27.11.2024 г. Совет Федерации одобрил законы о внесении изменений в УК РФ и КоАП РФ, ужесточающих ответственность за нарушение законодательства в сфере ПДн (в соответствии с ранее внесенными Законопроектами: №502104-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» и № 502113-8 «О внесении изменений в Уголовный кодекс Российской Федерации».
Согласно пояснительным запискам, предусмотренная на данный момент ответственность несоразмерна и несопоставима потенциальным общественно опасным последствиям, которые может повлечь утечка персональных данных. Ужесточение ответственности поможет стимулировать операторов инвестировать в развитие инфраструктуры информационной безопасности и защиты персональных данных.
Ключевые изменения в КоАП РФ
1. В зависимости от объема информации, подверженной утечке, предлагается установление следующей градации ответственности для юридических лиц:
|
Правонарушение |
Ответственность |
|
Утечка персональных данных от 1 тыс. до 10 тыс. субъектов персональных данных, или от 10 тыс. до 100 тыс. уникальных обозначений сведений о физических лицах, необходимых для определения таких лиц («идентификаторов») |
Административный штраф в размере от 3 млн. до 5 млн. руб. |
|
Утечка персональных данных от 10 тыс. до 100 тыс. субъектов персональных данных, или от 100 тыс. до 1 млн. идентификаторов |
Административный штраф в размере от 5 млн. до 10 млн. руб. |
|
Утечка персональных данных более 100 тыс. субъектов персональных данных, или более 1 млн. идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния |
Административный штраф в размере от 10 млн. до 15 млн. руб. |
|
Повторное нарушение в рамках вышеприведенных составов правонарушений |
Оборотный штраф в размере от 1/10 до 3% совокупного размера выручки, но не менее 20 млн. и не более 500 млн. руб. |
2. Утечка специальных категорий персональных данных (в том числе касающихся сведений о состоянии здоровья граждан) может повлечь для юридических лиц административную ответственность в виде штрафа в размере от 10 млн. до 15 млн. руб.
Если утечке специальных категорий персональных данных предшествовало привлечение оператора-юридического лица к административной ответственности за одно из вышеописанных административных нарушений, то размер штрафа составит от 1/10 до 3% совокупного размера выручки, но не менее 25 млн. и не более 500 млн. руб.
3. Предусматривается увеличение размеров штрафов за обработку персональных данных в случаях, не предусмотренных действующим законодательством, в частности:
|
Правонарушение |
Ответственность |
|
Невыполнение или несвоевременное выполнение оператором обязанности по уведомлению уполномоченного органа о намерении осуществлять обработку персональных данных |
Административный штраф в размере до 300 тыс. руб. |
|
Неправомерная передача персональных данных, повлекшая нарушение прав субъектов персональных данных (утечка персональных данных) |
Административный штраф в размере от 1 млн. до 3 млн. руб. |
4. Важным считаем также и тот факт, что по ряду правонарушений, связанных с обработкой персональных данных, индивидуальные предприниматели несут административную ответственность как юридические лица.
5. Помимо указанных выше поправок некоторые вопросы ответственности уже претерпели изменения – так, 12 декабря 2023 г. был принят Федеральный закон № 589‑ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», который вступит в силу 23 декабря 2023 г. Данный закон ужесточает ответственность за обработку персональных данных без согласия субъекта персональных данных в письменной форме (ч. 2 ст. 13.11 КоАП РФ) в виде штрафа от 300 тыс. до 700 тыс. руб., а при повторном нарушении – от 1 млн. до 1,5 млн. руб. Новые поправки вносят изменения в размер санкций по ч. 1 ст. 13.11 КоАП РФ:
|
Правонарушение |
Ответственность |
|
Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных. Обработка персональных данных, несовместимая с целями их сбора |
Административный штраф в размере от 150 до 300 тыс. руб. Административный штраф в размере от 300 до 500 тыс. руб. за повторное нарушение |
6. Также вводится специальные составы, устанавливающие ответственность за нарушения требований в области обработки биометрических персональных данных (БПДн):
-
нарушение порядка обработки БПДн -административный штраф в размере от 500 тыс. до 1 млн. руб. (ч. 2 ст. 13.11.3 КоАП);
-
непринятие организационных и технических мер по обеспечению безопасности БПДн при их обработке - административный штраф в размере от 1 млн. руб. до 1.5 млн. руб. (ч. 3 ст. 13.11.3 КоАП);
-
обработка БПДн без аккредитации - административный штраф в размере от 1 млн. руб. до 2 млн. руб. (ч.4 ст. 13.11.3 КоАП), а также
действие (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступа) информации, включающей БПДн - административный штраф в размере от 15 до 20 млн. руб. (ч. 3 ст. 13.11 КоАП).
Закон предусматривает ряд смягчающих обстоятельств, учитываемых в случае совершения правонарушений, предусмотренных ч. 15 и 18 ст. 13.11 КоАП, при соблюдении оператором перечисленных условий в совокупности:
|
1) Ежегодные инвестиции оператора (в размере не менее 0,1% от оборота/выручки) в мероприятия по обеспечению информационной безопасности |
- в течение 3 лет, предшествующих моменту выявления правонарушения;
|
|
2) Документальное подтверждение соблюдения требований к защите персональных данных при их обработке в ИСПДн. |
- в течение 12 месяцев, предшествующих моменту выявления правонарушения.
|
3) Отсутствие отягчающих обстоятельств - (а) продолжение противоправного поведения, несмотря на требование уполномоченных на то лиц прекратить его; (б) не привлечение к административной ответственности по ряду составов, включая нарушение правил защиты информации (ст. 13.12 КоАП) и тд.
Ключевые изменения в УК РФ
В УК РФ добавлен новый состав (ст.272.1), предусматривающий ответственность за незаконный сбор и/ или хранение и/ или передачу персональных данных, полученных без законных оснований. Санкция за это нарушение предусматривает наложение штрафа до 300 тысяч рублей, либо четыре года принудительных работ, либо лишения свободы на аналогичный срок.
Квалифицирующими признаками указанного состава преступления являются те же деяния, совершенные:
-
в отношении персональных данных, принадлежащих несовершеннолетним, специальных или биометрических персональных данных. Виновного в таком случае могут привлечь либо к выплате штрафа размером до 700 тысяч рублей, либо к принудительным работам на срок до пяти лет, либо лишить свободы на тот же срок;
-
из корыстной заинтересованности, или группой лиц по предварительному сговору, или повлекшие причинение крупного ущерба, или с использованием служебного положения. При таких обстоятельствах виновнику грозит штраф до 1 миллиона рублей, либо принудительные работы до 5 лет, либо лишение свободы на срок до 6 лет;
-
при трансграничной передаче. Такое деяние наказывается лишением свободы на срок до 8 лет, а также наложением штрафа до 2 миллионов рублей;
-
организованной группой или повлекшие тяжкие последствия. Наказываются лишением свободы до 10 лет с выплатой штрафа до 3 миллионов рублей.
Отдельно предусмотрена ответственность в виде штрафа до 700 тысяч рублей, либо принудительных работ до 5 лет, либо лишения свободы на тот же срок, за создание и/ или обеспечение функционирования сайта в сети «Интернет» и/ или страницы сайта, целью которых является заведомо незаконное хранение, передача персональных данных, полученных без законных оснований.
Указанный состав не распространяет свое действие на случаи обработки персональных данных физическими лицами, обусловленными исключительно для личных и семейных нужд.
Ужесточение административной и уголовной ответственности должно способствовать принятию необходимых мер защиты персональных данных, инвестированию больших средств в информационную безопасность каждой компании, а также предотвращению возможных правонарушений и преступлений в области обработки персональных данных.