"В качестве обстоятельств, смягчающих административную ответственность оператора за утечку персональных данных, предложено рассмотреть следующие условия: предоставление пострадавшим от утечки гражданам денежной компенсации, осуществление ежегодных расходов на мероприятия по обеспечению информационной безопасности в течение как минимум трех лет, предшествующих нарушению, а также подтверждение соблюдения требований к защите персональных данных при их обработке", - пояснил "Российской газете" основатель профессиональной юридической группы "АИД" Давид Адамс.
По его мнению, смягчение ответственности оператора предполагается одновременно с увеличением их ответственности, т.к. "Госдумой рассматриваются поправки в Кодекс об административных правонарушениях, устанавливающие соответствующие санкции для оператора. А установление смягчающих обстоятельств будет стимулировать операторов персональных данных инвестировать в развитие инфраструктуры информационной безопасности", - отмечает юрист.
Какую ответственность предусматривает сейчас закон об утечке персональных данных
Сейчас за обработку персональных данных в случаях, не предусмотренных законодательством, либо обработку персональных данных, несовместимую с целями сбора персональных данных, юридическим лицам придется заплатить штраф от 60 до 100 тыс. рублей, за повторное совершение административного правонарушения - от 100 до 300 тыс. рублей.
"Составов, предполагающих ответственность оператора за утечку персональных данных, в настоящее время не предусмотрено", - поясняет юрист.
Как предлагается ужесточить ответственность за утечку данных
"В настоящее время Государственной думой в первом чтении приняты поправки в Кодекс об административных правонарушениях и Уголовный кодекс об усилении ответственности за утечку персональных данных.
Поправки в КоАП (ст. 13.11) предполагают установление административной ответственности за действия (бездействие) оператора, из-за которых произошла незаконная передача сведений о физлицах: если утечка персональных данных произошла в отношении от 1 тыс. до 10 тыс. субъектов, то штраф для юридических лиц составит от 3 до 5 млн рублей; от 10 тыс. до 100 тыс. субъектов - от 5 до 10 млн рублей; более 100 тыс. - от 10 до 15 млн рублей.
За повторные утечки оператору могут грозить оборотные штрафы: от 0,1 до 3% выручки за календарный год или за часть текущего года, но не менее 15 млн и не более 500 млн руб.", - разъясняет юрист.
Ответственность юридических лиц за обработку персональных данных в случаях, не предусмотренных законодательством, либо обработку персональных данных, несовместимую с целями сбора персональных данных, будет предполагать штраф от 150 до 300 тыс. рублей. Повторное совершение административного правонарушения повлечет штраф от 300 до 500 тыс. рублей.
Кроме того, предполагается дополнить УК РФ статьей 272.1, которой вводится уголовная ответственность за использование, передачу, сбор и хранение персональных данных, полученных незаконным путем, а также за создание информационных ресурсов, распространяющих такие данные. Максимальный срок лишения свободы - до десяти лет.
Станет ли меньше утечек персональных данных
"На мой взгляд, ужесточение ответственности, в частности, введение новых составов за утечку персональных данных, имеет в первую очередь превентивную функцию, направленную на предотвращение новых правонарушений. Введение же смягчающих обстоятельств позволит компенсировать пострадавшим субъектам вред, причиненный неправомерными действиями", - констатирует юрист.