Прокуратура нашла нарушения законодательства в обработке персональных данных россиян московскими властями

Прокуратура Москвы выявила несоответствие муниципальных информационных ресурсов в сети интернет российскому законодательству об обработке персональных данных (ПД) граждан, выявив многочисленные просчеты. В связи с этим руководителям органов местного самоуправления города внесено 61 представление об устранении выявленных нарушений закона. Кроме того, разработаны методические рекомендации по соблюдению законодательства о ПД.

Серьезные ошибки

Несоответствие муниципальных информационных интернет-ресурсов российскому законодательству об обработке персональных данных (ПД) граждан выявила прокуратура Москвы, об этом пишет ТАСС.

Зампред Совета по развитию цифровой экономики при Совете Федерации Артем Шейкин получил ответ на свое обращение за подписью первого заместителя генерального прокурора России Анатолия Разинкина. Ранее Шейкин направлял обращение на имя Разинкина в связи с поступившим к нему заявлением гражданина, который обратил внимание на нарушения законодательства при обработке ПД операторами, в том числе государственные и муниципальные органы и подведомственные им организации.

По информации ТАСС, ряд гражданских лиц обратили внимание на существующие уязвимости в работе сайтов правительства Москвы, общеобразовательная школа «Центр образования и спорта Москва-98 Москомспорт», органов местного самоуправления муниципального округа «Филевский парк», а также городских поликлиник, больниц и школ. Сами претензии от российских граждан состояли в том, что местные органы нарушают политику защиты ПД, содержащих большое количество конфиденциальной информации о россиянах, что может привести к утечке этих сведений.

Прокуратура России выявила нарушения законодательства по обработке персональных данных

Со слов Шейкина, в ответе первого заместителя генпрокурора говорится о том, что по результатам проверки муниципальных информационных ресурсов в сети интернет прокуратура Москвы установила многочисленные просчеты в исполнении требований законодательства о ПД, рассказал сенатор. Шейкина добавил и то, что в связи с этим руководителям органов местного самоуправления города внесено 61 представление об устранении выявленных нарушений закона.

Департамент информационных технологий Москвы разработал методические рекомендации по соблюдению законодательства о ПД, которые направлены для практической реализации городским органам власти. Устранение нарушений контролируется в предусмотренном порядке.

Как разъяснил Артем Шейкин, в настоящее время особенно важно не допускать использование государственными органами и организациями на своих официальных сайтах специальных ИТ-сервисов таких, как Google Analytics, Microsoft Azure, Amazon Web Services и других. Сервера от этих ИТ-продуктов расположены за пределами России. Это влечет трансграничную передачу данных без разрешения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), что является серьезнейшим нарушением, резюмировал зампред совета по цифровизации.

Закон о повышении штрафов за утечки ПД

Президент России Владимир Путин 30 ноября 2024 г. подписал законы, кардинально усиливающие ответственность за утечки ПД. Поправки в Кодекс об административных правонарушениях (КоАП) вступят в силу через 180 дней после опубликования документа, изменения в Уголовный кодекс (УК) России через десять дней. Компании и организации, которые недобросовестно относятся к защите информации, ждут оборотные штрафы, а злоумышленников, продающих украденные данные - тюремные сроки.

По данным Министерства цифрового развития, связи и массовых коммуникаций (Минцифры) России есть следующие нововведения. Увеличили штрафы за обработку ПД без согласия пользователя либо если такая обработка несовместима с целями их сбора.

За нарушение требований руководителю компании или индивидуального предпринимателя (ИП) грозит штраф в размере 50 тыс. - 100 тыс. руб., малым предприятиям - 75 тыс. - 150 тыс. руб., остальным компаниям - 150 тыс. - 300 тыс. руб.

За повторное нарушение руководителя компании или ИП могут оштрафовать на 100 тыс. - 200 тыс. руб., малые предприятия - на 150 тыс. - 250 тыс. руб., остальные компании — на 300 тыс. - 500 тыс. руб.

Появилась ответственность за неуведомление Роскомнадзора о намерении обрабатывать ПД. Если этого не сделать, компаниям и ИП грозит штраф - от 100 тыс. до 300 тыс. руб. Появилась ответственность по уведомлению Роскомнадзора о неправомерной или случайной передаче ПД, теперь за несоблюдение этого требования компаниям и ИП грозит штраф от 1 до 3 млн руб.

Усилили ответственность за утечку ПД, она наступит за действия или бездействие, из-за которых ПД утекли, при этом ситуация не должна содержать признаков уголовно наказуемого деяния. Размер штрафа зависит от масштаба утечки, а ее будут оценивать по количеству пострадавших и по идентификаторам.

За повторную утечку ПД штрафы еще выше, ведь для ИП и компаний, кроме некоммерческих организаций (НКО), - от 1 до 3% от выручки, полученной за год, предшествующий году, в котором выявили нарушения. Но не менее 20 млн и не более 500 млн руб. Сам штраф, согласно данным Минцифры, могут снизить, если нет отягчающих обстоятельств, а инвестиции бизнеса в информационную безопасность (ИБ) на протяжении трех лет были не менее 0,1% от выручки. При этом компания либо ИП должны соблюдать требования к защите данных.

Есть отдельная ответственность за утечку ПД с биометрией, ведь юридическим лицам и ИП грозит штраф от 15 млн до 20 млн руб. Появилась уголовная ответственность за незаконное использование и передачу, сбор и хранение компьютерной информации, содержащей персональные данные. Наказание - штраф в размере 300 тыс. - 400 тыс. руб. или принудительные работы на срок до четырех лет, либо лишение свободы на срок до четырех лет. Если речь о компьютерной информации, содержащей ПД несовершеннолетних или биометрию, наказание строже - штраф до 700 тыс. руб. или принудительные работы на срок до пяти лет, либо лишение свободы до пяти лет. Если указанные выше действия повлекли тяжкие последствия либо совершены организованной группой, наказанием может стать лишение свободы на срок до 10 лет.

Была введена уголовная ответственность за создание сайта, предназначенного для хранения и распространения ПД, полученных незаконным путем. Это касается и отдельных страниц, например тем на форумах или страниц в социальных сетях и аккаунтов в различных мессенджерах. Максимальное наказание за это правонарушение - лишение свободы на срок до пяти лет. Действие этой статьи не будет распространяться на случаи обработки ПД физическими лицами для семейных нужд.