Заключение Комитета Государственной Думы Федерального Собрания РФ по информационной политике, информационным технологиям и связи на проект федерального закона N 502104-8 "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях", внесенный сенаторами Российской Федерации А.А. Турчаком, А.А. Клишасом и другими, депутатами Государственной Думы А.Е. Хинштейном, И.А. Панькиной и другими (не действует)

Заключение Комитета Государственной Думы Федерального Собрания РФ по информационной политике, информационным технологиям и связи
на проект федерального закона N 502104-8 "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях",
внесенный сенаторами Российской Федерации А.А. Турчаком, А.А. Клишасом и другими, депутатами Государственной Думы А.Е. Хинштейном, И.А. Панькиной и другими

Досье на проект федерального закона

Комитет Государственной Думы по информационной политике, информационным технологиям и связи (назначен соисполнителем по законопроекту Решением Совета Государственной Думы от 13 декабря 2023 года, протокол N 144) рассмотрел внесенный сенаторами Российской Федерации А.А. Турчаком, А.А. Клишасом и другими, депутатами Государственной Думы А.Е. Хинштейном, И.А. Панькиной и другими проект федерального закона N 502104-8 "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях", в части вопросов, отнесенных к ведению Комитета и отмечает следующее.

В настоящее время максимальный размер административного штрафа за незаконную обработку персональных данных либо обработку, несовместимую с целями сбора персональных данных, в соответствии с частями 1 и 1.1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях, для юридических лиц установлен в размере 100 тыс. руб., а при повторном совершении такого правонарушения - до 300 тыс. руб.

Полагаем, что указанный размер административного штрафа противоречит принципу соразмерности с последствиями от произошедших утечек персональных данных в результате противоправных, виновных действий правонарушителя, тяжести, размера и характера причиненного гражданам ущерба. В этой связи законопроектом предлагается увеличить штрафы за такие нарушения, которые для юридических лиц составят от 150 до 300 тыс. руб., а за повторное нарушение - в размере от 300 до 500 тыс. руб.

Проектом федерального закона статья 13.11 Кодекса Российской Федерации об административных правонарушениях дополняется также новыми составами административных правонарушений.

В частности, вводится административная ответственность за невыполнение оператором предусмотренной частью 1 статьи 22 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных. Так, для организаций размер штрафа составит от 100 до 300 тыс. руб. Также вводится ответственность за невыполнение оператором предусмотренной частью 3.1 статьи 21 вышеуказанного Федерального закона обязанности уведомлять уполномоченный орган по защите прав субъектов персональных данных о случаях неправомерной передачи персональных данных, повлекших нарушение прав субъекта персональных данных. При этом, в частности, для организаций устанавливается штраф в размере штраф от 1 до 3 млн. руб.

Законопроектом вводятся и разграничиваются виды административного наказания за нарушение законодательства Российской Федерации в области персональных данных в зависимости от количества субъектов персональных данных и идентификаторов, в отношении которых произошла утечка.

Так, действие (бездействие) оператора, повлекшие неправомерную передачу информации, включающей персональные данные от 1 до 10 тыс. субъектов персональных данных либо от 10 тыс. до 100 тыс. уникальных обозначений сведений о физических лицах (идентификаторов) влечет наложение административных штрафов, например, для юридических лиц в размере от 3 до 5 млн. руб. Если утечка произошла в отношении персональных данных от 10 тыс. до 100 тыс. субъектов персональных данных, либо от 100 до 1 млн. идентификаторов - размеры штрафов только для организаций составят от 5 до 10 млн. руб. В случае утечки данных более чем 100 тыс. субъектов персональных данных либо более 1 млн идентификаторов - размер штрафа для юридических лиц составит от 10 до 15 млн. руб. Вне зависимости от объема утекших данных вводится административная ответственность за действия (бездействие) оператора, повлекшие неправомерную передачу информации, включающей специальную категорию персональных данных, с максимальным штрафом до 15 млн. руб. только для организаций.

Также вводятся оборотные штрафы за вышеуказанные утечки персональных данных и идентификаторов - за повторное нарушение штраф составит от 0,1 до 3% выручки за календарный год или за часть текущего года, но не менее 15 млн. руб. и не более 500 млн. руб. При этом за совершение вышеуказанных административных правонарушений индивидуальные предприниматели несут ответственность как юридические лица.

Поддерживая концепцию проекта федерального закона Комитет Государственной Думы по информационной политике, информационным технологиям и связи отмечает, что его принятие создаст условия по мотивированию операторов персональных данных обеспечивать необходимый уровень развития инфраструктуры информационной безопасности и защиты персональных данных своих пользователей. Введение законопроектом административного наказания и оборотных штрафов за массовые утечки персональных данных в зависимости от размера и характера причиненного ущерба, тяжести содеянного, повлечет предупреждение нарушений законодательства Российской Федерации в области персональных данных, как самими правонарушителями, так и другими лицами.

С учетом изложенного, Комитет Государственной Думы по информационной политике, информационным технологиям и связи поддерживает проект федерального закона N 502104-8 "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" и рекомендует Государственной Думе принять его в первом чтении.

Председатель комитета

А.Е. Хинштейн