30 ноября 2024 г. президент подписал законы об изменениях в Кодекс об административных правонарушениях (КоАП) и Уголовный кодекс (УК)[1], устанавливающие ответственность за нарушения в сфере обработки ПД.
Административная ответственность
Согласно вышеназванному закону 30 мая 2025 начнут действовать увеличенные административные штрафы за нарушения в сфере обработки персональных данных (ПДн).
Будет существенно увеличен установленный статьей 13.11 КоАП штраф за обработку ПДн в непредусмотренных законом случаем (например, в отсутствие согласия):
Основание ответственности | Штраф для юрлиц до 30 мая 2025 г. | Штраф для юрлиц после 30 мая 2025 г. |
Обработка ПДн в непредусмотренных законом случаях | от 60 000 до 100 000 р. | от 150 000 до 300 000 р. |
Повторное нарушение | от 100 000 до 300 000 р. | от 300 000 до 500 000 р. |
Кроме того, ст. 13.11 КоАП будет дополнена частями 10 – 18, предусматривающими новые штрафы.
Появился отдельный штраф за неуведомление РКН о начале обработки ПДн. Обязанность направлять такие уведомления появилась у операторов еще в 2023 г., но ответственность за нарушение установлена только сейчас:
- Невыполнение или несвоевременное выполнение оператором обязанности по уведомлению РКН о намерении осуществлять обработку ПДн –
штраф для юридических лиц составит от 100 000 до 300 000 р.
Установлен ряд штрафов, связанных с утечками ПДн. В законе утечка ПДн определена как неправомерная передача (предоставление, распространение, доступ) информации, включающей ПДн. Более подробное определение утечки в законодательстве отсутствует.
Однако из судебной практики следует, что оператор понесет ответственность за утечку ПДн, если:
- не предпринял достаточных технических мер для защиты баз данных от хакерских атак;
- сотрудники оператора умышленно / по неосторожности подвергли риску конфиденциальность ПДн пользователей (разместили их на незащищенной платформе; осуществляли продажу баз ПДн).
Суды уточняют, что оператор освобождается от ответственности, если будет доказано, что утечка произошла по вине субъекта ПДн[2]. Это может быть, например, ситуация, когда субъект разместил свои ПДн на общедоступной платформе, либо самостоятельно сообщил данные мошенникам. Наличие вины субъекта ПДн обязан доказать оператор ПДн, обрабатывающий ПДн такого субъекта.
Итак, установлены следующие штрафы, связанные с утечками ПДн:
- Невыполнение или несвоевременное выполнение оператором обязанности по уведомлению РКН об утечке ПДн –
штраф для юридических лиц составит от 1 000 000 до 3 000 000 р.
- Действия (бездействие) оператора, повлекшие утечку ПДн 1000 до 10 000 субъектов ПДн и (или) от 10 000 до 100 000 идентификаторов[3] –
штраф для юридических лиц составит от 3 000 000 до 5 000 000 р.
- Действия (бездействие) оператора, повлекшие утечку ПДн от 10 000 до 100 000 субъектов и (или) от 100 000 до 1 000 000 идентификаторов –
штраф для юридических лиц составит от 5 000 000 до 10 000 000 р.
- Действия (бездействие) оператора, повлекшие утечку ПДн более 100 0000 субъектов и (или) более 1 000 000 идентификаторов –
штраф для юридических лиц составит от 10 000 000 до 15 000 000 р.
- Действия (бездействие) оператора, повлекшие повторную утечку ПДн –
штраф для юридических лиц составит от 1 до 3 % выручки за предыдущий календарный год.
- Действия (бездействие) оператора, повлекшие утечку специальных категорий ПДн[4] –
штраф для юридических лиц составит от 10 000 000 до 15 000 000 р.
- Действия (бездействие) оператора, повлекшие утечку биометрических ПДн[5] –
штраф для юридических лиц составит от 15 000 000 до 20 000 000 р.
- Действия (бездействие) оператора, повлекшие повторную утечку биометрических или специальных категорий ПДн –
штраф для юридических лиц от 1 до 3 % выручки, полученной за предшествующий календарный год.
Ст. 4.1 КоАП также будет дополнена новыми смягчающими обстоятельствами. Штрафы за повторно допущенную утечку данных могут быть уменьшены при одновременном наличии следующих обстоятельств:
- ежегодные расходы (за предыдущие 3 года до выявления правонарушения) на мероприятия по обеспечению информационной безопасности не менее 0,1% годового размера суммы выручки, либо размера собственных средств кредитной организации;
- наличие лицензии на оказание услуг в области шифрования информации или на деятельность по технической защите информации у оператора или привлекаемой им организации;
- документальное подтверждение соблюдения требований к защите ПДн при их обработке в ИСПДн в течение 1 года до выявления правонарушения;
- отсутствие отягчающих обстоятельств.
Уголовная ответственность
Кроме того, Закон от 30.11.2024 № 421-ФЗ устанавливает новые меры уголовной ответственности, связанные с незаконной обработкой ПДн, которые будут применяться с 11 декабря 2025 г. Приводим некоторые составы:
- незаконные использование, передача, сбор, распространение и хранение ПДн, полученных незаконным способом,
влекут ответственность в виде штрафа в размере до 300 000 р. или зарплаты осужденного за период до года, либо принудительных работ или лишения свободы на срок до 4 лет;
- те же действия, совершенные с ПДн несовершеннолетних, биометрическими ПДн или специальными категориями ПДн,
наказываются штрафом в размере до 700 000 р. или в размере зарплаты осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет, либо принудительными работами или лишением свободы на срок до 5 лет.
- Те же деяния, сопряженные с трансграничной передачей ПДн или носителей информации, содержащих ПДн,
наказываются лишением свободы на срок до восьми лет со штрафом в размере до 2 000 000 р. или в размере зарплаты осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 4 лет.
Итак, изменения в законодательстве связаны с недавними случаями масштабных утечек ПДн, а также хранения и продажи ПДн, полученных незаконным способом.
В ближайшее время операторам необходимо проверить системы защиты ПДн от утечек и несанкционированного доступа. Кроме того, рекомендуется проверить, уведомили ли компании-операторы РКН о начале обработки ПДн.
[1] Федеральный закон от 30.11.2024 № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»; Федеральный закон от 30.11.2024 № 421-ФЗ
«О внесении изменений в Уголовный кодекс Российской Федерации».
[2] Определение Второго кассационного суда общей юрисдикции от 09.11.2023 N 88-29173/2023.
[3] Под идентификатором понимается уникальное обозначение сведений о физическом лице, содержащееся в информационной системе ПДн оператора и относящееся к такому лицу.
[4] Специальные категории ПДн — это сведения, которые касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, а также интимной жизни.
[5] Биометрические ПДн – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн (например, фотография в пропуске).