Государственная Дума утвердила поправки, ужесточающие наказание за утечки персональных данных. Это шаг навстречу более жёсткому регулированию обработки данных, направленный на повышение ответственности бизнеса и сдерживание киберпреступников. Нововведения включают оборотные штрафы, уточнённые меры для должностных лиц и уголовное наказание для злоумышленников.
Основные изменения
Оборотные штрафы – миллионы за утечки
Одним из ключевых новшеств стали оборотные штрафы для компаний, допустивших повторные утечки данных. Теперь размер наказания составляет от 1 до 3% годовой выручки. Минимальный порог — 20 млн рублей, максимальный — 500 млн рублей.
Ответственность должностных лиц
Штрафы касаются не только компаний, но и их сотрудников. Если в результате утечки установлена ответственность должностных лиц, они могут быть оштрафованы на сумму до 2 млн рублей.
Это правило распространяется не только на руководителей, но и на тех, кто непосредственно отвечает за обработку данных, включая специалистов по информационной безопасности. Теперь сотрудники, отвечающие за защиту информации, должны быть особенно внимательны к соблюдению всех процедур.
Биометрические данные: усиление контроля
Особое внимание уделено биометрии. Это чувствительный тип данных, и нарушения при их обработке теперь чётко регламентированы.
1. Юридические лица могут быть оштрафованы на сумму до 2 млн рублей.
2. Для должностных лиц штрафы составляют до 1 млн рублей.
(!) Нарушениями считаются как несанкционированный сбор или использование биометрических данных, так и недостаточная защита систем их хранения.
Условия для смягчения штрафов
1. В течение трёх лет инвестировать в кибербезопасность не менее 0,1% от своей годовой выручки.
2. Регулярно проводить аудит систем защиты данных и соблюдать все законодательные требования.
3. Избегать отягчающих обстоятельств — например, грубой халатности, попыток скрыть инцидент или преднамеренного игнорирования рисков.
Все это должно мотивировать компании не только усиливать защиту, но и фиксировать свои усилия документально, чтобы в случае утечки иметь доказательства добросовестной работы.
Уголовная ответственность для злоумышленников
Для тех, кто занимается кражей или незаконным использованием персональных данных, поправки вводят жёсткие меры. Максимальное наказание — до 10 лет лишения свободы.
Это распространяется не только на тех, кто похищает данные, но и на тех, кто их продаёт. Законодательство делает акцент на борьбе с нелегальным рынком персональной информации, который остаётся одним из основных факторов риска для пользователей.
Одним из ключевых новшеств стали оборотные штрафы для компаний, допустивших повторные утечки данных. Теперь размер наказания составляет от 1 до 3% годовой выручки. Минимальный порог — 20 млн рублей, максимальный — 500 млн рублей.
Ответственность должностных лиц
Штрафы касаются не только компаний, но и их сотрудников. Если в результате утечки установлена ответственность должностных лиц, они могут быть оштрафованы на сумму до 2 млн рублей.
Это правило распространяется не только на руководителей, но и на тех, кто непосредственно отвечает за обработку данных, включая специалистов по информационной безопасности. Теперь сотрудники, отвечающие за защиту информации, должны быть особенно внимательны к соблюдению всех процедур.
Биометрические данные: усиление контроля
Особое внимание уделено биометрии. Это чувствительный тип данных, и нарушения при их обработке теперь чётко регламентированы.
1. Юридические лица могут быть оштрафованы на сумму до 2 млн рублей.
2. Для должностных лиц штрафы составляют до 1 млн рублей.
(!) Нарушениями считаются как несанкционированный сбор или использование биометрических данных, так и недостаточная защита систем их хранения.
Условия для смягчения штрафов
1. В течение трёх лет инвестировать в кибербезопасность не менее 0,1% от своей годовой выручки.
2. Регулярно проводить аудит систем защиты данных и соблюдать все законодательные требования.
3. Избегать отягчающих обстоятельств — например, грубой халатности, попыток скрыть инцидент или преднамеренного игнорирования рисков.
Все это должно мотивировать компании не только усиливать защиту, но и фиксировать свои усилия документально, чтобы в случае утечки иметь доказательства добросовестной работы.
Уголовная ответственность для злоумышленников
Для тех, кто занимается кражей или незаконным использованием персональных данных, поправки вводят жёсткие меры. Максимальное наказание — до 10 лет лишения свободы.
Это распространяется не только на тех, кто похищает данные, но и на тех, кто их продаёт. Законодательство делает акцент на борьбе с нелегальным рынком персональной информации, который остаётся одним из основных факторов риска для пользователей.
Для чего нужны эти изменения?
Для повышения ИБ-ответственности бизнеса
Стимулировать компании вкладывать средства в кибербезопасность и соблюдать законодательство. Укрепление инфраструктуры защиты становится более выгодным, чем регулярная уплата штрафов. Также нововведения нацелены на изменение культуры обращения с персональными данными: защита информации больше не просто техническая задача, а обязательный элемент корпоративной ответственности.
Для борьбы со злоумышленниками
Создать дополнительные риски в виде уголовного наказания, что должно сократить мотивацию к кражам и нелегальной торговле данными.
Стимулировать компании вкладывать средства в кибербезопасность и соблюдать законодательство. Укрепление инфраструктуры защиты становится более выгодным, чем регулярная уплата штрафов. Также нововведения нацелены на изменение культуры обращения с персональными данными: защита информации больше не просто техническая задача, а обязательный элемент корпоративной ответственности.
Для борьбы со злоумышленниками
Создать дополнительные риски в виде уголовного наказания, что должно сократить мотивацию к кражам и нелегальной торговле данными.
В качестве вывода
Поправки ужесточают ответственность за утечки и создают новую модель стимулов для всех участников процесса: компании вынуждены усиливать защиту, а злоумышленники сталкиваются с серьёзным риском уголовного преследования.
Для компаний это не только вызов, но и возможность пересмотреть свои подходы к защите данных. Современный бизнес обязан воспринимать персональные данные как актив, который требует защиты наравне с финансовыми и материальными ресурсами.
Для компаний это не только вызов, но и возможность пересмотреть свои подходы к защите данных. Современный бизнес обязан воспринимать персональные данные как актив, который требует защиты наравне с финансовыми и материальными ресурсами.
На данный момент законопроект об ужесточении ответственности за утечку персональных данных прошёл третье (окончательное) чтение в Государственной Думе и направлен на рассмотрение в Совет Федерации. После одобрения Советом Федерации документ должен быть подписан Президентом, чтобы вступить в силу. Таким образом, процесс принятия ещё не завершён.
Если вашей компании нужна консультация, специалисты Infosecurity готовы помочь. Оставьте заявку
