ИНФОЦЕНТР
3 декабря 2024
Ужесточение ответственности в области персональных данных: оборотные штрафы и специальная статья в Уголовном кодексе РФ

30 ноября 2024 г. опубликованы законы, существенно увеличивающие ответственность в сфере обработки персональных данных.

Оборотные штрафы и новые составы правонарушений

Первый закон[1] касается административной ответственности.

Вводятся значительные штрафы за действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные (так называемую «утечку»)[2].

Размер штрафа зависит от числа пострадавших субъектов, количества и чувствительности «утекших» данных. Для компаний он может составить:

  • от 3 млн до 5 млн руб., если утечка коснется от 1 тыс. до 10 тыс. субъектов (и/или от 10 тыс. до 100 тыс. идентификаторов[3]);
  • от 5 млн до 10 млн руб., если пострадают от 10 тыс. до 100 тыс. субъектов (и/или от 100 тыс. до 1 млн идентификаторов);
  • от 10 млн до 15 млн руб. для инцидента в отношении свыше 100 тыс. субъектов (и/или более 1 млн идентификаторов) или за утечку информации, включающей специальную категорию персональных данных (например, о состоянии здоровья);
  • от 15 млн до 20 млн руб. за утечку биометрических персональных данных.

За повторное нарушение штраф составит от 1% до 3% от совокупного размера выручки[4] за календарный год, предшествующий году, в котором выявлено правонарушение, но не менее 20 млн руб. (25 млн руб. при утечке специальной категории персональных данных или биометрических персональных данных) и не более 500 млн руб.

За повторные правонарушения может быть назначено более мягкое наказание (в размере от 15 млн руб. до 50 млн руб.) при одновременном наличии следующих смягчающих обстоятельств до момента вынесения постановления о наложении штрафа:

  • в течение трех лет, предшествующих году выявления правонарушения, оператор ежегодно нес расходы на мероприятия по обеспечению информационной безопасности[5] в размере не менее 0,1% годового совокупного размера выручки[6];
  • оператор соблюдал требования к защите персональных данных при их обработке в информационных системах персональных данных при условии документального подтверждения указанного факта, проведенного в течение 12 месяцев, предшествующих моменту выявления административного правонарушения;
  • отсутствуют обстоятельства, отягчающие ответственность, а именно: оператор прекратил противоправное поведение и на момент совершения правонарушения не считался (и не считается на момент вынесения постановления по делу) лицом, подвергнутым административному наказанию за совершение административных правонарушений в области персональных данных[7].

Кроме этого, законопроект вводит дополнительные отдельные составы правонарушений, в том числе:

  • за неуведомление (несвоевременное уведомление) Роскомнадзора о намерении осуществлять обработку персональных данных или о факте неправомерной или случайной утечки персональных данных (штраф для организаций до 300 тыс. руб. и до 3 млн руб. соответственно);
  • за нарушение порядка обработки биометрических персональных данных в единой биометрической системе («ЕБС»), биометрических персональных данных, векторов ЕБС в информационных системах государственных органов, ЦБ РФ, организаций, прошедших аккредитацию и осуществляющих аутентификацию на основе биометрических персональных данных, либо требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов ЕБС в целях проведения идентификации и (или) аутентификации (штраф для организаций до 1 млн руб.);
  • за непринятие организационных и технических мер по обеспечению безопасности биометрических персональных данных при их обработке в ЕБС, ее взаимодействии с иными информационными системами либо при их обработке в информационных системах, обеспечивающих аутентификацию с использованием биометрических персональных данных на основе таких данных (штраф для организаций до 1,5 млн руб.);
  • за обработку биометрических персональных данных, векторов ЕБС для аутентификации физических лиц в информационных системах государственных органов, организаций, информационной системе ЦБ РФ без аккредитации либо в случае, если аккредитация приостановлена или прекращена (штраф для организаций до 2 млн руб.).

Закон вступает в силу по истечении 180 дней после его официального опубликования.

Новые составы преступлений

Второй закон[8] вводит в УК РФ статью 272.1, устанавливающую новые составы преступлений:

  • незаконные использование и/или передача (распространение, предоставление, доступ), сбор и/или хранение компьютерной информации, содержащей персональные данные, полученной незаконным путем. Наказание (с учетом отягчающих обстоятельств) - до 10 лет лишения свободы со штрафом до 3 млн руб. (или в размере заработной платы или иного дохода осужденного за период до 4 лет); возможно лишение права занимать определенные должности или заниматься определенной деятельностью до 5 лет;
  • создание и/или обеспечение функционирования информационных ресурсов (например, сайта в сети Интернет, информационной системы, программы), заведомо предназначенных для незаконного хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей персональные данные, полученной незаконным путем. Наказание - до 5 лет лишения свободы со штрафом в размере до 700 тыс. руб. (или иного дохода осужденного за период до 2 лет); возможно лишение права занимать определенные должности или заниматься определенной деятельностью до 2 лет.

РЕКОМЕНДАЦИИ:

  • Проверить бизнес-процессы и информационные системы на предмет соблюдения требований законодательства о персональных данных, в частности, наличие законной цели сбора данных, надлежащих согласий на их обработку.
  • Убедиться, что в организации выполняются необходимые мероприятия по обеспечению информационной безопасности с учетом актуальных рисков, в т.ч. рисков утечек. Принять меры к минимизации рисков. Предусмотреть в бюджете соответствующие расходы.
  • Проверить и при необходимости обновить пакет документов, подтверждающих соблюдение требований к защите персональных данных при их обработке.

_______________________________________________________________

[1] Федеральный закон от 30.11.2024 № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».

[2] Новые части 12–18 ст. 13.11 КоАП РФ.

[3] Под идентификатором понимается уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу (возможно, к таким обозначениям будут относить, например, серию и номер паспорта, СНИЛС, ИНН).

[4] Если компания не осуществляла деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, то для расчета штрафа используется размер выручки за часть календарного года, в котором было выявлено административное правонарушение, предшествующая дате выявления нарушения.

Для кредитных организаций сумма штрафа определяется, исходя из размера собственных средств (капитала) на дату совершения административного правонарушения.

[5] Эти мероприятия оператор может провести самостоятельно либо с привлечением сторонней организации. Однако в обоих случаях необходима лицензия, предусмотренная пунктом 1 или 5 части 1 статьи 12 Федерального закона от 4 мая 2011 года № 99-ФЗ «О лицензировании отдельных видов деятельности».

[6] Для кредитных организаций не менее 0,1% от размера собственных средств (капитала).

[7] За совершение административных правонарушений, предусмотренных частями 1 - 11 статьи 13.11 и (или) статьями 13.6, 13.12 КоАП РФ.

[8] Федеральный закон от 30.11.2024 № 421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации».

PDF версия – по ссылке слева.

Данный материал подготовлен исключительно в информационных и/или образовательных целях и не является юридической консультацией или заключением. АБ ЕПАМ, его руководство, адвокаты и сотрудники не могут гарантировать применимость такой информации для Ваших целей и не несут ответственности за Ваши решения и связанные с ними возможные прямые или косвенные потери и/или ущерб, возникшие в результате использования содержащейся в данных материалах информации или какой-либо ее части.

Практики

КЛЮЧЕВЫЕ КОНТАКТЫ

Елена Агаева

Елена Агаева

Санкт-Петербург

Вернуться назад
Содержание данного информационного ресурса (сайт www.epam.ru), включая любую информацию и результаты интеллектуальной деятельности, защищены законодательством Российской Федерации и международными соглашениями. Любое использование, копирование, воспроизведение или распространение любой размещенной информации, материалов и (или) их частей не допускается без предварительного получения согласия правообладателя и влечет применение мер ответственности.

Комментарии, презентации и статьи юристов, размещенные на сайте www.epam.ru, или доступ к которым предоставлен через сайт www.epam.ru, отражают их личное мнение и собственные выводы, которые могут не совпадать с позицией Адвокатского бюро ЕПАМ.

Сведения и материалы, размещенные на сайте www.epam.ru, подготовлены исключительно в информационных целях и не являются юридической консультацией или заключением. Адвокатское бюро ЕПАМ, его руководство, адвокаты и сотрудники не могут гарантировать применимость такой информации для ваших целей и не несут ответственности за ваши решения и связанные с ними возможные прямые или косвенные потери и/или ущерб, возникшие в результате использования информации или какой-либо ее части, содержащейся на сайте www.epam.ru.
© Адвокатское бюро ЕПАМ. 1993-2024. Все права защищены. Политика обработки персональных данных
Создание сайтов – amigo.studio