональные данные обязаны уведомлять Роскомнадзор в течение 24 часов с момента выявления сведений об инциденте безопасности, который повлек нарушение прав субъектов персональных данных. |
|
за «утечки» персональных данных за первичное нарушение (ч. 12-14 ст. 13.11 КоАП РФ |
в размере до 15 млн руб. для юридических лиц. |
|
за обработку персональных данных в случаях, не предусмотренных законодательством, или несовместимых с целями сбора (ч.1 ст. 13.11 КоАП РФ) |
до 150 тыс. руб. – 300 тыс. руб. для юридических лиц; от 50 тыс. руб. до 100 тыс. руб. для должностных лиц. |
Закрепленные в ч. 12-14 ст. 13.11 КоАП РФ составы варьируются в зависимости от количества субъектов персональных данных, чьи интересы были затронуты утечкой. В зависимости от количества таких субъектов, соответственно, зависит и корреспондирующий размер административного штрафа. Следует отметить, что минимальное нарушение, за которое установлен штраф должно касаться 1 000 субъектов и (или) 10 000 id.
При этом, под id понимается уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу (ч. 4 ст. 13.11 КоАП РФ).
На дату вступления Закона № 420-ФЗ в силу, однако, не было опубликовано каких-либо официальных разъяснений в отношении того, как именно должен толковаться термин id и как, к примеру, должен оцениваться критерий «уникальности».
Также были предусмотрены новые составы за допущение «утечки» специальных категорий персональных данных и биометрии (ч.16-17 ст. 13.11 КоАП РФ).
Отдельно стоит отметить, что с 30 мая в связи с вступлением в силу Закона № 420-ФЗ также начали действовать и так называемые «оборотные» штрафы. По сути это штрафы, предусмотренные ч. 15, 18 ст. 13.11 КоАП РФ за повторное совершение правонарушений, связанных с утечкой как общих, так и специальных или биометрических категорий персональных данных.
Так, за повторную утечку персональных данных штраф для юридических лиц может составить до 3% от выручки (не менее 20 млн руб. и не более 500 млн руб.). При повторной же утечке биометрии или специальных категорий данных оборотный штраф также может составлять 3% от выручки, однако минимальный порог уже будет в размере 25 млн руб. (максимальный при этом также 500 млн. руб.).
В свете начала действия «оборотных» штрафов немаловажно помнить о том, что законодателем также были обозначены отдельные обстоятельства, которые могут быть расценены как «смягчающие» при назначении административного наказания.
Так, в ст. 4.1 КоАП РФ, устанавливающей общие правила назначения административного наказания, закрепляются смягчающие обстоятельства, которые могут быть учтены при расчете штрафа за повторную «утечку» иных категорий персональных данных и (или) специальных и биометрических персональных данных по ч. 15 и части 18 ст. 13.11 КоАП РФ.
При одновременном выполнении смягчающих обстоятельств возможно существенное уменьшение штрафа.