18 мая Госдума приняла соответствующие поправки в Кодекс об Административных правонарушениях. Повышение штрафов происходит впервые с 2007 года.
Теперь штрафы за разглашение персональных данных будут такие:
для частных лиц составит 5-10 тыс. руб. — вместо 500 руб.-1 тыс. руб.,
а для юридических — от 10 до 50 тыс. руб. вместо 1-5 тыс.
(Ст. 13.14 КоАП РФ «Разглашение информации с ограниченным доступом»).
Штрафы применяются в тех случаях, когда огласка персональных данных не привела к возбуждению уголовного дела. Текущие штрафные ставки были утверждены еще в 2007 году и сегодня, конечно, представляются довольно скромными. Чем руководствовались и авторы поправок, справедливо отмечая в пояснительной записке, что «действующие в настоящее время размеры санкций за разглашение информации с ограниченным доступом … предусматривают незначительный штраф …, что не обеспечивает надлежащего профилактического эффекта и не является стимулом для соблюдения требований законодательства Российской Федерации о защите информации».
Но еще не конец
Авторы поправок — депутаты Василий Пискарев и Дмитрий Вяткин — внесли проект на рассмотрение Госдумы еще в сентябре 2020 года. 18 мая Госдума приняла его в третьем чтении — т. е. полностью одобрила предложенные в закон изменения. Но принятый Госдумой законопроект еще должен пройти одобрение Совета Федерации и после — ратификацию у Президента РФ. Только после этого он вступит в силу.
Так что пока конкретной даты — когда же начнут действовать новые штрафные санкции — нет.
Силовики под особой защитой
Помимо этого, существенно ужесточена ответственность за «разглашение сведений о мерах безопасности, применённых в отношении должностного лица правоохранительного или контролирующего органа либо в отношении его близких» (ст. 17.13 КоАП РФ «Разглашение сведений о мерах безопасности»).
Теперь, если не будет возбуждено уголовное дело, но доказан факт разглашения такой информации, простых граждан могут наказать штрафом от 50 до 70 тыс. руб., должностных лиц — от 100 до 300 тыс., для юридических лиц — от 300 до 500 тыс. руб. Должностных лиц к тому же могут дисквалифицировать на срок до 3-х лет.
Сейчас в этом отношении пока действуют штрафы, утвержденные еще в 2007 году: 300-500 рублей для простых граждан и от 500 до тысяч рублей для должностных лиц.
А как в других странах?
В многих странах наказание за разглашение ПД регламентируется куда как жестче.
Рассказывает юрист iFreedomLab Левон Саргсян:
Европейский Союз
с 2016 года там действует Общий регламент по защите данных, больше известный у нас по аббревиатуре GDPR. Наказание за неправомерное обращение с ПД по GDPR бывает только административным (т. е. предполагает штрафные санкции), а определение тяжести наказания определяется индивидуально в каждом случае по совокупности факторов — закон описывает десяток критериев.
Наказание для частных лиц (пп.4-5-6 ст. 86 GDPR) может достигать 20 млн евро, а для компаний — до 4% от общего годового мирового оборота за предыдущий финансовый год.
Как мы видим, наказание за неправомерное обращение с ПД в ЕС весьма суровое.
США
Сразу отметим, что в США своеобразная юридическая система и единого подхода к защите ПД нет. Отсутствует единый для всей страны закон в области защиты конфиденциальности и обращения с ПД, однако встречаются собственные законы на уровне штатов, и они могут существенно различаться.
Например, такой закон есть в штате Калифорния — «О правах на конфиденциальность» (California Consumer Privacy Act / CCPA). Ответственность по CCPA немного сходна с европейской концепцией. Следит за соблюдением CCPA Генеральный прокурор Калифорнии.
В отношении организаций — если генеральный прокурор узнает, что некая компания нарушила CCPA, то этой организации вначале дается 30 дней на устранение нарушения, а после компания может быть оштрафована на сумму от 2 500 до 7 500 долларов США за каждое нарушение.
Для частных лиц ССРА позволяет обращаться с исками против компаний в случае утечки персональных данных, вызванных ненадлежащими мерами по их защите. Граждане могут взыскать от 100 до 750 долларов США на одного за каждое нарушение или реальный (причиненный) ущерб.
В остальных штатах США таких отдельных актов не установлено и вопросы о нарушении обращения с ПД разрешаются с помощью других законов, — регулирующих медицинскую тайну, банковскую тайну и т.д.
Австралия
Базовый закон по защите данных в Австралии — «О неприкосновенности частной жизни» (Privacy Act 1988), в нем описана схема регулирования защиты данных.
Он устанавливает штраф (ст. 13G) за серьезные и неоднократные нарушения конфиденциальности в размере 2000 штрафных единиц. Размер такой единицы (Penalty Unit) зависит от штата и, как правило, составляет не менее 100 австралийских долларов (в мае 2021 это около 5700 руб.). Также этот закон позволяет применять уголовный кодекс Австралии ко всем преступлениям, вытекающим из нарушений этого закона.
Т.о., неправомерное обращение с ПД в Австралии чревато не только большими штрафами, но и уголовной ответственностью — т. е. тюремным заключением.
Украина
У ближайших соседей тоже существенно более строгий подход к наказаниям за нарушения конфиденциальности и при этом во многих случаях предусмотрено уголовное наказание вплоть до лишения свободы на несколько лет. С 2011 г. в стране действует закон «О защите персональных данных», а ответственность за неправомерное обращение с ПД там предусмотрена и административная, и уголовная; она описана в соответствующих кодексах страны (Кодекс об административных правонарушениях Украины (КУоАП) и Уголовный Кодекс Украины (УКУ) — у нас довольно похожие правовые системы).
КУоАП (ст. 188-39) налагает штрафы за нарушение законодательства о ПД в размере от 100 до 2000 необлагаемых налогом минимумов доходов граждан (далее — НОНМДГ), он в 2021 году равен 1135 гривен (это в мае 2021 около 3000 руб.).
В УКУ (ст. 182) описана ответственность за незаконные обращение с ПД в виде штрафов от 500 до 1000 НОНМДГ или исправительными работами на срок до 2 лет, или арестом на срок до 6 месяцев, или ограничением свободы на срок до 3 лет. Если все эти правонарушения совершаются повторно, или если они причинили существенный вред — то правонарушителям грозит или арест на 3-6 месяцев, или ограничение или даже лишение свободы на 3-5 лет.