Госдума в третьем чтении приняла закон (законопроект № 729516-7), которым в КоАП устанавливается ответственность оператора за невыполнение обязанности по хранению данных пользователей, а также закрепляются административные штрафы за повторное нарушение законодательства о защите информации.
Так, законом установлены штрафы за невыполнение оператором обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории России. Для граждан штраф составит от 30 до 50 тыс. руб., для должностных лиц – от 100 до 200 тыс. руб. Юридическим лицам придется заплатить от 1 до 6 млн руб. В случае повторного совершения правонарушения штраф составит от 50 до 100 тыс. руб., от 500 до 800 тыс. руб. и от 6 до 18 млн руб. соответственно.
Законом предусматривается ответственность за повторное неуведомление организатором распространения информации использования программ, принимающих, передающих, доставляющих или обрабатывающих сообщения пользователей. Штраф для граждан будет варьироваться в пределах от 5 до 10 тыс. руб., для должностных лиц – от 50 до 100 тыс. руб., для юрлиц – от 500 тыс. руб. до 1 млн руб. Такая же ответственность предусматривается за повторное нарушение порядка распространения среди детей информации, причиняющей вред их здоровью или развитию.
Устанавливается ответственность и за повторное неисполнение обязанности хранить и предоставлять правоохранительным органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности России, информацию о фактах приема, передачи, доставки или обработки голосовой информации, письменного текста, изображений, звуков или иных электронных сообщений пользователей. Также предусматривается повторная ответственность за непредставление информации, необходимой для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений. Штраф для граждан составит от 15 до 30 тыс. руб. для должностных лиц – от 100 до 500 тыс. руб., а для юрлиц – от 2 млн до 6 млн руб. Такие же штрафы предусмотрены в случае повторного неисполнения обязанности обеспечивать реализацию требований к оборудованию и программно-техническим средствам, используемым организатором.
За повторное распространение владельцем аудиовизуального сервиса телеканала, телепрограммы после принятия решения о прекращении или приостановлении вещания для граждан предусмотрен штраф в размере от 10 до 20 тыс. руб., для должностных лиц – от 100 до 200 тыс. руб., для юрлиц – от 700 тыс. до 1 млн руб.
В случае повторного распространения информации, содержащей публичные призывы к осуществлению террористической деятельности, материалов, публично оправдывающих терроризм, или других материалов, призывающих к осуществлению экстремистской деятельности либо обосновывающих или оправдывающих необходимость осуществления такой деятельности, для граждан штраф варьируется в размере от 150 до 300 тыс., для должностных лиц – от 600 до 800 тыс., а для юрлиц – от 1,5 до 5 млн руб.
Законом устанавливается ответственность за повторное неисполнение организатором сервиса обмена мгновенными сообщениями установленных законодательством о защите информации обязанностей. Граждане должны будут заплатить штраф от 5 до 10 тыс. руб., должностные лица – от 50 до 70 тыс. руб., а юрлица – от 1 до 2 млн руб.
За повторное неисполнение оператором поисковой системы обязанности по подключению к федеральной государственной информационной системе информационных ресурсов, информационно-телекоммуникационных сетей, доступ к которым ограничен на территории России, гражданин заплатит от 30 до 100 тыс. руб., должностное лицо – от 100 до 500 тыс. руб., юрлицо – от 1,5 до 5 млн руб. Такие же штрафы предусмотрены за повторное неисполнение обязанности по прекращению выдачи по запросам пользователей сведений о доменном имени и об указателях страниц сайтов, доступ к которым ограничен на основании соответствующего решения Московского городского суда, или копий заблокированных сайтов.
Законом устанавливается, что во всех приведенных случаях индивидуальные предприниматели несут ответственность как юридические лица.
В комментарии «АГ» руководитель практики IP/IT Maxima Legal Максим Али отметил, что закон призван устранить парадоксальную ситуацию, которая сложилась после последнего внесения поправок в ст. 13.11 КоАП в 2017 г. «В результате их принятия “общий” штраф за нарушения законодательства о персональных данных исчез, а специальные составы правонарушений не охватывали случаи нарушения операторами обязанности по локализации персональных данных россиян. Особенно странно данное положение дел выглядит на фоне того, что такое нарушение может стать причиной для блокировки интернет-сервиса (что и случилось в деле LinkedIn'а)», – подчеркнул юрист.
Максим Али усомнился в том, насколько оправданны столь высокие размеры штрафов, учитывая, что к административной ответственности могут быть привлечены не только крупные интернет-компании. «Установление таких штрафов очень хорошо демонстрирует современные приоритеты государства: даже самое грубое нарушение интересов гражданина в сфере обработки персональных данных обойдется в 240 раз дешевле, чем невыполнение требований по локализации. Хотя, казалось бы, законодательство о персональных данных существует в первую очередь в интересах пользователей», – резюмировал Максим Али.
Партнер, руководитель практики Privacy & Data Protection компании «Томашевская и партнеры» Нелли Томашевская отметила, что, как бы субъекты административной ответственности ни относились к закону, высокие штрафы за несоблюдение законодательства о работе с данными стали признанным инструментом регулирования в данной сфере. Так, Общий регламент по защите данных ЕС (GDPR) устанавливает штрафы в десятки миллионов евро и в проценте от годовой выручки организации-нарушителя, что значительно больше, чем предлагается установить в КоАП.
«Однако законодатель предлагает увеличить штрафы за нелокализацию персональных данных, выдачу ссылок на запрещенные ресурсы, невыполнение требований “пакета Яровой” и другие подобные нарушения. При этом в этом году мы были свидетелями целого ряда утечек персональных данных, наказание за которые до сих пор остается символическим – 30–50 тыс. руб. Я считаю, что санкции за нарушения в сфере персональных данных должны быть пропорциональными вне зависимости от политической значимости тех или иных нарушений», – отметила Нелли Томашевская.
Кроме того, она обратила внимание на то, что до сих пор не разработаны однозначные методики проверки локализации персональных данных. Нелли Томашевская указала, что пока что Роскомнадзор проверяет принципиальную возможность локализации данных крупными игроками, а не реальный факт локализации. Например, в апреле у Twitter запрашивались копия заверенной «блок-схемы рабочих мест, на которых осуществляется размещение баз данных», справки о постановке на балансовый учет приобретенных серверных мощностей или копии договора аренды серверных мощностей в России. Таким образом, считает Нелли Томашевская, реальная проверка локализации данных пока ни разу не проводилась.
