Журнал "Information Security/ Информационная безопасность" #6, 2023

10 • ПРАВО И НОРМАТИВЫ система идентификации и аутентифи- кации физических лиц с использовани- ем биометрических персональных дан- ных" с нарушением установленных зако- нодательством Российской Федерации требований: l для должностных лиц – от 100 000 до 300 000 руб.; l для юридических лиц – от 500 000 до 1 млн руб. Ужесточение административной и уголовной ответственности в области обработки ПДн Законопроекты № 502104-8 "О внесе- нии изменений в Кодекс Российской Федерации об административных пра- вонарушениях" 12 и № 502113-8 "О вне- сении изменений в Уголовный кодекс Российской Федерации" 13 были внесены в Государственную Думу одним пакетом 4 декабря 2023 г. Законопроект № 502104-8 также предлагает увеличение штрафов при нарушении требований обработки и установить новые составы администра- тивных правонарушений, в том числе нашумевшие "оборотные штрафы за утечку ПДн". Ниже представлена под- робная информация о предлагаемых изменениях в административных штра- фах: Законопроект № 502113-8 предлагает дополнить Уголовный кодекс РФ новой ст. 272 "Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержа- щей персональные данные, а равно соз- дание и (или) обеспечение функциони- рования информационных ресурсов, предназначенных для ее незаконного хранения и (или) распространения". Под- робное содержание предлагаемой статьи представлено в табл. ниже. Внеплановые проверки Роскомнадзора 22 декабря 2023 г. в Государственную Думу также был внесен законопроект № 518022-8 "О внесении изменений в статью 27 Федерального закона "О связи" и Федеральный закон "О госу- дарственном контроле (надзоре) и муни- ципальном контроле в Российской Феде- рации" 14 . Одно из положений законопроекта № 518022-8 предлагает возможность проведения внеплановой выездной про- верки в случае поступления в Роском- надзор информации о факте неправо- мерной или случайной передачи (пре- доставления, распространения, доступа) ПДн, повлекшей нарушение прав субъ- ектов ПДн. Предложения по изменению перечня индикаторов риска нарушения требований обработки ПДн Проект приказа Минцифры России "О внесении изменения в перечень инди- каторов риска нарушения обязательных требований при осуществлении феде- рального государственного контроля (над- зора) за обработкой персональных дан- ных, утвержденный приказом Мини- стерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 15 ноября 2021 г. №1187" 15 был представлен на общественное обсуж- дение 22 декабря 2023 г. Проектом приказа предлагается дополнить перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой ПДн следующим пунк- том: "Выявление контролирующим органом в течение календарного года 2 и более фактов непредставления контролируемым лицом, являющимся владельцем сайта и (или) страницы сайта в сети "Интернет", программы для электронных вычислительных машин, на которых применяются реко- мендательные технологии, информа- ции, связанной с применением реко- мендательных технологий, а также доступа к программно-техническим средствам рекомендательных техно- логий по запросу контролирующего органа". Требования по защите информации для провайдеров хостинга Приказ Минцифры России от 01.11.2023 № 936 "Об утверждении требований о защите информации при предоставлении вычислительной мощ- ности для размещения информации в информационной системе, постоянно подключенной к информационно-теле- коммуникационной сети "Интернет" 16 официально опубликован 1 декабря 2023 г. Приказ Минцифры России от 01.11.2023 № 936 устанавливает обяза- тельные требования по защите инфор- мации для провайдеров хостинга при осуществлении ими деятельности по предоставлению вычислительной мощ- ности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет", такие как: l назначение структурного подразде- ления или должностного лица (работни- ка), ответственного за защиту инфор- мации; 12 https://sozd.duma.gov.ru/bill/502104-8 13 https://sozd.duma.gov.ru/bill/502113-8 14 https://sozd.duma.gov.ru/bill/518022-8 15 https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=144512 16 http://publication.pravo.gov.ru/document/0001202312010021?index=1 № Административное правонарушение Штраф 7. Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей ПДн более 100 000 субъектов ПДн, и (или) более 1 млн идентификаторов, если эти действия (бездействие) не содержат при- знаков уголовно наказуемого деяния l для граждан – от 300 000 до 400 000 руб.; l для должностных лиц – от 1,5 до 2 млн руб.; l для юридических лиц – от 5 до 10 млн руб. 8. Повторное совершение административ- ных правонарушений, указанных в пунк- тах 5–7 данной таблицы l для граждан – от 400 000 до 600 000 руб.; l для должностных лиц – от 2 до 4 млн руб.; l для юридических лиц – от 0,1 до 3% выручки за год, но не менее 15 млн и не более 500 млн руб. 9. Действия (бездействие) оператора, повлек- шие неправомерную передачу (предоставле- ние, распространение, доступа) информа- ции, включающей специальную категорию ПДн l для граждан – от 300 000 до 400 000 руб.; l для должностных лиц – от 1,5 до 2 млн руб.; l для юридических лиц – от 10 до 15 млн руб. 10. Совершение административного правонару- шения, указанного в п. 9 настоящей табли- цы, лицом, подвергнутым административно- му наказанию за административные право- нарушения, указанные в п. 5–7, 9 данной таблицы l для граждан – от 500 000 до 800 000 руб.; l для должностных лиц – от 3 до 5 млн руб.; l для юридических лиц – от 0,1 до 3% выручки за год, но не менее 20 и не более 500 млн руб.