В декабре 2023 г. произошли заметные события в сфере обработки персональных данных (ПДн), которые актуальны для всех направлений бизнеса.
1. 23 декабря 2023 г. вступил в силу закон[1] с изменениями в КоАП РФ, которые:
- увеличивают ответственность за обработку ПДн, когда требуется письменное согласие субъекта[2], но оно не получено или оформлено неправильно. Штраф для компаний – до 700 тыс. руб., за повторное нарушение – до 1,5 млн руб.;
- вводят ответственность за нарушения при размещении биометрических ПДн в единой биометрической системе (ЕБС). Штраф для компаний – до 1 млн руб. Это коснется банков и тех организаций, которые будут собирать и обновлять биометрию для ЕБС. Иные нарушения при обработке биометрии также могут повлечь ответственность, в частности, по ч. ч. 1, 1.1, 2, 2.1 ст. 13.11 КоАП РФ.
2. 12 декабря 2023 г. вступил в силу закон[3], временно смягчающий требования в области авторизации пользователей интернет-ресурсов.
С 1 декабря 2023 г. российские владельцы информационных ресурсов (например, интернет-сайтов, приложений) для авторизации пользователей, находящихся в России (т.е. для подтверждения того, что пользователь действительно является тем, кем себя указывает), должны применять один из следующих способов: мобильный номер телефона, сервис Госуслуг, ЕБС или иную информационную систему. Последняя должна принадлежать гражданину РФ или юридическому лицу, подконтрольному российскому публично-правовому образованию или гражданину.
Новый закон вводит переходный период до 1 января 2025 г., в течение которого действуют более щадящие требования к указанным информационным системам. В частности, расширяется перечень лиц, которым может принадлежать такая система. Например, самому российскому владельцу ресурса, подконтрольной ему российской организации или российской организации, контролирующей самого владельца, либо экономически значимой российской компании или ее дочернему обществу, либо некоторым другим российским организациям.
Также закон исключил требование о том, что для авторизации посредством мобильного номера телефона требуется заключение с оператором связи отдельного договора об идентификации.
Вероятно, проверки соблюдения требования об авторизации контролирующий орган сможет проводить дистанционно. Наряду с выявлением нарушений в этой области, могут быть обнаружены недоработки и в сфере обработки ПДн, которые влекут существенные штрафы.
3. 4 декабря 2023 г. в Госдуму внесены законопроекты (№ 502104-8[4] и № 502113-8[5]), существенно увеличивающие ответственность за нарушения при обработке ПДн.
Прежде всего, вводится существенная административная ответственность за утечки ПДн (законопроект № 502104-8).
Предлагается дополнить ст. 13.11 КоАП РФ новыми частями 12–17, согласно которым за действия (бездействия) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей ПДн, может быть назначен значительный административный штраф, размер которого будет зависеть от числа пострадавших субъектов, количества или чувствительности утекших данных.
Так, штраф для компаний может составить:
- до 5 млн руб., если утечка коснется от 1 тыс. до 10 тыс. субъектов (и/или от 10 тыс. до 100 тыс. идентификаторов[6]);
- до 10 млн руб., если пострадают от 10 тыс. до 100 тыс. субъектов (и/или от 100 тыс. до 1 млн идентификаторов);
- до 15 млн руб. для инцидента в отношении свыше 100 тыс. субъектов (и/или более 1 млн идентификаторов).
За утечку специальной категории ПДн компанию могут оштрафовать на сумму до 15 млн руб. вне зависимости от числа пострадавших субъектов или утекших записей.
За повторное нарушение размер штрафа для организаций будет зависеть от совокупного размера выручки (до 3%) за предшествующий год (или иной указанный в законе период), но в любом случае составит не менее 15 млн и не более 500 млн руб.
Также законопроектом предусматривается:
- ответственность за неуведомление (несвоевременное уведомление) Роскомнадзора о намерении осуществлять обработку ПДн (для компаний штраф до 300 тыс. руб.);
- ответственность за неуведомление (несвоевременное уведомление) Роскомнадзора об утечке (для компаний штраф до 3 млн руб.);
- существенное увеличение штрафов за общие нарушения в области ПДн (ч.ч. 1 и 1.1 ст. 13.11 КоАП РФ - обработка ПДн в случаях, не предусмотренных законодательством РФ, либо несовместимая с целями сбора ПДн).
В УК РФ вводится ст. 272.1, устанавливающая новые составы преступлений (законопроект № 502113-8):
- незаконное использование (передача, сбор, хранение) компьютерной информации, содержащей ПДн. Максимальное наказание (с учетом отягчающих обстоятельств) - до 10 лет лишения свободы со штрафом в размере до 3 млн руб.; возможно лишение права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет;
- создание и/или обеспечение функционирования информационных ресурсов, заведомо предназначенных для незаконной обработки компьютерной информации, содержащей ПДн. Максимальное наказание - до 5 лет лишения свободы со штрафом в размере до 700 тыс. руб.; возможно лишение права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет.
Указанные законопроекты планируется рассмотреть в весеннюю сессию 2024 г.
Кроме этого, 22 декабря 2023 г. в Госдуму внесен законопроект[7], предлагающий наделить Роскомнадзор правом проводить внеплановые проверки при поступлении к нему информации об утечках.
4. Ко второму чтению в Госдуме подготовлен законопроект про обезличивание ПДн[8] .
В законопроекте предлагается следующий механизм обезличивания:
- создание государственной информационной системы (ГИС), где будут находиться сформированные Минцифры составы данных, полученных в результате обезличивания ПДн, т.е. такие базы сведений о людях, из которых нельзя установить конкретного человека;
- Минцифры будет вправе требовать от операторов предоставить сведения для формирования базы. При этом возможны два варианта обезличивания: операторы смогут самостоятельно обезличить ПДн или предоставить их «как есть», а обезличивание осуществит Минцифры;
- пользователями ГИС будут являться госорганы (и подведомственные им организации), а также те частные лица, кого включат в специальный перечень, который будет вести правительственная комиссия. Статус комиссии и порядок предоставления доступа к данным ГИС определит Правительство РФ. Доступ к обезличенным данным, сформированным из данных, полученных от операторов частного сектора, после их загрузки в ГИС в первые три года будут иметь только госорганы;
- планируется запрет на запись, извлечение и передачу данных из ГИС (т.е. работать с данными можно будет исключительно в самой системе), а также запрет на предоставление результатов обработки иностранным лицам.
Предусмотренная проектом дата вступления в силу новых положений - 1 сентября 2024 г.
Законопроект был внесен в Госдуму еще летом 2020 г. Тогда в нем, помимо вопросов обезличивания, предусматривались также иные поправки. В частности, предлагалось закрепить возможность выдавать письменное согласие на обработку ПДн на несколько целей и нескольким лицам. В редакции проекта ко второму чтению такие поправки отсутствуют.
РЕКОМЕНДАЦИИ:
- Проведите ревизию локальных актов, согласий и договоров на предмет соответствия новому регулированию.
- Оцените, насколько защищены от утечек информационные системы, используемые в вашем бизнесе.
- Проверьте, нужно ли корректировать работу интернет-сайта или иных цифровых ресурсов ввиду новых правил об авторизации российских пользователей.
Данный материал подготовлен исключительно в информационных и/или образовательных целях и не является юридической консультацией или заключением. ЕПАМ, его руководство, адвокаты и сотрудники не могут гарантировать применимость такой информации для Ваших целей и не несут ответственности за Ваши решения и связанные с ними возможные прямые или косвенные потери и/или ущерб, возникшие в результате использования содержащейся в данных материалах информации или какой-либо ее части.
________________________________________________________________________________________________
[1] Федеральный закон от 12.12.2023 № 589-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».
[2] Например, при обработке специальных категорий ПДн (в частности, сведений о состоянии здоровья), биометрических ПДн или при передаче третьим лицам ПДн работников.
[3] Федеральный закон от 12.12.2023 № 588-ФЗ «О внесении изменения в статью 8 Федерального закона «Об информации, информационных технологиях и о защите информации»».
[4] Законопроект № 502104-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (в части административной ответственности за утечки персональных данных): https://sozd.duma.gov.ru/bill/502104-8.
[5] Законопроект № 502113-8 «О внесении изменений в Уголовный кодекс Российской Федерации»: https://sozd.duma.gov.ru/bill/502113-8.
[6] Под идентификаторами понимаются уникальные обозначения сведений о физических лицах, необходимые для определения таких лиц (возможно, к таким обозначениям будут относиться, например, серия и номер паспорта, СНИЛС, ИНН).
[7] Законопроект № 518022-8 «О внесении изменений в статью 27 Федерального закона «О связи» и Федеральный закон «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации»»: https://sozd.duma.gov.ru/bill/518022-8.
[8] Законопроект № 992331-7 О внесении изменений в Федеральный закон "О персональных данных" (в части уточнения порядка обработки персональных данных): https://sozd.duma.gov.ru/bill/992331-7.