Ужесточение ответственности за нарушения законодательства о персональных данных
10.01.2025
В 2025 году бизнесу предстоит уделить повышенное внимание работе с персональными данными. 30 мая 2025 г. вступают в силу изменения в КоАП РФ, предусматривающие новые штрафы за нарушения в сфере персональных данных (далее – ПДН):
- увеличены штрафы за нарушения, которые уже были предусмотрены в КоАП;
- появились новые составы административных правонарушений в сфере ПДН;
- появились “оборотные” штрафы за повторные утечки и за утечки специальных видов ПДН;
- на индивидуальных предпринимателей (ИП) будут накладывать штрафы за большинство нарушений в области защиты ПДН наравне с юридическими лицами.
Кроме того, появились специальные уголовные составы правонарушений в области ПДН.
1. Кратное увеличение размера штрафов (ч. 1 и ч. 1.1 ст. 13.11 КоАП РФ):
- за обработку ПДН в не предусмотренных законом случаях
- за обработку ПДН, которая несовместима с целями сбора
Отмечаем, что по статистике это наиболее распространенные случаи нарушений при обработке ПДН. Часто они совершаются в комбинации с другими (например, обработка без согласия, за которое уже ранее были увеличены штрафы до 700 000 рублей).
Профилактика таких нарушений позволит снизить риск привлечения к ответственности.
Самый доступный способ - аудит обработки ПДН (внутренний - силами собственных специалистов, внешний - силами привлеченных консультантов). По результатам аудита готовится карта рисков и дорожная карта по их устранению. Рекомендуем проводить аудиты регулярно, а также по мере изменений законодательства о ПДН.
| Нарушение | Лицо | Прежний размер | Новый размер |
|---|---|---|---|
|
Первичное нарушение (ч.1 ст. 13.11 КоАП РФ) |
ФЛ / ИП | 2 000 – 6 000 | 10 000 – 15 000 |
| ДЛ | 10 000 – 20 000 | 50 000 – 100 000 | |
| ЮЛ | 60 000 – 100 000 | 150 000 – 300 000 | |
|
Повторное нарушение (ч.1.1 ст. 13.11 КоАП РФ) |
ФЛ | 4 000 – 12 000 | 15 000 – 30 000 |
| ДЛ | 20 000 – 50 000 | 100 000 – 200 000 | |
| ИП | 50 000 – 100 000 | 300 000 – 500 000 | |
| ЮЛ | 100 000 – 300 000 |
Лицо: ФЛ – физическое лицо, ИП – индивидуальный предприниматель, ДЛ – должностное лицо, ЮЛ – юридическое лицо. Размеры штрафов указаны в российских рублях.
2. Введение специальных штрафов за неуведомление Роскомнадзора (РКН) об обработке / утечке ПДН; кратное увеличение размера
Уведомление об обработке - должно быть сделано до начала обработки ПДН.
Уведомление РКН об утечке должно быть сделано в течение 24 часов с момента утечки. Утечка - случаи неправомерной или случайной передачи (предоставления, распространения, доступа) ПДН, повлекшей нарушение прав субъектов ПДН.
Ранее за неуведомление РКН было возможно привлечение к ответственности по ст. 19.7 КоАП РФ (непредставление сведений в государственный орган). Теперь вводится самостоятельный состав административного правонарушения:
| Нарушение | Лицо | Прежний размер | Новый размер |
|---|---|---|---|
| Неуведомление РКН об обработке ПДН | ФЛ | 100 – 300 | 5 000 – 10 000 |
| ДЛ | 300 – 500 | 30 000 – 50 000 | |
|
ЮЛ ИП |
3 000 – 5 000 – |
100 000 – 300 000 | |
| Неуведомление РКН об утечке ПДН | ФЛ | 100 – 300 | 50 000 – 100 000 |
| ДЛ | 300 – 500 | 400 000 – 800 000 | |
|
ЮЛ ИП |
3 000 – 5 000 – |
1 000 000 – 3 000 000 |
3. Введение в КоАП РФ новых составов административных правонарушений за утечку ПДН
Утечка – действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей ПДН.
Идентификатор – уникальное обозначение сведений о физическом лице, содержащееся в информационной системе ПДН оператора и относящееся к такому лицу.
| Нарушение | Лицо | Ответственность | Объем утечки |
|---|---|---|---|
|
Утечка ПДН (зависит от объема) |
ФЛ | 100 000 – 200 000 |
1.000 – 10.000 субъектов, и / или 10.000 – 100.000 идентификаторов |
| ДЛ | 200 000 – 400 000 | ||
|
ЮЛ ИП |
3 000 000 – 5 000 000 | ||
| ФЛ | 200 000 – 300 000 |
10.000 – 100.000 субъектов, и / или 100.000 – 1.000.000 идентификаторов |
|
| ДЛ | 300 000 – 500 000 | ||
|
ЮЛ ИП |
5 000 000 – 10 000 000 | ||
| ФЛ | 300 000 – 400 000 |
более 100.000 субъектов, и / или более 1.000.000 идентификаторов |
|
| ДЛ | 400 000 – 600 000 | ||
|
ЮЛ ИП |
10 000 000 – 15 000 000 | ||
| Повторная утечка ПДН | ФЛ | 400 000 – 600 000 | вне зависимости от объема |
| ДЛ | 800 000 – 1 000 000 | ||
|
ЮЛ ИП |
1% – 3% выручки за год, минимально 20 000 000 максимально 500 000 000 * | ||
| Утечка специальных категорий ПДН | ФЛ | 300 000 – 400 000 | вне зависимости от объема |
| ДЛ | 1 000 000 – 1 300 000 | ||
|
ЮЛ ИП |
10 000 000 – 15 000 000 | ||
|
Утечка биометрических ПДН |
ФЛ | 400 000 – 500 000 | вне зависимости от объема |
| ДЛ | 1 300 000 – 1 500 000 | ||
|
ЮЛ ИП |
15 000 000 – 20 000 000 | ||
| Утечка специальных категорий ПДН или биометрических ПДН (при повторном привлечении за утечку любых ПДН). | ФЛ | 500 000 – 800 000 | вне зависимости от объема |
| ДЛ | 1 500 000 – 2 000 000 | ||
|
ЮЛ ИП |
1% – 3% выручки за год, (минимально 25 000 000 максимально 500 000 000)* |
4. Уголовная ответственность за нарушения в области ПДН
С 11 декабря 2024 г. вступили в силу изменения в УК РФ: появилась статья 272.1 УК РФ, устанавливающая уголовную ответственность за ряд нарушений в области ПДН.
Ранее уже предусматривалась ответственность за утечку персональных данных на основании ст. 272 УК РФ, однако в результате изменений у правоохранительных органов и судов будет больший инструментарий для квалификации таких действий в качестве преступления.
Отмечаем широкую формулировку состава части 1 ст. 272.1 УК, который включает не только незаконную обработку ПДН, полученных посредством получения неправомерного доступа или вмешательства (напр. взлом информационных систем), но и ПДН полученных «иным незаконным путем». В данном аспекте может подразумеваться обработка ПДН (включая сбор и хранение) в отсутствие необходимых согласий (их наличие, в свою очередь, подразумевает законность обработки).
Также отмечаем, что в силу части 2 ст. 272.1 УК если фигурируют ПДН несовершеннолетних, биометрия, специальные ПДН, то предусмотрена более строгая ответственность.
Крупный ущерб, наличие тяжких последствий, корыстная цель и т.п. являются факторами усугубления ответственности.
| Ст. 272.1 УК РФ | Состав преступления | Ответственность |
|---|---|---|
| часть 1 | Незаконные использование и (или) передача (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо иным незаконным путем. |
Штраф до 300 000 руб / в размере ЗП или иного дохода за период до 1 года Лишение свободы / принудительные работы на срок до 4 лет |
| часть 2 | Деяния, предусмотренные частью первой и совершенные в отношении компьютерной информации, содержащей персональные данные несовершеннолетних лиц, специальные категории персональных данных и (или) биометрические персональные данные. |
Штраф до 700 000 руб / в размере ЗП или иного дохода за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью до 2 лет Лишение свободы / принудительные работы на срок до 5 лет |
| часть 3 |
Деяния, предусмотренные частью первой или второй, совершенные:
|
Штраф до 1 000 000 руб / в размере ЗП или иного дохода за период до 3 лет с лишением права занимать определенные должности или заниматься определённой деятельностью до 3 лет Принудительные работы до 5 лет и штраф до 1 000 000 руб / в размере ЗП или иного дохода за период до трех лет с лишением права занимать определенные должности или заниматься определённой деятельностью до 3 лет Лишение свободы до 6 лет и штраф до 1 000 000 руб / в размере ЗП или иного дохода за период до трех лет с лишением права занимать определенные должности или заниматься определённой деятельностью до 3 лет |
| часть 4 | Деяния, предусмотренные частью первой, второй и третьей, сопряженные с трансграничной передачей компьютерной информации, содержащей персональные данные, и (или) трансграничным перемещением носителей информации, содержащих персональные данные. | Лишение свободы на срок до 8 лет со штрафом до 2 000 000 руб / в размере ЗП или иного дохода за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 4 лет или без такового |
| часть 5 | Деяния, предусмотренные частью первой, второй, третьей и четвертой если они повлекли тяжкие последствия либо совершены организованной группой | Лишение свободы на срок до 10 лет со штрафом до 3 000 000 руб / в размере ЗП или иного дохода за период до 4 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового |
| часть 6 | Создание и (или) обеспечение функционирования информационного ресурса (сайта в сети "Интернет" и (или) страницы сайта в сети "Интернет", информационной системы, программы для электронных вычислительных машин), заведомо предназначенного для незаконных хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей персональные данные, полученной незаконным путем |
Штраф за 700 000 руб / в размере ЗП или иного дохода за период до 2 лет Лишение свободы / принудительные работы до 5 лет и Штраф до 700 000 руб / в размере ЗП или иного дохода за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью до 2 лет или без такового |
Настоящий материал имеет информационный характер, сообщает о некоторых изменениях российского законодательства и не является консультацией; актуальность приведенной информации требует перепроверки / уточнения на определенный момент времени. Использование данной информации в каждом конкретном случае рекомендуется с привлечением специалистов в данной области. Вопросы и обращения можно направлять на info@o2consult.com.