27.11.2024 г. Совет Федерации одобрил законы о внесении изменений в УК РФ и КоАП РФ, ужесточающих ответственность за нарушение законодательства в сфере персональных данных (далее – «ПДн») (в соответствии с ранее внесенными Законопроектами: №502104-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» и № 502113-8 «О внесении изменений в Уголовный кодекс Российской Федерации».
Согласно пояснительным запискам, предусмотренная на данный момент ответственность несоразмерна и несопоставима потенциальным общественно опасным последствиям, которые может повлечь утечку ПДн. Ужесточение ответственности поможет стимулировать операторов инвестировать в развитие инфраструктуры информационной безопасности и защиты ПДн .
Ключевые изменения в КоАП РФ:
1. В зависимости от объема информации, подверженной утечке, предлагается установление следующей градации ответственности для юридических лиц:
|
Правонарушение |
Ответственность |
|
Утечка ПДн от 1 тыс. до 10 тыс. субъектов ПДн, или от 10 тыс. до 100 тыс. уникальных обозначений сведений о физических лицах, необходимых для определения таких лиц («идентификаторов») |
Административный штраф в размере от 3 млн. до 5 млн. руб. |
|
Утечка ПДн от 10 тыс. до 100 тыс. субъектов ПДн, или от 100 тыс. до 1 млн. идентификаторов |
Административный штраф в размере от 5 млн. до 10 млн. руб. |
|
Утечка ПДн более 100 тыс. субъектов ПДн, или более 1 млн. идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния |
Административный штраф в размере от 10 млн. до 15 млн. руб. |
|
Повторное нарушение в рамках вышеприведенных составов правонарушений |
Оборотный штраф в размере от 1/10 до 3% совокупного размера выручки, но не менее 20 млн. и не более 500 млн. руб. |
2. Утечка специальных категорий ПДн (в том числе касающихся сведений о состоянии здоровья граждан) может повлечь для юридических лиц административную ответственность в виде штрафа в размере от 10 млн. до 15 млн. руб.
Если утечке специальных категорий ПДн предшествовало привлечение оператора-юридического лица к административной ответственности за одно из вышеописанных административных нарушений, то размер штрафа составит от 1/10 до 3% совокупного размера выручки, но не менее 25 млн. и не более 500 млн. руб.
3. Предусматривается увеличение размеров штрафов за обработку ПДн в случаях, не предусмотренных действующим законодательством, в частности:
|
Правонарушение |
Ответственность |
|
Невыполнение или несвоевременное выполнение оператором обязанности по уведомлению уполномоченного органа о намерении осуществлять обработку ПДн |
Административный штраф в размере до 300 тыс. руб. |
|
Невыполнение или несвоевременное выполнение оператором обязанности по уведомлению уполномоченного органа в случае установления факта утечки ПДн, повлекшей нарушение прав субъектов ПДн |
Административный штраф в размере от 1 млн. до 3 млн. руб. |
4. Важным считаем также и тот факт, что по ряду правонарушений, связанных с обработкой ПДн, индивидуальные предприниматели несут административную ответственность как юридические лица.
5. Помимо указанных выше поправок некоторые вопросы ответственности уже претерпели изменения – так, 12 декабря 2023 г. был принят Федеральный закон № 589‑ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», который вступил в силу 23 декабря 2023 г. Данный закон ужесточил ответственность за обработку ПДн без согласия субъекта ПДн в письменной форме (ч. 2 ст. 13.11 КоАП РФ) в виде штрафа от 300 тыс. до 700 тыс. руб., а при повторном нарушении – от 1 млн. до 1,5 млн. руб.
Новые поправки вносят изменения в размер санкций по ч. 1 ст. 13.11 КоАП РФ:
|
Правонарушение |
Ответственность |
|
Обработка ПДн в случаях, не предусмотренных законодательством РФ в области ПДн, обработка ПДн, несовместимая с целями их сбора |
Административный штраф в размере от 150 до 300 тыс. руб. Административный штраф в размере от 300 до 500 тыс. руб. за повторное нарушение |
6. Также вводится специальные составы, устанавливающие ответственность за нарушения требований в области обработки биометрических персональных данных (далее – «БПДн»):
-
нарушение порядка обработки БПДн – административный штраф в размере от 500 тыс. до 1 млн. руб. (ч. 2 ст. 13.11.3 КоАП);
-
непринятие организационных и технических мер по обеспечению безопасности БПДн при их обработке – административный штраф в размере от 1 млн. руб. до 1.5 млн. руб. (ч. 3 ст. 13.11.3 КоАП);
-
обработка БПДн в информационных системах государственных органов без аккредитации – административный штраф в размере от 1 млн. руб. до 2 млн. руб. (ч.4 ст. 13.11.3 КоАП), а также действие (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступа) информации, включающей БПДн – административный штраф в размере от 15 до 20 млн. руб. (ч. 17 ст. 13.11 КоАП).
Закон предусматривает ряд смягчающих обстоятельств, учитываемых в случае совершения правонарушений, предусмотренных ч. 15 и 18 ст. 13.11 КоАП, при соблюдении оператором перечисленных условий в совокупности:
|
1) Ежегодные инвестиции оператора (в размере не менее 0,1% от оборота/выручки) в мероприятия по обеспечению информационной безопасности |
- в течение 3 лет, предшествующих моменту выявления правонарушения;
|
|
2) Документальное подтверждение соблюдения требований к защите ПДн при их обработке в ИСПДн. |
– в течение 12 месяцев, предшествующих моменту выявления правонарушения.
|
3) Отсутствие отягчающих обстоятельств - (а) продолжение противоправного поведения, несмотря на требование уполномоченных на то лиц прекратить его; (б) не привлечение к административной ответственности по ряду составов, включая нарушение правил защиты информации (ст. 13.12 КоАП) и тд.
Ключевые изменения в УК РФ:
В УК РФ добавлен новый состав (ст.272.1), предусматривающий ответственность за незаконный сбор и/ или хранение и/ или передачу ПДн, полученных без законных оснований. Санкция за это нарушение предусматривает наложение штрафа до 300 тыс. руб., либо четыре года принудительных работ, либо лишения свободы на аналогичный срок.
Квалифицирующими признаками указанного состава преступления являются те же деяния, совершенные:
-
в отношении ПДн, принадлежащих несовершеннолетним, специальных или БПДн. Виновного в таком случае могут привлечь либо к выплате штрафа размером до 700 тысяч рублей, либо к принудительным работам на срок до пяти лет, либо лишить свободы на тот же срок;
-
из корыстной заинтересованности, или группой лиц по предварительному сговору, или повлекшие причинение крупного ущерба, или с использованием служебного положения. При таких обстоятельствах виновнику грозит штраф до 1 миллиона рублей, либо принудительные работы до 5 лет, либо лишение свободы на срок до 6 лет;
-
при трансграничной передаче. Такое деяние наказывается лишением свободы на срок до 8 лет, а также наложением штрафа до 2 миллионов рублей;
-
организованной группой или повлекшие тяжкие последствия. Наказываются лишением свободы до 10 лет с выплатой штрафа до 3 миллионов рублей.
Отдельно предусмотрена ответственность в виде штрафа до 700 тысяч рублей, либо принудительных работ до 5 лет, либо лишения свободы на тот же срок, за создание и/ или обеспечение функционирования сайта в сети «Интернет» и/ или страницы сайта, целью которых является заведомо незаконное хранение, передача ПДн, полученных без законных оснований.
Указанный состав не распространяет свое действие на случаи обработки ПДн физическими лицами, обусловленными исключительно для личных и семейных нужд.
Ужесточение административной и уголовной ответственности должно способствовать принятию необходимых мер защиты ПДн, инвестированию больших средств в информационную безопасность каждой компании, а также предотвращению возможных правонарушений и преступлений в области обработки ПДн.