Новое в регулировании
Установлены многомиллионные штрафы за нарушение законодательства о персональных данных и в сфере информационных технологий
2 декабря 2019 года опубликован Федеральный закон № 405-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации», которым вносятся изменения в Кодекс Российской Федерации об административных правонарушениях (КоАП РФ) и связанные технические изменения в отдельные законодательные акты.
Основное изменение, внесенное этим законом – предусмотрена дополнительная ответственность в виде штрафов за неисполнение обязанности по локализации персональных данных граждан на территории РФ, а также за неисполнение обязанностей, установленных для отдельных субъектов законодательством в сфере информации и информационных технологий. Закон вступил в силу с момента официального опубликования.
Далее – подробная информация об установленной ответственности.
1. Неисполнение обязанности по локализации персональных данных на территории РФ
Федеральным законом «О персональных данных»* (часть 5 статьи 18) установлена обязанность операторов обеспечивать запись, накопление, хранение и ряд иных действий с персональными данными граждан РФ с использованием баз данных, расположенных на территории РФ.
Ранее специальной ответственности за данное нарушение не предусматривалось. Лица, не исполняющие данные требования закона, привлекались к ответственности за не предоставление информации государственному органу (статья 19.7 КоАП РФ, штраф для юридических лиц – от 3000 до 5000 рублей), а их информационные ресурсы могли быть заблокированы на территории РФ.
Нарушение | Граждане | Должностные лица | Юридические лица |
Первоначальное | 30 000 — 50 000 рублей | 100 000 — 200 000 рублей | 1 000 000 — 6 000 000 рублей |
Повторное | 50 000 — 100 000 рублей | 500 000 — 800 000 рублей | 6 000 000 — 18 000 000 рублей |
Дополнительно установлено, что лица, осуществляющие предпринимательскую деятельность без образования юридического лица (например, индивидуальные предприниматели), несут ответственность как юридические лица.
В качестве должностных лиц за данное нарушение могут быть, в частности, привлечены лица, на которых в организации возложена ответственность за организацию обработки персональных данных. Назначение организацией таких лиц предусмотрено в качестве одной из мер, обязательных к выполнению оператором.
Следует также отметить, что введение специальной ответственности не исключает возможности блокировки Интернет-ресурса организации, не исполняющей обязанности по локализации персональных данных.
2. Неисполнение обязанностей организатора распространения информации
Организатор распространения информации в сети Интернет – это лицо, которое осуществляет «деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети «Интернет».
Данное определение, указанное в Федеральном законе «Об информации, информационных технологиях и о защите информации»**, охватывает любых лиц, которые предоставляют возможность пользователям обмениваться информацией в сети «Интернет» – мессенджеры, социальные сети, форумы или любой иной сервис, предоставляющий возможность пользователям распространять информацию другим пользователям или среди неограниченного круга лиц.
Для организаторов распространения информации в сети Интернет установлен довольно широкий круг обязанностей. В частности, такие лица обязаны: џ уведомить уполномоченный орган о начале деятельности; џ хранить и предоставлять уполномоченным органам информацию об электронных сообщениях пользователей (в том числе, голосовых); џ предоставлять уполномоченным органам криптографические ключи и иную информацию, необходимую для декодирования сообщений пользователей; џ использовать оборудование и программно-технические средства, необходимые для предоставления возможности уполномоченным органам проводить оперативно-розыскные мероприятия.
За неисполнение указанных выше обязанностей уже была установлена административная ответственность (статья 13.31 КоАП), а новым законом вводится ответственность за повторное совершение указанных нарушений:
Закон об информации, информационных технологиях и о защите информации также предусматривает определенные требования к деятельности владельцев «аудиовизуальных сервисов» — сайтов, страниц в сети Интернет или программ для ЭВМ, предназначенных для формирования или организации распространения в сети Интернет аудиовизуальных произведений. Установленные законом обязанности распространяются на владельцев аудиовизуальных сервисов, если доступ к аудиовизуальным произведениям предоставляется за плату/с показом рекламы и число пользователей в течение суток превышает 100 000 человек.
3. Неисполнение обязанностей владельца аудиовизуального сервиса
На владельцев аудиовизуальных сервисов, в частности, возложены следующие обязанности:
- распространять только телеканалы и телепрограммы, которые зарегистрированы в качестве СМИ и в отношении которых не принято решение о приостановлении/прекращении вещания;
- распространять информацию, которая может причинить вред здоровью и (или) развитию детей, в установленном порядке;
- не распространять материалы, оправдывающие террористическую и (или) экстремистскую деятельность, или призывающие к ним.
Нарушение | Граждане | Должностные лица | Юридические лица |
Распространение незарегистрированных телеканалов и телепрограмм | 10 000 — 20 000 рублей | 100 000 — 200 000 рублей | 700 000 — 1 000 000 рублей |
Нарушение порядка распространения информации среди детей | 5000 — 10 000 рублей | 50 000 — 100 000 рублей | 500 000 — 1 000 000 рублей |
Распространение призывов к терроризму или экстремизму | 150 000 — 300 000 рублей | 600 000 — 800 000 рублей | 1 500 000 — 5 000 000 рублей |
За неисполнение данных обязанностей установлена административная ответственность (статьи 13.35-13.37 КоАП). Новым законом введена ответственность за повторное совершение данных нарушений:
4. Неисполнение обязанностей организатора сервиса обмена мгновенными сообщениями
Организаторы сервисов обмена мгновенными сообщениями — это организаторы распространения информации в сети Интернет, сервис которых позволяет пользователям обмениваться электронными сообщениями исключительно с другими пользователями, если пользователь может определять получателей электронного сообщения и не может размещать общедоступную информацию или передавать электронные сообщения неограниченному кругу лиц. К организаторам сервисов обмена мгновенными сообщениями относятся, в частности, владельцы мессенджеров.
На организатора сервиса обмена мгновенными сообщениями дополнительно возлагаются следующие обязанности:
- осуществлять идентификацию пользователей с помощью номера мобильного телефона и хранить информацию об идентификации пользователей;
- блокировать пользователей по требованию уполномоченных органов;
- обеспечивать возможность пользователя отказаться от получения электронных сообщений;
- обеспечивать конфиденциальность передаваемых сообщений;
- не допускать передачу сообщения в случаях, определенных Правительством РФ.
В отношении организаторов сервисов обмена мгновенными сообщениями установлена общая административная ответственность за неисполнение любых предусмотренных законом обязанностей. Новым законом введена ответственность за повторное неисполнение таких обязанностей:
Граждане | Должностные лица | Юридические лица |
5 000 — 10 000 рублей | 50 000 — 70 000 рублей | 1 000 000 — 2 000 000 рублей |
5. Неисполнение обязанностей оператора поисковой системы
Законодательство об информации также предусматривает ряд требований к деятельности оператора поисковой системы, если такой оператор распространяет рекламу, направленную на граждан РФ. Операторы поисковой системы, в частности, обязаны:
- подключиться к реестру информационных ресурсов, заблокированных на территории РФ;
- не предоставлять пользователям ссылки на ресурсы, заблокированные на территории РФ, в том числе доступ к которым ограничен по решению Московского городского суда, или к копиям заблокированных ресурсов.
За неисполнение данных обязанностей также уже была установлена ответственность, а новый закон вводит ответственность за повторное совершение нарушений:
Если Вы используете для обработки персональных данных инфраструктуру и ресурсы, находящиеся за пределами территории РФ, а также если Вы являетесь одним из специальных субъектов, предусмотренных законодательством об информации, то мы настоятельно рекомендуем осуществить проверку соблюдения соответствующих требований законодательства – в связи с существенно возросшими негативными последствиями привлечения к административной ответственности.
* Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
** Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».