Со 2 декабря 2019 года вступил в силу Федеральный закон от 02.12.2019 № 405-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации».
Закон ужесточил ответственность за нарушения в сфере обработки данных и распространения информации.
В первую очередь это касается неисполнения обязанности по так называемой локализации персональных данных. Согласно Федеральному закону «О персональных данных» при сборе персональных данных, в том числе посредством интернета, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение, извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории России.
Эта обязанность была установлена ещё в июле 2014 года, но только через год норма вступила в силу. Однако и до настоящего времени это требование выполнили не все операторы персональных данных. Во многом это связано с тем, что использовать хранилища баз данных за рубежом было дешевле, чем исполнить обязанность. Кроме того, отдельной ответственности за неисполнение требования о локализации баз данных предусмотрено не было. Раньше неисполнение закона наказывалось ограничением доступа к сервису для российских пользователей, а непредставление в Роскомнадзор информации о хранении данных в РФ — штрафом в размере до 5 000 рублей.
Теперь изменения должны стимулировать соблюдение требований закона. За совершение указанного правонарушения граждан оштрафуют на суммы от 30 тысяч до 50 тысяч рублей, должностных лиц — от 100 тысяч до 200 тысяч рублей. Стороже всего обойдутся с юридическими лицами — им грозит штраф от 1 миллиона до 6 миллионов рублей. Для предпринимателей снижать санкции не стали. Если обычно ИП несёт ответственность в том же размере, который установлен в КоАП РФ для должностных лиц, то за нарушение обязанности по локализации персональных данных ИП будет наказан так же, как и юридическое лицо.
За повторное нарушение гражданам грозит штраф почти в двойном размере, а остальным — в тройном.
В ходе обсуждения законопроекта предлагалось дифференцировать ответственность в зависимости от количества обрабатываемых оператором персональных данных. Например, стоматологическая клиника или частный детский сад не обладает таким количеством уникальных клиентов, как, например, банк или социальная сеть. Однако при принятии закона это учтено не было и теперь все предприниматели будут нести одинаковую ответственность.
Вторым блоком поправок изменены санкции за распространение среди детей информации, причиняющей вред их здоровью и (или) развитию, экстремистского контента и за неисполнение обязанностей организатором сервиса обмена мгновенными сообщениями, а также за распространение владельцем аудиовизуального сервиса незарегистрированных СМИ.