Ужесточение ответственности за на рушение 152-ФЗ: разбор изменений в области защиты персональных данных

19:22 / 10 декабря, 2024

Какие санкции теперь грозят операторам персональных данных.

Тема утечек персональных данных (далее – ПДн) не теряет своей актуальности уже несколько лет. Так, InfoWatch в отчете «Утечки информации в мире» зарегистрировал в 2023 году рост утечек ПДн на 61,5% в сравнении с 2022 годом. При этом, значительно выросло количество утекших записей ПДн — до более чем 47,24 млрд., что на 111,5% больше, чем в 2022 году. В связи с этим вопрос ужесточения ответственности за нарушение защиты ПДн становится все более значимым.

За последние годы регулирующие органы неоднократно озвучивали предложения об ужесточении ответственности за нарушение обработки и защиты ПДн и вели планомерную работу по разработке соответствующих законопроектов.

30 ноября были подписаны:

Федеральный закон от 30.11.2024 № 421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации» (далее – Закон о внесении изменений в УК РФ);
Федеральный закон от 30.11.2024 № 420‑ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее – Закон о внесении изменений в КоАП РФ).

Принятые законы вводят новые составы правонарушений, а также ужесточают принятую ответственность.

Закон о внесении изменений в УК РФ распространяется на физических лиц, а Закон о внесении изменений в КоАП РФ на:

граждан;
должностных лиц;
юридических лиц;
индивидуальных предпринимателей.

Поправки поясняют, что за административные нарушения, предусмотренные ст. 13.11 КоАП РФ, индивидуальные предприниматели несут административную ответственность как юридические лица

В статье мы рассмотрим ответственность за нарушение требований:

Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152‑ФЗ) и смягчающие обстоятельства, предусмотренные новыми изменениями;
Федерального закона от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации» (далее – 572-ФЗ).

ПДн – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

Операторами считаются любые организации, которые обрабатывают ПДн, а также определяют цели их обработки, состав необходимых для обработки ПДн и операции, совершаемые с ПДн.

Под утечкой ПДн подразумевается неправомерная передача (предоставление, распространение, доступ) ПДн лицам, не имеющим разрешения на доступ.

Изменения в КоАП РФ

1. Основные изменения

Предусмотренные изменения повлияли на размер штрафа за незаконную обработку ПДн, предусмотренную ч.1 и ч. 1.1 ст. 13.11 КоАП РФ.

Закон также вводит следующие новые составы правонарушений:

отсутствие уведомления в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) о намерении осуществлять обработку ПДн;
отсутствие уведомления в Роскомнадзор об утечке ПДн;
утечка иных* категорий ПДн;
утечка специальных или биометрических категорий ПДн;
повторная утечка ПДн.

*и разрешенных субъектом ПДн для распространения, если легитимность обработки таких ПДн была нарушена.

Отдельно изменения затрагивают ст. 13.11.3 КоАП РФ и вводят ответственность за нарушения, связанные с порядком обработки и защиты биометрических ПДн в Единой системе идентификации и аутентификации физических лиц с использованием биометрических ПДн (далее – ЕБС).

1.1. Незаконная обработка ПДн

В принятом Законе изменен размер административного штрафа, предусмотренный ч. 1 ст. 13.11 КоАП РФ, за нарушение обработки ПДн в случаях, не предусмотренных законодательством Российской Федерации (далее – РФ) в области ПДн, либо обработки ПДн, несовместимой с целями сбора ПДн. А также за повторное совершение указанного правонарушения, предусмотренного ч. 1.1 ст. 13.11 КоАП РФ. В таблице 1 приведена актуальная информация о размере административных штрафов.

Таблица 1 – Административная ответственность по ч. 1 и ч. 1.1 ст. 13.11 КоАП РФ

Норма	Содержание нарушения	Для кого	Было (рублей)	Стало (рублей)
ч. 1 ст. 13.11	Обработка ПДн в случаях, не предусмотренных законодательством РФ в области ПДн, либо обработка ПДн, несовместимая с целями сбора	Граждане	2 тыс. – 6 тыс.	10 тыс. – 15 тыс.
		Должностные лица	10 тыс. – 20 тыс.	50 тыс. – 100 тыс.
		Юридические лица	60 тыс. – 100 тыс.	150 тыс. – 300 тыс.
ч. 1.1 ст. 13.11	Повторное совершение административного правонарушения, предусмотренного ч. 1 ст. 13.11	Граждане	4 тыс. – 12 тыс.	15 тыс. – 30 тыс.
		Должностные лица	10 тыс. – 50 тыс. 50 тыс. – 100 тыс. (для ИП)	100 тыс. – 200 тыс.
		Юридические лица	100 тыс. – 300 тыс.	300 тыс. – 500 тыс.

1.2. Отсутствие уведомления в Роскомнадзор о намерении осуществлять обработку ПДн

В соответствии с ч. 10 ст. 13.11 КоАП РФ ответственность наступает за невыполнение и (или) несвоевременное выполнение оператором обязанности по уведомлению Роскомнадзора о намерении осуществлять обработку ПДн (ч. 1 ст. 22 152-ФЗ). Наказание предусмотрено в виде административного штрафа, размер которого указан в таблице 2.

Если оператор осуществляет деятельность по обработке ПДн исключительно без использования средств автоматизации, то он вправе не уведомлять Роскомнадзор.

Таблица 2 – Административная ответственность по ч. 10 ст. 13.11 КоАП РФ

Норма	Содержание нарушения	Для кого	Стало (рублей)
ч. 10 ст. 13.11	Невыполнение и (или) несвоевременное выполнение оператором обязанности по уведомлению Роскомнадзора о намерении осуществлять обработку ПДн	Граждане	5 тыс. – 10 тыс.
		Должностные лица	30 тыс. – 50 тыс.
		Юридические лица	100 тыс. – 300 тыс.

1.3. Отсутствие уведомления в Роскомнадзор об утечке ПДн

В соответствии с ч. 11 ст. 13.11 КоАП РФ ответственность наступает за невыполнение и (или) несвоевременное выполнение оператором обязанности по уведомлению Роскомнадзора в случае установления факта неправомерной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн (ч. 3.1 ст. 21 152‑ФЗ). Наказание предусмотрено в виде административного штрафа, размер которого указан в таблице 3.

Таблица 3 – Административная ответственность по ч. 11 ст. 13.11 КоАП РФ

Норма	Содержание нарушения	Для кого	Стало (рублей)
ч. 10 ст. 13.11	Невыполнение и (или) несвоевременное выполнение оператором обязанности по уведомлению Роскомнадзора о намерении осуществлять обработку ПДн	Граждане	5 тыс. – 10 тыс.
		Должностные лица	30 тыс. – 50 тыс.
		Юридические лица	100 тыс. – 300 тыс.

1.4. Утечка иных категорий ПДн

В соответствии с ч. 12, 13, 14 ст. 13.11 КоАП РФ ответственность наступает за действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей ПДн. Размер штрафа зависит от объема неправомерно переданных ПДн количества субъектов и уникальных обозначений сведений о физических лицах, необходимых для определения таких лиц (далее – идентификаторы).

Под идентификатором понимается любая запись в базе данных, прямо или косвенно относящаяся к субъекту ПДн.

В таблице 4 приведена зависимость размера штрафа от объема неправомерно переданных ПДн.

Таблица 4 – Административная ответственность по ч. 12, 13, 14 ст. 13.11 КоАП РФ

Норма	Градация объемов	Для кого	Штраф (рублей)
ч. 12 ст. 13.11	от 1 тыс. до 10 тыс. субъектов ПДн, от 10 тыс. до 100 тыс. идентификаторов	Граждане	100 тыс. – 200 тыс.
		Должностные лица	200 тыс. – 400 тыс.
		Юридические лица	3 млн. – 5 млн.
ч. 13 ст. 13.11	от 10 тыс. до 100 тыс. субъектов ПДн, от 100 тыс. до 1 млн. идентификаторов	Граждане	200 тыс. – 300 тыс.
		Должностные лица	300 тыс. – 500 тыс.
		Юридические лица	5 млн. – 10 млн.
ч. 14 ст. 13.11	более 100 тыс. субъектов ПДн, более 1 млн. идентификаторов	Граждане	300 тыс. – 400 тыс.
		Должностные лица	400 тыс. – 600 тыс.
		Юридические лица	10 млн. – 15 млн.

Отмечаем, что во всех частях есть оговорка о том, что эти действия (бездействие) не должны содержать признаков уголовно наказуемого деяния.

1.5. Утечка специальных или биометрических категорий ПДн

Законодатель отдельно выделяет ответственность за действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей:

специальные категории ПДн в ч. 16 ст. 13.11 КоАП РФ;
биометрические ПДн в ч. 17 ст.13.11 КоАП РФ.

Специальные категории ПДн – это данные касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости.

Биометрические ПДн – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн.

В таблице 5 приведены содержания норм и размеры административных штрафов, предусмотренных за указные нарушения.

Таблица 5 – Административная ответственность по ч. 16 и ч. 17 ст. 13.11 КоАП РФ

Норма	Содержание нарушения	Для кого	Штраф (рублей)
ч. 16 ст. 13.11	Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей специальную категорию ПДн	Граждане	300 тыс. – 400 тыс.
		Должностные лица	1 млн. – 1,3 млн.
		Юридические лица	10 млн. – 15 млн.
ч. 17 ст. 13.11	Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей биометрические ПДн	Граждане	400 тыс. – 500 тыс.
		Должностные лица	1,3 млн. – 1,5 млн.
		Юридические лица	15 млн. – 20 млн.

Исключением в ч. 17 ст. 13.11 КоАП РФ являются случаи, попадающие под ст. 13.11.3 КоАП РФ, которые касаются нарушения требований по обработке ПДн в государственной информационной системе «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных»).

1.6. Повторная утечка ПДн

Нововведения впервые вводят оборотные штрафы, то есть фиксированный процент от выручки оператора. Ответственность наступает, если оператор ранее уже привлекался к ответственности за утечку ПДн, о которых мы рассказали в двух пунктах выше.

Выручка оператора — совокупность размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение.

Так, в ч. 15 ст. 13.11 КоАП ответственность наступает за совершение административного правонарушения, предусмотренного ч. 12, 13, 14 ст. 13.11, лицами, которые ранее уже привлекались в соответствии с ч. 12-14, 16-18 ст. 13.11 КоАП РФ за действия (бездействие), повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей ПДн. Иными словами, штраф за повторную утечку иных категорий ПДн.

И в ч. 18 ст. 13.11 КоАП ответственность наступает за совершение административного правонарушения, предусмотренного ч. 16 или 17 ст. 13.11, лицом, которое ранее уже привлекалось в соответствии с ч. 12-18 ст. 13.11 КоАП РФ к административной ответственности. Иными словами, штраф за повторную утечку специальных категорий ПДн или биометрических ПДн.

В соответствии с п. 2 ст. 4.6 КоАП РФ утечка считается «повторной» в течение одного года с момента уплаты административного штрафа.

Таблица 6 – Административная ответственность по ч. 15 и ч. 18 ст. 13.11 КоАП РФ

Норма	Содержание нарушения	Для кого	Штраф (рублей)
ч. 15 ст. 13.11	Совершение административного правонарушения, предусмотренного ч. 12-14 ст. 13.11, лицами, которые ранее уже привлекались в соответствии с ч. 12-15, 16-18 ст. 13.11 КоАП РФ за действия (бездействие), повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей ПДн	Граждане	400 тыс. – 600 тыс.
		Должностные лица	800 тыс. – 1,2 млн.
		Юридические лица	от 1% до 3%, но не менее 20 млн. и не более 500 млн.
ч. 18 ст. 13.11	Совершение административного правонарушения, предусмотренного ч. 16 или 17 ст. 13.11, лицом, которое ранее уже привлекалось в соответствии с ч. 12-18 ст. 13.11 КоАП РФ к административной ответственности	Граждане	500 тыс. – 800 тыс.
		Должностные лица	1,5 млн. – 2 млн.
		Юридические лица	от 1% до 3%, но не менее 25 млн. и не более 500 млн.

В новой редакции КоАП РФ для ч. 15 и ч. 18 ст. 13.11 предусмотрены два важных смягчающих обстоятельства, которые будут приниматься во внимание при определении ответственности за нарушения:

- ежегодные расходы оператора в течение трех календарных лет, предшествующих году, в котором было выявлено административное правонарушение, на мероприятия по обеспечению информационной безопасности, а сумма таких расходов должна составлять не менее 0,1% годовой суммы выручки. В Законе отмечается, что такие мероприятия должны проводить организации, имеющие лицензию ФСБ России или ФСТЭК России, либо операторы самостоятельно при наличии такой лицензии.

- соблюдение требований к защите ПДн при их обработке в информационных системах ПДн при условии наличия документально зафиксированных результатов за последние 12 месяцев. Что еще раз обращает внимание оператора на нормы, установленные в ч. 12 – 18 ст. 13.11, то есть оператором должны приниматься все необходимые и достаточные меры по обеспечению безопасности ПДн, установленные действующим законодательством РФ.

Фактом подтверждения соблюдения требований по защите ПДн могут являться, например, Акт оценки эффективности системы защиты ПДн или Аттестат соответствия требованиям по обеспечению безопасности ПДн.

2. Защита биометрических ПДн в ЕБС

Принятый Закон вводит новые административные составы за нарушения, в части обработки и защиты биометрических в ПДн в ЕБС, предусмотренные ст. 13.11.3 КоАП РФ.

Так, в соответствии с ч. 2 ст. 13.11.3 КоАП РФ ответственность наступает за нарушение порядка обработки биометрических ПДн в ЕБС и в информационных системах уполномоченных органов, либо требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических ПДн, векторов ЕБС в целях проведения идентификации и (или) аутентификации.

Под уполномоченными органами понимаются государственные органы, Центральный банк РФ, организации, прошедшие аккредитацию и осуществляющие аутентификацию на основе биометрических ПДн физических лиц.

В ч. 3 ст. 13.11.3 КоАП РФ ответственность вводится за непринятие организационных и технических мер по обеспечению безопасности биометрических ПДн при их обработке в ЕБС, ее взаимодействии с иными информационными системами либо непринятие организационных и технических мер по обеспечению безопасности биометрических ПДн при их обработке в иных информационных системах, обеспечивающих аутентификацию с использованием биометрических ПДн физических лиц, в том числе в информационных системах аккредитованных государственных органов.

И в ч. 4 ст. 13.11.3 КоАП РФ ответственность вводится за обработку биометрических ПДн, векторов ЕБС для аутентификации физических лиц в информационных системах уполномоченных органов без аккредитации либо в случае, если аккредитация приостановлена или прекращена.

В таблице 7 приведены содержания норм и размеры административных штрафов, предусмотренных за указные нарушения.

Таблица 7 – Административная ответственность по ч. 2-4 ст. 13.11.3 КоАП РФ

Норма	Содержание нарушения	Для кого	Штраф (рублей)
ч. 2 ст. 13.11.3	Нарушение порядка обработки биометрических ПДн в ЕБС, порядка обработки биометрических ПДн, векторов ЕБС в информационных системах государственных органов, Центрального банка РФ, организаций, прошедших аккредитацию и осуществляющих аутентификацию на основе биометрических ПДн физических лиц, либо требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических ПДн, векторов ЕБС в целях проведения идентификации и (или) аутентификации	Должностные лица	100 тыс. – 300 тыс.
ч. 2 ст. 13.11.3		Юридические лица	500 тыс. – 1 млн.
ч. 3 ст. 13.11.3	Непринятие организационных и технических мер по обеспечению безопасности биометрических ПДн при их обработке в ЕБС, ее взаимодействии с иными информационными системами либо непринятие организационных и технических мер по обеспечению безопасности биометрических ПДн при их обработке в иных информационных системах, обеспечивающих аутентификацию с использованием биометрических ПДн физических лиц, в том числе в информационных системах аккредитованных государственных органов	Должностные лица	300 тыс. – 500 тыс.
ч. 3 ст. 13.11.3		Юридические лица	1 млн. – 1,5 млн.
ч. 4 ст. 13.11.3	Обработка биометрических ПДн, векторов ЕБС для аутентификации физических лиц в информационных системах государственных органов, организаций, информационной системе Центрального банка РФ без аккредитации либо в случае, если аккредитация приостановлена или прекращена	Должностные лица	500 тыс. – 1 млн.
ч. 4 ст. 13.11.3		Юридические лица	1 млн. – 2 млн.

Изменения в УК РФ

Уголовный кодекс РФ дополнен статьей 272.1 за незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей ПДн, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения.

В таблице 8 приведена актуальная информация о составе частей и предусмотренном наказании.

Таблица 8 – Уголовная ответственность по ст. 272.1 Уголовного кодекса РФ

Норма	Содержание правонарушения	Предусмотренное наказание
ч. 1 ст. 272.1	Незаконные использование и (или) передача (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей ПДн, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо иным незаконным путем	Штраф до 300 тыс. рублей или доход осужденного (заработная плата) за период до 1 года, либо принудительные работы/лишение свободы на срок до 4 лет
ч. 2 ст. 272.1	Деяния ч. 1, совершенные в отношении компьютерной информации, содержащей ПДн несовершеннолетних лиц, специальные категории ПДн и (или) биометрические ПДн	Штраф до 700 тыс. рублей или доход осужденного (заработная плата) за период до 2 лет (с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового), либо принудительные работы/лишение свободы на срок до 5 лет
ч. 3 ст. 272.1	Деяния, ч. 1 или ч. 2, совершенные: а) из корыстной заинтересованности б) с причинением крупного ущерба в) группой лиц по предварительному сговору г) с использованием своего служебного положения	Штраф до 1 млн. рублей или доход осужденного (заработная плата) за период до 3 лет (с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового), либо принудительные работы на срок до 5 лет + штраф до 1 млн. рублей или доход осужденного за период до 3 лет, либо лишение свободы на срок до 6 лет
ч. 4 ст. 272.1	Деяния ч. 1–3 сопряженные с трансграничной передачей компьютерной информации, содержащей ПДн, и (или) трансграничным перемещением носителей информации, содержащих ПДн	Лишение свободы на срок до 8 лет + штраф в размере до 2 млн. рублей или доход осужденного (заработная плата) за период до 3 лет
ч. 5 ст. 272.1	Деяния ч. 1–4, если они повлекли тяжкие последствия либо совершены организованной группой	Лишение свободы на срок до 10 лет + штраф в размере до 3 млн. рублей или доход осужденного (заработная плата) за период до 4 лет
ч. 6 ст. 272.1	Создание и (или) обеспечение функционирования информационного ресурса (сайта в сети «Интернет» и (или) страницы сайта в сети «Интернет», информационной системы, программы для электронных вычислительных машин), заведомо предназначенного для незаконных хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей ПДн, полученной незаконным путем	Штраф до 700 тыс. рублей или доход осужденного (заработная плата) за период до 2 лет, либо лишение свободы на срок до 5 лет

Что нужно сделать Операторам, чтобы снизить риски нарушения требований законодательства при обработке ПДн?

1. Провести аудит процессов организации обработки и обеспечения безопасности ПДн:

определить цели, перечень ПДн, состав ПДн, операции над ПДн, условия обработки и третьих лиц, кому передаются ПДн;
определить (и назначить) ответственного за организацию обработки ПДн;
провести оценку эффективности системы защиты ПДн;
заполнить форму уведомления о намерении осуществлять обработку ПДн и направить ее в Роскомнадзор;
осуществить контроль за соответствием информации, зафиксированной в уведомлении о намерении осуществлять обработку ПДн, действительности и, по мере необходимости, направить уведомление об изменениях в Роскомнадзор.

2. Выстроить процесс реагирования на инциденты:

регламентировать процесс реагирования на инциденты;
подготовить условия для мониторинга инцидентов информационной безопасности и обеспечить реагирование на них или подключиться к корпоративному центру мониторинга (например, USSC-SOC);
обеспечить информирование Роскомнадзора в случае утечки ПДн.

3. Повышать осведомленность пользователей в вопросах обеспечения безопасности ПДн.

Авторы:

К.А. Кузнецова, Руководитель группы Аналитического центра ООО «УЦСБ»

А.С. Остапова, Старший аналитик Аналитического центра ООО «УЦСБ»

Красная или синяя таблетка?

В Матрице безопасности выбор очевиден

Выберите реальность — подпишитесь