В ‎своём‏ ‎телеграмм ‎канале ‎автор ‎этих ‎строк‏ ‎много ‎писал‏ ‎о‏ ‎борьбе ‎вокруг ‎штрафах‏ ‎за ‎утечки‏ ‎персональных ‎данных, ‎комментируя ‎реплики‏ ‎отдельных‏ ‎государственных ‎акторов‏ ‎и ‎относясь‏ ‎к ‎ним ‎скептически.

Итак, ‎закон ‎об‏ ‎ужесточении‏ ‎ответственности ‎за‏ ‎утечку ‎персональных‏ ‎данных ‎и ‎за ‎введение ‎ответственности‏ ‎за‏ ‎их‏ ‎оборот ‎—‏ ‎плюсы, ‎минусы,‏ ‎подводные ‎камни.

Лирическое‏ ‎отступление‏ ‎

Как ‎и‏ ‎всё ‎в ‎жизни, ‎вопросы, ‎связанные‏ ‎с ‎утечками‏ ‎и‏ ‎порядком ‎борьбы ‎с‏ ‎этим, ‎сложны‏ ‎и ‎многогранны, ‎автор ‎этих‏ ‎строк‏ ‎был ‎противником‏ ‎ужесточения ‎мер‏ ‎за ‎сами ‎утечки ‎(ибо ‎всё‏ ‎утекло),‏ ‎предлагая ‎работать‏ ‎с ‎обнаружением‏ ‎и ‎пресечением ‎оборота ‎указанных ‎данных.‏ ‎На‏ ‎первый‏ ‎взгляд, ‎закон‏ ‎включил ‎и‏ ‎то, ‎и‏ ‎другое.‏ ‎Стоит ‎ли‏ ‎расстраиваться ‎из-за ‎новых ‎правил? ‎Конечно,‏ ‎нет! ‎Им‏ ‎ещё‏ ‎предстоит ‎пройти ‎проверку‏ ‎временем, ‎а‏ ‎это ‎— ‎самое ‎интересное.‏ ‎Что‏ ‎касается ‎сомнений‏ ‎автора ‎насчёт‏ ‎принятия ‎закона, ‎то ‎сомнения ‎оказались‏ ‎ошибочными,‏ ‎бывает. ‎

Конец‏ ‎лирического ‎отступления.

Новые‏ ‎правила:

(1) Без ‎особого ‎шума ‎ужесточено ‎наказание‏ ‎за‏ ‎обработку‏ ‎персональных ‎данных‏ ‎в ‎случаях,‏ ‎не ‎предусмотренных‏ ‎законодательством‏ ‎РФ ‎в‏ ‎области ‎персональных ‎данных ‎и ‎обработку‏ ‎персональных ‎данных,‏ ‎несовместимая‏ ‎с ‎целями ‎сбора персональных‏ ‎данных. ‎Теперь‏ ‎штрафы ‎для ‎юридических ‎лиц‏ ‎составляют‏ ‎от ‎150‏ ‎до ‎300‏ ‎тыс. ‎руб. ‎(было ‎60-100 ‎т.‏ ‎р.),‏ ‎а ‎для‏ ‎должностных ‎лиц‏ ‎от ‎50 ‎до ‎100 ‎тыс.‏ ‎руб.‏ ‎(было‏ ‎10-20 ‎т.‏ ‎р.). ‎За‏ ‎повторное ‎нарушение:‏ ‎юридические‏ ‎лица ‎—‏ ‎от ‎300 ‎до ‎500 ‎тыс.‏ ‎руб., ‎для‏ ‎должностных‏ ‎лиц ‎— ‎от‏ ‎100 ‎до‏ ‎200 ‎тыс. ‎руб.

Это ‎важно,‏ ‎так‏ ‎как ‎многие‏ ‎организации ‎по-прежнему‏ ‎собирают ‎персональные ‎данные ‎под ‎одни‏ ‎цели,‏ ‎забывают ‎их‏ ‎и ‎используют‏ ‎для ‎других, ‎эта ‎практика ‎являлась‏ ‎одной‏ ‎из причин‏ ‎утечек ‎данных.

(2) Новые‏ ‎составы ‎правонарушений‏ ‎(которые ‎ранее‏ ‎правонарушениями,‏ ‎исходя ‎их‏ ‎буквы, ‎но ‎не ‎духа ‎закона‏ ‎не ‎были):

• Невыполнение‏ ‎или‏ ‎несвоевременное ‎выполнение [СТ: ‎это‏ ‎важное ‎замечание,‏ ‎так ‎как ‎раньше ‎уведомления‏ ‎порой‏ ‎подавались ‎после‏ ‎уведомления ‎о‏ ‎проверке ‎(даже ‎внеплановой)] ‎оператором ‎обязанности‏ ‎по‏ ‎уведомлению ‎РКН‏ ‎о ‎намерении‏ ‎осуществлять ‎обработку ‎персональных ‎данных. ‎Штрафы:‏ ‎для‏ ‎юридических‏ ‎лиц ‎—‏ ‎от ‎100‏ ‎до ‎300‏ ‎тыс.‏ ‎руб., ‎для‏ ‎должностных ‎лиц ‎— ‎от ‎30‏ ‎до ‎50‏ ‎тыс.‏ ‎руб.
• Невыполнение ‎или ‎несвоевременное‏ ‎выполнение ‎оператором‏ ‎обязанности ‎по ‎уведомлению ‎РКН‏ ‎в‏ ‎случае ‎установления‏ ‎факта ‎неправомерной‏ ‎или ‎случайной передачи ‎(предоставления, ‎распространения, ‎доступа)‏ ‎персональных‏ ‎данных ‎[СТ:‏ ‎про ‎количество‏ ‎записей ‎ничего ‎не ‎сказано, ‎про‏ ‎о‏ ‎том,‏ ‎что ‎оператору‏ ‎было/не ‎было‏ ‎известно ‎—‏ ‎тоже],‏ ‎повлекшей ‎нарушение‏ ‎прав ‎субъектов ‎персональных ‎данных. ‎Штрафы:‏ ‎для ‎юридических‏ ‎лиц‏ ‎— ‎от ‎1‏ ‎до ‎3‏ ‎млн. ‎руб., ‎для ‎должностных‏ ‎лиц‏ ‎— ‎от‏ ‎400 ‎до‏ ‎800 ‎тыс. ‎руб.
• Действия ‎(бездействие) ‎оператора,‏ ‎повлекшие‏ ‎неправомерную ‎передачу‏ ‎(предоставление, ‎распространение,‏ ‎доступ) ‎информации, ‎включающей ‎персональные ‎данные‏ ‎от‏ ‎одной‏ ‎тысячи ‎до‏ ‎десяти ‎тысяч‏ ‎субъектов персональных ‎данных‏ ‎и‏ ‎(или) ‎от‏ ‎десяти ‎тысяч ‎до ‎ста ‎тысяч‏ ‎идентификаторов ‎[тут‏ ‎и‏ ‎далее ‎под ‎идентификатором‏ ‎понимается ‎уникальное‏ ‎обозначение ‎сведений о ‎физическом ‎лице,‏ ‎содержащееся‏ ‎в ‎информационной‏ ‎системе]. Штрафы: ‎для‏ ‎юридических ‎лиц ‎— ‎от ‎3‏ ‎до‏ ‎5 ‎млн.‏ ‎руб., ‎для‏ ‎должностных ‎лиц ‎— ‎от ‎200‏ ‎до‏ ‎400‏ ‎тыс. ‎руб.
• Действия‏ ‎(бездействие) ‎оператора,‏ ‎повлекшие ‎неправомерную‏ ‎передачу‏ ‎(предоставление, ‎распространение,‏ ‎доступ) ‎информации, ‎включающей ‎персональные ‎данные‏ ‎от ‎десяти‏ ‎тысяч‏ ‎до ‎ста ‎тысяч‏ ‎субъектов ‎персональных‏ ‎данных ‎и ‎(или) ‎от‏ ‎ста‏ ‎тысяч ‎до‏ ‎одного ‎миллиона‏ ‎идентификаторов. Штрафы: ‎для ‎юридических ‎лиц ‎—‏ ‎от‏ ‎5 ‎до‏ ‎10 ‎млн.‏ ‎руб., ‎для ‎должностных ‎лиц ‎—‏ ‎от‏ ‎300‏ ‎до ‎500‏ ‎тыс. ‎руб.
• Действия‏ ‎(бездействие) ‎оператора,‏ ‎повлекшие‏ ‎неправомерную ‎передачу‏ ‎(предоставление, ‎распространение, ‎доступ) ‎информации, ‎включающей‏ ‎персональные ‎данные‏ ‎более‏ ‎ста ‎тысяч ‎субъектов‏ ‎персональных ‎данных‏ ‎и ‎(или) ‎более ‎одного‏ ‎миллиона‏ ‎идентификаторов. ‎Штрафы:‏ ‎для ‎юридических‏ ‎лиц ‎— ‎от ‎10 ‎до‏ ‎15‏ ‎млн. ‎руб.,‏ ‎для ‎должностных‏ ‎лиц ‎— ‎от ‎400 ‎до‏ ‎600‏ ‎тыс.‏ ‎руб.
• Если ‎действия,‏ ‎повлекшие ‎неправомерную‏ ‎передачу ‎(предоставление,‏ ‎распространение,‏ ‎доступ) ‎информации,‏ ‎совершены ‎повторно ‎[СТ: ‎а ‎тут‏ ‎про ‎количество‏ ‎не‏ ‎сказано], ‎то ‎штрафы‏ ‎составят: ‎для‏ ‎юридических ‎лиц ‎— ‎от‏ ‎1‏ ‎до ‎3%‏ ‎совокупного ‎размера‏ ‎суммы ‎выручки, ‎полученной ‎от ‎реализации‏ ‎всех‏ ‎товаров ‎(работ,‏ ‎услуг), ‎за‏ ‎календарный ‎год, для ‎должностных ‎лиц ‎—‏ ‎от‏ ‎800‏ ‎тыс. ‎руб.‏ ‎до ‎1‏ ‎млн. ‎руб.‏ ‎(для‏ ‎обычных ‎данных)‏ ‎и ‎от ‎1,5 ‎до ‎2‏ ‎млн. ‎руб.‏ ‎(для‏ ‎специальных ‎категорий ‎и‏ ‎биометрических ‎данных).
• Действия‏ ‎(бездействие) ‎оператора, ‎повлекшие ‎неправомерную‏ ‎передачу‏ ‎(предоставление, ‎распространение,‏ ‎доступ) ‎информации,‏ ‎включающей ‎специальную категорию ‎персональных ‎данных. ‎Штрафы:‏ ‎для‏ ‎юридических ‎лиц‏ ‎— ‎от‏ ‎10 ‎до ‎15 ‎млн. ‎руб.,‏ ‎для‏ ‎должностных‏ ‎лиц ‎—‏ ‎от ‎1‏ ‎до ‎3‏ ‎млн.‏ ‎руб.
• Действия ‎(бездействие)‏ ‎оператора, ‎повлекшие ‎неправомерную ‎передачу ‎(предоставление,‏ ‎распространение, ‎доступ)‏ ‎информации,‏ ‎включающей ‎биометрические ‎персональные‏ ‎данные. ‎Штрафы:‏ ‎для ‎юридических ‎лиц ‎—‏ ‎от‏ ‎15 ‎до‏ ‎20 ‎млн.‏ ‎руб., ‎для ‎должностных ‎лиц ‎—‏ ‎от‏ ‎1,3 ‎до‏ ‎1,5 ‎млн.‏ ‎руб.

(3) За ‎утечки ‎ИП ‎несут ‎ответственность‏ ‎как‏ ‎юридические‏ ‎лица.

(4) Государственные ‎и‏ ‎муниципальные ‎органы‏ ‎не ‎являются‏ ‎юридическими‏ ‎лицами ‎для‏ ‎целей ‎статьи ‎выше, ‎будут ‎наказываться‏ ‎только ‎их‏ ‎должностные‏ ‎лица ‎в ‎соответствующих‏ ‎размерах, ‎что‏ ‎является ‎неплохим ‎разменом, ‎так‏ ‎как‏ ‎в ‎юридических‏ ‎лицах ‎должностные‏ ‎лица ‎(генеральный ‎директор, ‎например) ‎по‏ ‎указанным‏ ‎статьям ‎не‏ ‎будут ‎оштрафованы‏ ‎(«под ‎должностным ‎лицом ‎понимается ‎должностное‏ ‎лицо‏ ‎государственного‏ ‎или ‎муниципального‏ ‎органа ‎либо‏ ‎некоммерческой ‎организации»), что‏ ‎немного‏ ‎снимает ‎стресс‏ ‎DPO ‎(но ‎лишь ‎чуть-чуть).

(5) В ‎случае‏ ‎нарушения ‎отягчающим‏ ‎обстоятельством,‏ ‎то ‎есть ‎основанием‏ ‎для ‎бОльшей‏ ‎величины ‎штрафа, ‎является ‎нарушение‏ ‎положений‏ ‎об ‎обработке‏ ‎персональных ‎данных‏ ‎(составы ‎13.11 ‎КоАП, ‎действовавшие ‎в‏ ‎том‏ ‎числе ‎до‏ ‎момента ‎вступления‏ ‎в ‎силу ‎описываемых ‎поправок).

(6) Серьёзным ‎образом‏ ‎ужесточена‏ ‎ответственность‏ ‎за ‎неправильную‏ ‎обработку ‎биометрии,‏ ‎в ‎том‏ ‎числе‏ ‎в ‎Единой‏ ‎Биометрической ‎Системе. ‎Подробно ‎останавливаться ‎не‏ ‎буду, ‎так‏ ‎как‏ ‎это ‎выглядит ‎частным‏ ‎случаем. ‎Если‏ ‎возникнут ‎вопросы ‎— ‎напишите‏ ‎на‏ ‎почту, ‎пожалуйста.

(7) Законодатель‏ ‎предусмотрел ‎существенное‏ ‎«смягчение» ‎(до ‎одной ‎десятой ‎минимального‏ ‎размера‏ ‎административного ‎штрафа, предусмотренного‏ ‎за ‎совершение‏ ‎соответствующего ‎административного ‎правонарушения, ‎но не ‎менее‏ ‎пятнадцати‏ ‎миллионов‏ ‎рублей ‎и‏ ‎не ‎более‏ ‎пятидесяти ‎миллионов‏ ‎рублей)‏ ‎за ‎повторное‏ ‎нарушение ‎при ‎соблюдении ‎следующих ‎условий:

• ежегодные расходы‏ ‎оператора ‎в‏ ‎течение трех‏ ‎календарных ‎лет, предшествующих ‎году,‏ ‎в ‎котором‏ ‎было ‎выявлено ‎административное ‎правонарушение,‏ ‎[СТ:‏ ‎то ‎есть‏ ‎сейчас ‎бОльшая‏ ‎часть ‎операторов ‎не ‎имеют ‎такого‏ ‎«зонта»]‏ ‎на ‎мероприятия‏ ‎по ‎обеспечению‏ ‎информационной ‎безопасности, ‎проведенные ‎организациями, ‎имеющими‏ ‎лицензию, либо‏ ‎самостоятельно‏ ‎при ‎условии‏ ‎наличия ‎у‏ ‎оператора ‎такой‏ ‎лицензии, составляли‏ ‎не ‎менее‏ ‎одной ‎десятой ‎процента ‎годового ‎совокупного‏ ‎размера ‎суммы‏ ‎выручки,‏ ‎полученной ‎от ‎реализации‏ ‎всех ‎товаров‏ ‎(работ, ‎услуг), ‎либо ‎размера‏ ‎собственных‏ ‎средств ‎(капитала)‏ ‎кредитной ‎организации‏ ‎[СТ: ‎перенаправление ‎денег ‎в ‎отрасль‏ ‎налицо,‏ ‎не ‎зря‏ ‎кибербез ‎так‏ ‎болел ‎за ‎принятие ‎этого ‎закона];
• оператор‏ ‎соблюдал‏ ‎требования‏ ‎к ‎защите‏ ‎персональных ‎данных при‏ ‎их ‎обработке‏ ‎в‏ ‎информационных ‎системах‏ ‎персональных ‎данных ‎при ‎условии ‎документального‏ ‎подтверждения ‎указанного‏ ‎факта‏ ‎[СТ: ‎это ‎уже‏ ‎кормят ‎не‏ ‎только ‎кибербез, ‎но ‎и‏ ‎всех,‏ ‎кто ‎«в‏ ‎теме»: ‎консультанты,‏ ‎DPO, ‎разработчики ‎технических ‎средств ‎без‏ ‎лицензии],‏ ‎проведенного ‎в‏ ‎течение ‎двенадцати‏ ‎месяцев, предшествующих ‎моменту ‎выявления ‎административного ‎правонарушения;
• обстоятельства,‏ ‎отягчающие‏ ‎административную‏ ‎ответственность, ‎предусмотренную‏ ‎примечанием ‎5‏ ‎к ‎ст.‏ ‎13.11‏ ‎КоАП, ‎отсутствовали‏ ‎(там ‎говорится ‎про ‎наличие ‎нарушений‏ ‎за ‎другие‏ ‎составы,‏ ‎которые ‎были ‎в‏ ‎том ‎числе‏ ‎до ‎дня ‎вступления ‎в‏ ‎силу‏ ‎поправок).

Чего ‎я‏ ‎не ‎увидел,‏ ‎так ‎это ‎мер, ‎направленных ‎на‏ ‎усложнения‏ ‎оборота ‎утекших‏ ‎персональных ‎данных.‏ ‎Неужели ‎поправка ‎к ‎ч. ‎1‏ ‎ст.‏ ‎13.11‏ ‎КоАП ‎и‏ ‎ужесточение ‎наказания‏ ‎за ‎неправильную‏ ‎обработку‏ ‎биометрии ‎—‏ ‎это ‎всё? ‎Очень ‎странно, ‎нужно‏ ‎изучить ‎эту‏ ‎тему‏ ‎дополнительно.

Итого, ‎стало ‎понятнее‏ ‎почему ‎некоторые‏ ‎представители ‎отрасли ‎так ‎жаждали‏ ‎принятия‏ ‎этих ‎поправок,‏ ‎но ‎остаётся‏ ‎непонятным ‎как ‎отхеджировали ‎свои ‎риски‏ ‎крупные‏ ‎игроки. ‎Но‏ ‎время ‎покажет,‏ ‎будем ‎наблюдать.

Всем ‎прекрасного ‎продолжения ‎недели‏ ‎и‏ ‎окончания‏ ‎года! ‎Поправки‏ ‎начнут ‎работать‏ ‎только ‎в‏ ‎2025-м‏ ‎:)

А ‎теперь‏ ‎серьёзно ‎про ‎уголовную ‎ответственность ‎за‏ ‎утечки ‎в‏ ‎свете‏ ‎поправок

В ‎инфополе ‎разные‏ ‎специалисты ‎из‏ ‎разных ‎областей ‎вдруг ‎стали‏ ‎нагнетать‏ ‎идею ‎о‏ ‎том, ‎что‏ ‎поправки ‎в ‎УК ‎РФ, ‎принятые‏ ‎накануне, создают‏ ‎для ‎них‏ ‎риски ‎уголовной‏ ‎ответственности.

Лирическое ‎отступление

Начать ‎стоит ‎с ‎лирики‏ ‎—‏ ‎уголовная‏ ‎ответственность, ‎при‏ ‎скрупулёзном ‎и‏ ‎честном ‎анализе‏ ‎норм‏ ‎уголовного ‎кодекса,‏ ‎может ‎возникнуть ‎на ‎основании ‎более‏ ‎привычных ‎и‏ ‎обыденных‏ ‎основаниях. ‎Благо, ‎система‏ ‎не ‎рассчитана,‏ ‎чтобы ‎пресекать ‎всякое ‎любое‏ ‎поведение,‏ ‎описанное ‎в‏ ‎законе, ‎сосредоточившись‏ ‎(и ‎это ‎правильно) ‎на ‎составах,‏ ‎несущих‏ ‎наибольшую ‎опасность‏ ‎для ‎общества,‏ ‎государства ‎и ‎определённых ‎групп ‎населения.

Конец‏ ‎лирического‏ ‎отступления

Так‏ ‎вот, ‎начнём‏ ‎с ‎базы,‏ ‎а ‎именно‏ ‎с‏ ‎того, ‎что‏ ‎же ‎является ‎преступлением, ‎т. ‎е.‏ ‎уголовно ‎наказуемым‏ ‎деянием,‏ ‎для ‎этого ‎обратимся‏ ‎к ‎ст.‏ ‎14 ‎УК ‎РФ:

1. Преступлением ‎признается‏ ‎виновно совершенное‏ ‎общественно ‎опасное‏ ‎деяние, ‎запрещенное‏ ‎УК ‎РФ ‎под ‎угрозой ‎наказания.

2. Не‏ ‎является‏ ‎преступлением ‎действие‏ ‎(бездействие), ‎хотя‏ ‎формально ‎и ‎содержащее ‎признаки ‎какого-либо‏ ‎деяния,‏ ‎предусмотренного‏ ‎настоящим ‎Кодексом,‏ ‎но ‎в‏ ‎силу ‎малозначительности‏ ‎не‏ ‎представляющее ‎общественной‏ ‎опасности.

Далее, ‎чтобы ‎закрепить, ‎посмотрим ‎на‏ ‎то, ‎что‏ ‎такое‏ ‎вина ‎и ‎её‏ ‎формы ‎(ст.‏ ‎24 ‎УК ‎РФ):

1. Виновным ‎в‏ ‎преступлении‏ ‎признается ‎лицо,‏ ‎совершившее ‎деяние‏ ‎умышленно ‎или ‎по ‎неосторожности.

2. Деяние, ‎совершенное‏ ‎только‏ ‎по ‎неосторожности,‏ ‎признается ‎преступлением‏ ‎лишь ‎в ‎случае, ‎когда ‎это‏ ‎специально‏ ‎предусмотрено‏ ‎соответствующей ‎статьей Особенной‏ ‎части ‎УК‏ ‎РФ.

Теперь ‎посмотрим‏ ‎на‏ ‎поправки ‎к‏ ‎УК ‎РФ ‎в ‎связи ‎с‏ ‎утечками ‎персональных‏ ‎данных.‏ ‎Какие ‎составы ‎преступления‏ ‎мы ‎видим:

(1)   «Незаконные‏ ‎использование ‎и ‎(или) ‎передача‏ ‎(распространение,‏ ‎предоставление, ‎доступ),‏ ‎сбор ‎и‏ ‎(или) ‎хранение ‎компьютерной ‎информации, содержащей ‎персональные‏ ‎данные, полученной‏ ‎путем ‎неправомерного‏ ‎доступа ‎к‏ ‎средствам ‎ее ‎обработки, ‎хранения ‎или‏ ‎иного‏ ‎вмешательства‏ ‎в ‎их‏ ‎функционирование либо ‎иным‏ ‎незаконным ‎путем» — на‏ ‎мой‏ ‎вкус, ‎в‏ ‎данном ‎случае ‎чётко ‎прослеживается ‎угроза‏ ‎за ‎баз‏ ‎данных‏ ‎типа ‎Глаза ‎Бога‏ ‎(давно ‎пора)‏ ‎и ‎прочим ‎поддерживающим ‎эту‏ ‎базу‏ ‎лиц, ‎чем‏ ‎для ‎DPO‏ ‎или ‎безопасников, ‎поскольку ‎субъект ‎преступления‏ ‎должен‏ ‎понимать, ‎что‏ ‎он ‎использует‏ ‎некую ‎базу ‎персональных ‎данных, ‎которая‏ ‎точно‏ ‎получена‏ ‎незаконно. ‎Да,‏ ‎он ‎должен‏ ‎убедиться, ‎что‏ ‎контрагент‏ ‎соблюдает ‎требования‏ ‎законодательства ‎об ‎обработке ‎персональных ‎данных‏ ‎(базовый ‎дьюдил‏ ‎никогда‏ ‎не ‎помешает), ‎должен‏ ‎прописать ‎оговорки‏ ‎в ‎договоры ‎и ‎с‏ ‎лицами,‏ ‎предоставляющими ‎информацию,‏ ‎и ‎с‏ ‎обработчиками, ‎но ‎риски ‎именно ‎уголовной‏ ‎ответственности‏ ‎для ‎добросовестных‏ ‎участников ‎информационного‏ ‎оборота ‎могут ‎возникать ‎в ‎исключительных‏ ‎случаях,‏ ‎когда‏ ‎такие ‎участники‏ ‎также ‎добросовестно‏ ‎забивают ‎на‏ ‎все-любые‏ ‎контроли

(2)   «Те ‎же‏ ‎деяния, ‎совершенные ‎в ‎отношении ‎компьютерной‏ ‎информации, ‎содержащей‏ ‎персональные‏ ‎данные ‎несовершеннолетних ‎лиц,‏ ‎специальные ‎категории‏ ‎персональных ‎данных ‎и ‎(или)‏ ‎биометрические персональные‏ ‎данные» — тут ‎в‏ ‎целом ‎то‏ ‎же ‎самое, ‎но ‎с ‎ужесточением‏ ‎для‏ ‎определённого ‎вида‏ ‎данных, ‎а‏ ‎соответственно ‎— ‎больше ‎рисков ‎для‏ ‎определённых‏ ‎сфер‏ ‎деятельности. ‎Но,‏ ‎давайте ‎начистоту,‏ ‎эти ‎категории‏ ‎данных‏ ‎(кстати, ‎в‏ ‎ФЗ ‎«О ‎персональных ‎данных» ‎данные‏ ‎несовершеннолетних ‎защищаются,‏ ‎но‏ ‎не ‎на ‎уровне‏ ‎биометрии) ‎должны‏ ‎ВСЕГДА ‎обрабатываться, ‎когда ‎мы‏ ‎знаем‏ ‎откуда ‎они,‏ ‎что ‎у‏ ‎нас ‎есть ‎все ‎нужные ‎согласия‏ ‎и‏ ‎проч. ‎Без‏ ‎этого, ‎рисков‏ ‎и ‎без ‎уголовки ‎хватает.

(3)   «Деяния, ‎предусмотренные‏ ‎частью‏ ‎первой‏ ‎или ‎второй‏ ‎настоящей ‎статьи,‏ ‎совершенные: ‎а)‏ ‎из‏ ‎корыстной ‎заинтересованности;‏ ‎б) ‎с ‎причинением ‎крупного ‎ущерба;‏ ‎в) ‎группой‏ ‎лиц‏ ‎по ‎предварительному ‎сговору;‏ ‎г) ‎с‏ ‎использованием ‎своего ‎служебного ‎положения» — тут‏ ‎тоже‏ ‎рисков ‎для‏ ‎DPO, ‎специалистов‏ ‎и ‎прочих ‎добросовестных ‎участников ‎информационного‏ ‎оборота,‏ ‎на ‎мой‏ ‎вкус, ‎нет.‏ ‎Но ‎эти ‎положение ‎— ‎хорошее‏ ‎подспорье‏ ‎для‏ ‎DPO, ‎чтобы‏ ‎ввести-таки ‎сегрегацию‏ ‎доступов ‎к‏ ‎персональным‏ ‎данным, ‎а‏ ‎также ‎продавить ‎бизнес ‎(да-да, ‎это‏ ‎всегда ‎сложно)‏ ‎на‏ ‎внедрение ‎мониторинга ‎и‏ ‎прочие ‎технические‏ ‎меры ‎защиты.

(4)   «Деяния, ‎предусмотренные ‎частью‏ ‎первой,‏ ‎второй ‎или‏ ‎третьей ‎настоящей‏ ‎статьи, ‎сопряженные ‎с ‎трансграничной ‎передачей‏ ‎компьютерной‏ ‎информации, содержащей ‎персональные‏ ‎данные, ‎и‏ ‎(или) ‎трансграничным ‎перемещением ‎носителей ‎информации,‏ ‎содержащих‏ ‎персональные‏ ‎данные» — колл-центрам ‎из‏ ‎определённых ‎стран‏ ‎приготовится, ‎важно,‏ ‎что‏ ‎этот ‎риск‏ ‎трансграничной ‎передачи ‎намертво ‎привязан ‎в‏ ‎п. ‎1‏ ‎и‏ ‎п. ‎2 ‎выше‏ ‎со ‎всеми‏ ‎данными ‎мной ‎ранее ‎оговорками.‏ ‎При‏ ‎этом ‎это‏ ‎хорошее ‎обоснование‏ ‎для ‎того, ‎чтобы ‎перепроверить, ‎расчистить‏ ‎и‏ ‎структурировать ‎трансграничку.

(5)   «Создание‏ ‎и ‎(или)‏ ‎обеспечение ‎функционирования ‎информационного ‎ресурса (сайта ‎в‏ ‎сети‏ ‎„Интернет“‏ ‎и ‎(или)‏ ‎страницы ‎сайта‏ ‎в ‎сети‏ ‎„Интернет“,‏ ‎информационной ‎системы,‏ ‎программы ‎для ‎электронных ‎вычислительных ‎машин),‏ ‎заведомо предназначенного ‎для‏ ‎незаконных хранения,‏ ‎передачи ‎(распространения, ‎предоставления,‏ ‎доступа) ‎компьютерной‏ ‎информации, ‎содержащей ‎персональные ‎данные,‏ ‎полученной‏ ‎незаконным путем» — и ‎ещё‏ ‎один ‎аргумент‏ ‎для ‎хостеров ‎Глаза ‎Бога ‎и‏ ‎иже‏ ‎с ‎ним,‏ ‎а ‎также‏ ‎подобных ‎баз ‎данных, ‎т. ‎е.‏ ‎лиц,‏ ‎которые‏ ‎поддерживают ‎инфраструктуру‏ ‎хранения ‎и‏ ‎обмена ‎украденной‏ ‎информацией,‏ ‎опять ‎же,‏ ‎на ‎мой ‎вкус, ‎рисков ‎для‏ ‎добросовестных ‎участников‏ ‎информационного‏ ‎оборота ‎нет.

Собственно, ‎это‏ ‎все ‎нововведения.‏ ‎Могу ‎сказать, ‎что ‎государство‏ ‎очень‏ ‎чётко ‎пытается‏ ‎ударить ‎по‏ ‎крупным ‎узлам ‎незаконной ‎обработки ‎персональных‏ ‎данных‏ ‎злоумышленниками. ‎Все‏ ‎указанные ‎составы‏ ‎очень ‎сложно ‎применить ‎к ‎рядовым‏ ‎сотрудникам‏ ‎белого‏ ‎бизнеса ‎(даже‏ ‎генеральным ‎директорам):‏ ‎формулировки ‎поправок‏ ‎в‏ ‎сочетании ‎с‏ ‎общими ‎положениями ‎УК ‎РФ, ‎осложняют‏ ‎и ‎делают‏ ‎бессмысленным‏ ‎разработку ‎подобных ‎кейсов‏ ‎(особенно, ‎когда‏ ‎есть ‎более ‎простые ‎и‏ ‎понятые‏ ‎пути ‎(как‏ ‎НК ‎РФ)).

Для‏ ‎лиц ‎же, ‎которые ‎портят ‎жизнь‏ ‎соотечественникам,‏ ‎прямо ‎крадя‏ ‎миллиарды ‎и‏ ‎нервы ‎или ‎способствуя ‎этому, ‎закон‏ ‎действительно‏ ‎жесток,‏ ‎но ‎у‏ ‎них, ‎думаю‏ ‎нет ‎DPO.‏ ‎И‏ ‎это ‎хорошо.

Опять‏ ‎же, ‎время ‎покажет, ‎как ‎нормы‏ ‎будут ‎применяться,‏ ‎ведь‏ ‎только ‎результат ‎(в‏ ‎виде ‎снижения‏ ‎нелегального ‎оборота ‎персональных ‎данных‏ ‎с‏ ‎сопутствующим ‎снижением‏ ‎уровня ‎мошенничеств,‏ ‎например) ‎будет ‎маркером ‎верности ‎принятых‏ ‎решений.