Анна Тинькова
юрист, Патентно-правовая фирма «А. Залесов и партнеры»
С 23 декабря 2023 года в силу вступают поправки в Кодекс Российской Федерации об административных правонарушениях»1, согласно которым устанавливается административная ответственность за размещение биометрических персональных данных субъекта персональных данных в единой биометрической системе, в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, с нарушением установленных законодательством Российской Федерации требований, а также ужесточаются наказания за нарушение требований в области размещения персональных данных граждан Российской Федерации.
Введение в Кодекс Российской Федерации об административных правонарушениях новой нормы (статья 13.11.3 КоАП), которая предусматривает ответственность банков, многофункциональных центров предоставления государственных и муниципальных услуг, иных организаций за размещение или обновление биометрических персональных данных субъекта в единой биометрической системе с нарушением установленных законом требований является дополнением и логическим продолжением к положениям Федерального закона от 29 декабря 2022 г. N 572‐ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации», конкретизируя ответственность нарушителей.
Под биометрическими персональными данными понимаются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных.2 Важность соблюдения правильности сбора, хранения и надлежащей защиты биометрических персональных данных на фоне развития современных технологий, в частности искусственного интеллекта и дипфейк‐технологии, является чрезвычайной.
Внесение изменений в положения Кодекса Российской Федерации об административных правонарушениях в части ужесточения наказания за нарушение требований в области размещения персональных данных граждан является предсказуемым и даже необходимым ответом законодателя на современные угрозы, когда персональные данные граждан собираются компаниями буквально «на каждом шагу»: в магазинах, поликлиниках, транспорте, учебных заведениях, не говоря уже про посещение различных интернет ресурсов. Так, за два года функционирования системы оплаты по распознаванию лица, запущенной в московском метро, оплата проезда в городском транспорте по биометрии была осуществлена более 80 миллионов раз.3 Очевидно, что объемы персональных данных, которые собираются, хранятся и могут оказаться в распоряжении злоумышленников при ненадлежащем обращении компаниями их аккумулирующими, являются колоссальными, равно как и вред гражданам, который факт утечки персональных данных может нанести. Например, согласно Аналитическому отчету «Лаборатории Касперского» за 2022 год было зафиксировано 168 значимых утечек данных4 в российских компаниях, в результате которых было скомпрометировано более 290 млн строк пользовательских данных, при этом 64% пользовательских данных были скомпрометированы в результате атак на крупный бизнес.5
В этой связи увеличение размера штрафа за нарушение законодательства в области персональных данных, предусмотренного как для юридических лиц и индивидуальных предпринимателей, так и для граждан и должностных лиц за недобросовестное, незаконное использования биометрических данных или использования их с нарушениями, является обоснованной мерой, направленной на повышение уровня защиты и безопасности персональных данных граждан, а также обеспечение дополнительных условий для профилактики соответствующих правонарушений.
В целом, подписание Президентом РФ 12 декабря 2023 года Федерального закона N 589‐ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» стало логическим продолжением изменений, вводимых в сфере защиты персональных данных ранее.
1 Федеральный закон от 12 декабря 2023 г. N 589‐ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»
2 ст. 11 Федерального закон “О персональных данных” от 27.07.2006 N 152‐ФЗ
3 https://www.mos.ru/news/item/130922073/?utm_source=search&utm_term=serp
4 Значимая утечка данных — утечка данных, в результате которой было скомпрометировано более 5 тысяч строк пользовательских данных или которая получила резонанс в СМИ.
5 https://content.kaspersky‐labs.com/se/media/ru/business‐security/kaspersky‐data‐leakage‐report‐2022.pdf
