26 ноября 2024 года в третьем чтении были утверждены новые ужесточения ответственности за утечку персональных данных. Изменения коснулись как Кодекса об административных правонарушениях, так и Уголовного Кодекса. Закон вступает в силу с первого марта 2025 года.
Закон ориентирован на борьбу с утечкой и нелегальным оборотом персональных данных. Это связано с тем, что в последние годы количество нарушений в сфере растет большими темпами, делая проблему одной из приоритетных.
Важно отметить, что особое внимание было уделено повторным нарушениям, за которые теперь сумма штрафа кратно возрастет. Также появилась уголовная ответственность в виде лишения свободы за некоторые виды нарушений.
Рассмотрим подробнее все изменения.
Незаконная обработка персональных данныхПри незаконной обработке персональных данных штрафы для должностных лиц вырастут до 200 тыс. рублей. Граждане будут вынуждены выплатить 30 тыс. рублей. В случае юридических лиц предусмотрено увеличение штрафов за повторное нарушение, которое может доходить до 500 тыс. рублей. Также, для юр. лиц впервые применяется оборотный штраф, формирующийся в зависимости от дохода компании.
С новыми поправками каждый оператор персональных данных будет обязан уведомить о своем статусе Роскомнадзор. За несоблюдение требований предусмотрен штраф в размере от 100 до 300 тыс. рублей. Также юр.лица и ИП обязаны будут оповещать РКН о неправомерной или случайной передаче персональных данных. Нарушение данного требования предусматривает материальное наказание в размере 1-3 млн. рублей. Подробнее о реестре операторов персональных данных можно ознакомиться в нашей .
Предусмотрена и уголовная ответственность в том случае, если был создан интернет-ресурс (сайт, страница), ориентированный на хранение, обработку и распространение персональных данных, полученных незаконным путем. За такое деяние можно получить срок заключения до 5 лет. В случае, если нарушение совершается группой лиц или понесло за собой тяжелые последствия срок заключения может доходить до 10 лет.
Незаконное распространение персональных данных и массовая утечка ПДнНовые правки ужесточили ответственность за утечку ПДн. Так, за действие или бездействие, в результате которых утекли данные, при этом не прослеживаются признаки уголовной ответственности, размер наказания зависит от количества идентификаторов.
Под идентификаторами понимаются сведения, по которым можно с точностью определить носителя персональных данных. Это могут быть любые данные гражданина (паспорт, СНИСЛ, телефон и т.д.).
Для физических лиц сумма штрафов за незаконное распространение персональных данных составит 30 тыс. рублей. Для должностных лиц – до 200 тыс. рублей.
За массовую утечку (более 100 тысяч субъектов ПДн или более 1 млн идентификаторов) штраф для физ.лиц составит до 400 тыс. рублей, для должностных до 600 тыс. рублей. Для юр.лиц – до 15 млн. рублей.
В таблице ниже приведены размеры штрафов в зависимости от количества идентификаторов за утечку персональных данных для юридических лиц и ИП.
Таблица штрафов для ИП и Юридических лиц (без учета НКО) за утечку ПДН
Ужесточили штрафы за повторное нарушение. Так, ИП и юр. лица (без учета некоммерческих организаций) за подобный проступок будут вынуждены заплатить штраф в размере 1-3% от годовой прибыли. Учитывается год, предшествующий году, в котором совершено нарушение.
Если отягчающих обстоятельств не выявлено, при этом компания вкладывала в свою информационную безопасность не меньше 0,1% от прибыли на протяжении трех лет, штраф будет не более 50 млн.рублей
Штрафы за биометриюВ 2025 году ужесточения коснутся и биометрии. В одной из наших мы подробно рассказывали о биометрических ПДн и Единой биометрической системе.
Административная ответственность за незаконное использование биометрии подразумевает штрафы для физических лиц в размере от 400 тыс.рублей до 500 тыс. рублей, для должностных лиц от 1 млн. до 1,5 млн. рублей, для ИП и юр.лиц – от 10 до 15 млн. Также предусмотрен оборотный штраф, пропорциональный доходу для ИП и юр.лиц при повторном нарушении - 1-3% от годовой прибыли.
Уголовная ответственность за незаконную работу с биометрическими ПДн, полученными незаконным путем, может повлечь наказание до 5 лет лишения свободы. В случае, если преступление совершается группой лиц или повлекло тяжкие последствия, срок может доходить до 10 лет.
В случае утечки биометрических персональных данных несовершеннолетних, административное наказание для физических лиц увеличено до 50 тыс. рублей, для ИП и юр. лиц – до 1 млн. рублей. За повторные нарушения размер штрафа может составить до 3% от годового дохода компании.
Утечка персональных данных из корыстных целей с причинением ущерба, при сговоре или с использованием служебного положенияЗа это преступление теперь уголовная ответственность - срок до 10 лет, в случае тяжких последствий вроде больших денежных потерь или массового характера преступления. Административная ответственность будет предусматривать штраф до 1 млн. рублей или дохода компании за 3 года, что должно побудить организации увеличивать свои инвестиции в собственную ИБ.
Трансграничная утечка персональных данныхВ случае трансграничной утечки ПДн, предусматривается наказание в виде лишения свободы на срок до 10 лет со штрафом в размере до 3 млн. рублей, если деяния повлекли тяжкие последствия, либо совершены организованной группой.
Также введено наказание за действия, сопряженные с трансграничной передачей компьютерной информации, содержащей персональные данные или трансграничным перемещением носителей информации, содержащих персональные данные.
В заключениеТаким образом, мы можем заметить значительные меры по ужесточению наказания за нарушение закона «О персональных данных». По некоторым моментам предусматривается уголовная ответственность, а суммы штрафов заметно выросли.
Пока еще новые изменения не вступили в силу, обращайтесь к нам! Компания «Рубикон» поможет, во избежание негативных последствий, предпринять меры по усилению ИБ. Например, провести всей информационной безопасности в вашей организации или защищенности персональных данных в соответствии с 152-ФЗ «О персональных данных». Это поможет выявить слабые места в безопасности и избежать административной и уголовной ответственности.
