Главная • База знаний • Алерты • Готовится законопроект о введении новых и об увеличении действующих штрафов за несоблюдение требований в сфере защиты персональных данных

28.08.2023

7 мин. на чтение

Готовится законопроект о введении новых и об увеличении действующих штрафов за несоблюдение требований в сфере защиты персональных данных

en Скачать pdf

Юридическая компания «Пепеляев Групп» сообщает, что сенаторы Андрей Турчак и Ирина Рукавишникова, а также депутат Александр Хинштейн направили на отзыв в Правительство РФ законопроект, которым предложены новые административные штрафы за невыполнение оператором требований Федерального закона «О персональных данных» от 27.07.2006 №152-ФЗ (далее – 152-ФЗ). Кроме того, предусмотрено увеличение действующих штрафов за несоблюдение требований к обработке персональных данных.

Законопроектом предложено дополнить ст. 13.11 КоАП РФ частями 10-17 в следующей редакции:

Норма КоАП РФ	Нарушение	Штраф
ч. 10 ст. 13.11	Невыполнение и (или) несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных	на граждан – от 5 тыс. до 10 тыс. руб.; на должностных лиц – от 30 тыс. до 50 тыс. руб.; на юридических лиц – от 100 тыс. до 300 тыс. руб.
ч. 11 ст. 13.11	Невыполнение и (или) несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению субъектов персональных данных и уполномоченного органа по защите прав субъектов персональных данных в случае установления факта неправомерной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных	на граждан – от 50 тыс. до 100 тыс. руб.; на должностных лиц – от 400 тыс. до 800 тыс. руб.; на юридических лиц – от 1 млн до 3 млн руб.
ч. 12 ст. 13.11	Действия (бездействия) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от 1 тысячи до 10 тысяч субъектов персональных данных, и (или) от 10 тысяч до 100 тысяч уникальных обозначений сведений о физическом лице, необходимых для определения такого лица (далее – идентификаторы), если эти действия (бездействия) не содержат признаков уголовно наказуемого деяния	на граждан – от 100 тыс. до 200 тыс. руб.; на должностных лиц – от 800 тыс. до 1 млн руб.; на юридических лиц – от 3 млн до 5 млн руб.
ч. 13 ст. 13.11	Действия (бездействия) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от 10 тысяч до 100 тысяч субъектов персональных данных, и (или) от 100 тысяч до 1 миллиона идентификаторов, если эти действия (бездействия) не содержат признаков уголовно наказуемого деяния	на граждан – от 200 тыс. до 300 тыс. руб.; на должностных лиц – от 1 млн до 1,5 млн руб.; на юридических лиц – от 5 млн до 10 млн руб.
ч. 14 ст. 13.11	Действия (бездействия) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные более 100 тысяч субъектов персональных данных, и (или) более 1 миллиона идентификаторов, если эти действия (бездействия) не содержат признаков уголовно наказуемого деяния	на граждан – от 300 тыс. до 400 тыс. руб.; на должностных лиц – от 1,5 млн до 2 млн руб.; на юридических лиц – от 10 млн до 15 млн руб.
ч. 15 ст. 13.11	Совершение административного правонарушения, предусмотренного частями 12–14 настоящей статьи, лицом, подвергнутым административному наказанию за административное правонарушение, предусмотренное частями 12–14 настоящей статьи	на граждан – от 400 тыс. до 600 тыс. руб.; на должностных лиц – от 2 млн до 4 млн руб.; на юридических лиц – от 0,1 % до 3 % совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявленного административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, но не менее 15 млн руб. и не более 500 млн руб.
ч. 16 ст. 13.11	Действия (бездействия) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей специальную категорию персональных данных и (или) биометрические персональные данные, за исключением случаев, предусмотренных статьей 13.11⁴ настоящего Кодекса	на граждан – от 400 тыс. до 500 тыс. руб.; на должностных лиц – от 2 млн до 3 млн руб.; на юридических лиц – от 15 млн до 20 млн руб.
ч. 17 ст. 13.11	Совершение административного правонарушения, предусмотренного частью 16 настоящей статьи, лицом, подвергнутым административному наказанию за административное правонарушение, предусмотренное частями 12–14, 16 настоящей статьи	на граждан – от 500 тыс. до 800 тыс. руб.; на должностных лиц – от 3 млн до 5 млн руб.; на юридических лиц – от 0,1 % до 3 % совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявленного административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, но не менее 20 млн руб. и не более 500 млн руб.

Норма КоАП РФ

Нарушение

Штраф

ч. 10

ст. 13.11

Невыполнение и (или) несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных

на граждан – от 5 тыс. до 10 тыс. руб.;

на должностных лиц – от 30 тыс. до 50 тыс. руб.;

на юридических лиц – от 100 тыс. до 300 тыс. руб.

ч. 11

ст. 13.11

Невыполнение и (или) несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению субъектов персональных данных и уполномоченного органа по защите прав субъектов персональных данных в случае установления факта неправомерной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных

на граждан – от 50 тыс. до 100 тыс. руб.;

на должностных лиц – от 400 тыс. до 800 тыс. руб.;

на юридических лиц – от 1 млн до 3 млн руб.

ч. 12

ст. 13.11

Действия (бездействия) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от 1 тысячи до 10 тысяч субъектов персональных данных, и (или) от 10 тысяч до 100 тысяч уникальных обозначений сведений о физическом лице, необходимых для определения такого лица (далее – идентификаторы), если эти действия (бездействия) не содержат признаков уголовно наказуемого деяния

на граждан – от 100 тыс. до 200 тыс. руб.;

на должностных лиц – от 800 тыс. до 1 млн руб.;

на юридических лиц – от 3 млн до 5 млн руб.

ч. 13

ст. 13.11

Действия (бездействия) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от 10 тысяч до 100 тысяч субъектов персональных данных, и (или) от 100 тысяч до 1 миллиона идентификаторов, если эти действия (бездействия) не содержат признаков уголовно наказуемого деяния

на граждан – от 200 тыс. до 300 тыс. руб.;

на должностных лиц – от 1 млн до 1,5 млн руб.;

на юридических лиц – от 5 млн до 10 млн руб.

ч. 14

ст. 13.11

Действия (бездействия) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные более 100 тысяч субъектов персональных данных, и (или) более 1 миллиона идентификаторов, если эти действия (бездействия) не содержат признаков уголовно наказуемого деяния

на граждан – от 300 тыс. до 400 тыс. руб.;

на должностных лиц – от 1,5 млн до 2 млн руб.;

на юридических лиц – от 10 млн до 15 млн руб.

ч. 15

ст. 13.11

Совершение административного правонарушения, предусмотренного частями 12–14 настоящей статьи, лицом, подвергнутым административному наказанию за административное правонарушение, предусмотренное частями 12–14 настоящей статьи

на граждан – от 400 тыс. до 600 тыс. руб.;

на должностных лиц – от 2 млн до 4 млн руб.;

на юридических лиц – от 0,1 % до 3 % совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявленного административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, но не менее 15 млн руб. и не более 500 млн руб.

ч. 16

ст. 13.11

Действия (бездействия) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей специальную категорию персональных данных и (или) биометрические персональные данные, за исключением случаев, предусмотренных статьей 13.11⁴ настоящего Кодекса

на граждан – от 400 тыс. до 500 тыс. руб.;

на должностных лиц – от 2 млн до 3 млн руб.;

на юридических лиц – от 15 млн до 20 млн руб.

ч. 17

ст. 13.11

Совершение административного правонарушения, предусмотренного частью 16 настоящей статьи, лицом, подвергнутым административному наказанию за административное правонарушение, предусмотренное частями 12–14, 16 настоящей статьи

на граждан – от 500 тыс. до 800 тыс. руб.;

на должностных лиц – от 3 млн до 5 млн руб.;

на юридических лиц – от 0,1 % до 3 % совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявленного административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, но не менее 20 млн руб. и не более 500 млн руб.

Согласно п. 2-3 Примечаний к ст. 13.11 КоАП РФ (в ред. законопроекта) в частях 10-17 статьи 13.11 КоАП РФ:

под должностным лицом понимается должностное лицо государственного или муниципального органа, сотрудник государственного или муниципального учреждения;
под юридическим лицом понимается оператор – юридическое лицо, не являющееся государственным или муниципальным органом, государственным или муниципальным учреждением.

Ниже представлены предложения касательно действующих штрафов, предусмотренных ст. 13.11 КоАП РФ:

Норма КоАП РФ	Действующая редакция	Предложенная редакция
ч. 1 ст. 13.11	Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, влечет наложение административного штрафа на граждан в размере от 2 тыс. до 6 тыс. руб.; на должностных лиц – от 10 тыс. до 20 тыс. руб.; на юридических лиц – от 60 тыс. до 100 тыс. руб.	Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частями 2, 11-13 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, влечет наложение административного штрафа на граждан в размере от 10 тыс. до 15 тыс. руб.; на должностных лиц – от 50 тыс. до 100 тыс. руб.; на юридических лиц – от 150 тыс. до 300 тыс. руб.
ч. 1.1 ст. 13.11	Повторное совершение административного правонарушения, предусмотренного частью 1 настоящей статьи, влечет наложение административного штрафа на граждан в размере от 4 тыс. до 12 тыс. руб.; на должностных лиц – от 20 тыс. до 50 тыс. руб.; на индивидуальных предпринимателей – от 50 тыс. до 100 тыс. руб.; на юридических лиц – от 100 тыс. до 300 тыс. руб.	Повторное совершение административного правонарушения, предусмотренного частью 1 настоящей статьи, влечет наложение административного штрафа на граждан в размере от 15 тыс. до 30 тыс. руб.; на должностных лиц – от 100 тыс. до 200 тыс. руб.; на юридических лиц – от 300 тыс. до 500 тыс. руб.

Норма КоАП РФ

Действующая редакция

Предложенная редакция

ч. 1

ст. 13.11

Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, влечет наложение административного штрафа на граждан в размере от 2 тыс. до 6 тыс. руб.; на должностных лиц – от 10 тыс. до 20 тыс. руб.; на юридических лиц – от 60 тыс. до 100 тыс. руб.

Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частями 2, 11-13 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, влечет наложение административного штрафа на граждан в размере от 10 тыс. до 15 тыс. руб.; на должностных лиц – от 50 тыс. до 100 тыс. руб.; на юридических лиц – от 150 тыс. до 300 тыс. руб.

ч. 1.1

ст. 13.11

Повторное совершение административного правонарушения, предусмотренного частью 1 настоящей статьи, влечет наложение административного штрафа на граждан в размере от 4 тыс. до 12 тыс. руб.; на должностных лиц – от 20 тыс. до 50 тыс. руб.; на индивидуальных предпринимателей – от 50 тыс. до 100 тыс. руб.; на юридических лиц – от 100 тыс. до 300 тыс. руб.

Повторное совершение административного правонарушения, предусмотренного частью 1 настоящей статьи, влечет наложение административного штрафа на граждан в размере от 15 тыс. до 30 тыс. руб.; на должностных лиц – от 100 тыс. до 200 тыс. руб.; на юридических лиц – от 300 тыс. до 500 тыс. руб.

Законопроектом также предусмотрено дополнение КоАП РФ статьей 13.11⁴ «Нарушение требований в области обработки биометрических персональных данных».

О чем подумать, что сделать

Операторам персональных данных целесообразно уже сейчас:

проверить наличие сведений об операторе в реестре операторов персональных данных Роскомнадзора (далее – Реестр). В случае отсутствия в Реестре сведений об операторе подать в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных (ст. 22 152-ФЗ);
определить лиц, ответственных за выполнение требований о подаче уведомления о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, а также определить внутреннюю процедуру подачи такого уведомления (ч. 3.1 ст. 21 152-ФЗ);
определить, применимы ли к оператору требования Приказа ФСБ России от 13.02.2023 № 77 «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных»;
обеспечить информированность персонала о требованиях к обработке персональных данных, проводить регулярный контроль знаний.

Помощь консультанта

Специалисты «Пепеляев Групп» готовы оказать компаниям всестороннюю юридическую поддержку.

Спектр услуг «Пепеляев Групп» включает:

проведение полного аудита (в том числе технического) процессов обработки персональных данных, выявление нарушений, приведение процессов в соответствие с требованиями законодательства;
подготовка и направление уведомления о намерении осуществлять обработку персональных данных, уведомления о намерении осуществлять трансграничную передачу персональных данных;
подготовка правовых заключений и проведение консультаций по вопросам обработки персональных данных;
разработка локальных нормативных актов, направленных на выполнение требований законодательства о персональных данных;
правовая поддержка при взаимодействии с Роскомнадзором и/или субъектом персональных данных;
обучение персонала требованиям к обработке персональных данных;
иные услуги.

Вам понравился материал?

Если Вы заметили ошибку или опечатку, выделите ее и нажмите CTRL+Q

Авторы