Все новости законодательства
у вас на почте

Подпишитесь на рассылки

Все новости законодательства в вашей электронной почте

Подпишитесь на наши рассылки

Войти

Новые штрафы за утечку персональных данных

147
сегодня

С тридцатого мая 2025 года вступят в силу изменения в Кодекс об административных правонарушениях. С этого момента незаконная передача информации будет грозить более ощутимым денежным взысканием. Также введены новые составы, о чем изложено в статье.

Над статьей работали:
редактор: Бурцева Алла

Содержание

  1. Что такое утечка персональных данных
  2. Штрафы за утечку персональных данных
  3. Новые составы правонарушений
  4. Оборотные штрафы
  5. Неуведомление Роскомнадзора
  6. Нарушение потребительских прав

Что такое утечка персональных данных

Под определением «утечка персональных данных» подразумевают получение доступа к личным данным лицом, не имеющим на это соответствующего разрешения.

Напомним, что оператор персональных данных, обязан, во-первых, получить согласие физлица на обработку сведений о нем (п. 1 ч. 1 ст. 6 Закона от 27.07.2006 № 152-ФЗ). Без согласия обрабатывать информацию можно в случаях, указанных в пп. 2—11 ч. 1 ст. 6 Закона от 27.07.2006 № 152-ФЗ. Так, оно не потребуется, например:
• если заключается договор по инициативе самого лица. Или же гражданин будет выгодоприобретателем по договору или поручителем;
• информация необходима для исполнения договора. Лицо, сведения о котором задействуются, при этом должно быть стороной этого соглашения, выгодоприобретателем или поручителем;
• это нужно для выполнения требований закона. К примеру, имейл нужен для направления электронного чека (письмо Минкомсвязи РФ от 07.07.2017 № П11-15054-ОГ).

Во-вторых, помимо получения согласия, необходимо также уведомить Роскомнадзор о том, что вы планируете обработать личные данные (ч. 1 ст. 22 Закона от 27.07.2006 № 152-ФЗ). Сделать это необходимо еще до начала обработки.

Такое уведомление не потребуется (пп. 7—9 ч. 2 ст. 22 Закона от 27.07.2006 № 152-ФЗ):
• если будут обрабатывать данные, включенные в госинфосистемы данных. Их создают с целью защиты безопасности государства и общественного порядка;
• обработку произведут без использования средств автоматизации;
• сведения обрабатываются в соответствии с законодательством о транспортной безопасности.
Такое требование относится и к ИП, которые в процессе работы будут осуществлять обработку информации о сотрудниках или клиентах.
Уведомление составляется по форме, приведенной в приложении № 1 к Приказу Роскомнадзора от 28.10.2022 № 180. В нем необходимо указать (ч. 3, 3.1 ст. 22 Закона от 27.07.2006 № 152-ФЗ):
• наименование (для физлица — Ф.И.О.) и адрес;
• цель обработки персональных сведений. Для каждой цели необходимо указать ряд сведений, в частности, категории персональных данных и субъектов, а также способы обработки информации;
• дату начала обработки;
• срок или условие прекращения обработки;
• сведения об обеспечении безопасности персданных в соответствии с установленными требованиями к защите такой информации.

Уведомление подписывается уполномоченным лицом (ч. 3 ст. 22 Закона от 27.07.2006 № 152-ФЗ).

Роскомнадзор в течение 30 дней с даты поступления документа должен внести сведения в реестр операторов (ч. 4 ст. 22 Закона от 27.07.2006 № 152-ФЗ).
Если изменились любые из сведений, указанные в таком уведомлении, необходимо уведомить об этом Роскомнадзор. Сделать это нужно не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения.

В случае прекращения обработки персональных данных нужно в течение 10 рабочих дней с даты прекращения их обработки уведомить полномочный орган (ч. 7 ст. 22 Закона от 27.07.2006 № 152-ФЗ).

Формы указанных уведомлений приведены в приложениях № 2 и 3 к Приказу Роскомнадзора от 28.10.2022 № 180.

О трансграничной передаче информации подается отдельное уведомление (ч. 3 ст. 12 Закона от 27.07.2006 № 152-ФЗ).

К персональным данным относятся любая информация о личности, как то:
• Ф.И.О.;
• данные паспорта;
• ИНН;
• СНИЛС;
• информация об образовании, квалификации лица;
• размер заработной платы;
• фотография, которая используется для идентификации личности (на пропуске, в документах) (письмо Минцифры РФ от 17.07.2020 № ОП-П24-070-19433) и прочее.

Утечка может произойти как вследствие технического сбоя, так и из-за неосторожного или умышленного поведения людей.

Приведем примеры действий и событий, которые могут привести к утечке информации:
• случайные действия. Работник использовал компьютер коллеги для работы и открыл файлы, где хранится личная информация. Соответствующего разрешения на работу с персональными данными у него нет, поэтому информацию он получил незаконно. Это и будет утечкой;
• умышленные действия. Лицу стала известная личная информация о коллеге. Он намеренно распространяет ее, нанося тем самым ущерб своему сослуживцу;
• было потеряно или украдено устройство, на котором содержатся личные данные;
• данные были украдены хакерами.

Штрафы за утечку персональных данных

Законом от 30.11.2024 № 420-ФЗ были внесены изменения в статью 13.11 КоАП РФ. Увеличили размеры штрафов, установленных данной нормой. Так, в случае нарушения порядка обработки персональных данных может быть наложен штраф в следующих размерах:
• для граждан — от 10 тыс. до 15 тыс. рублей;
• должностных лиц — от 50 тыс. до 100 тыс. рублей;
• организаций – от 150 тыс. до 300 тыс. рублей.

На сегодняшний день размеры санкции по указанной статье значительно ниже:
• физлицам установлен штраф от 2 тыс. до 6 тыс. рублей;
• должностным — от 10 тыс. до 20 тыс. рублей;
• компаниям – от 60 тыс. до 100 тыс. рублей.

Также значительно возрос штраф за повторное совершение правонарушения:
• гражданам грозит от 15 тыс. до 30 тыс. рублей (сейчас — от 4 тыс. до 12 тыс. рублей);
• должностному лицу – от 100 тыс. до 200 тыс. рублей (нынешний размер от 20 тыс. до 50 тыс. рублей);
• юридическому лицу — от 300 тыс. до 500 тыс. рублей (сейчас — от 100 тыс. до 300 тыс. рублей).

Кроме того, в действующей редакции за повторное совершение правонарушения предусмотрена ответственность отдельно для индивидуального предпринимателя. Размер штрафа составит от 50 до 100 тыс. рублей. В новой редакции ИП будет уплачивать штраф в размере, установленном для юридического лица.

В новой редакции увеличено количество составов правонарушений, где индивидуальный предприниматель уравнивается с юридическим лицом. Размер штрафа для них будет одинаковый. Сегодня штрафы одинаковые за нарушения, установленные частями 8 и 9 ст. 13.11 КоАП РФ. С мая 2025 года равную ответственность они будут нести за нарушения, которые предусмотрены частями 1.1, 8—18 ст. 13.11 КоАП РФ.

Новые составы правонарушений

Федеральный закон № 420-ФЗ вводит новые составы правонарушений в области персональных данных. Помимо общей нормы, предусматривающей наказание за нарушение правил обработки и хранения таких сведений, появятся более конкретные виды нарушений. Наказывать теперь будут за действия (или бездействие), которые стали причиной получения доступа посторонних лиц к персональным данным. Размер штрафа будет зависеть от объема незаконно переданной информации. Также вводится новое понятие «идентификаторы». Суть его раскрывается в новом примечании (ч. 4 прим. к ст. 13.11 КоАП РФ). Так, под идентификатором понимается уникальное обозначение сведений о физическом лице, содержащееся в инфосистеме персональных данных оператора и относящееся к такому лицу.

Размеры штрафов по новым составам:
1. При утечке сведений от 1 до 10 тыс. субъектов и (или) от 10 до 100 тыс. идентификаторов:
— для физических лиц – от 100 тыс. до 200 тыс. рублей;
— должностных лиц – от 200 тыс. до 400 тыс. рублей;
— организаций — от 3 млн до 5 млн рублей.
2. При утечке информации от 10 до 100 тыс. субъектов и (или) от 100 тыс. до 1 млн идентификаторов:
— для граждан — от 200 тыс. до 300 тыс. рублей;
— должностных лиц — от 300 тыс. до 500 тыс. рублей;
— организаций – от 5 млн до 10 млн рублей.
3. При утечке данных более 100 тыс. субъектов и (или) более 1 млн идентификаторов:
— для физических лиц – от 300 тыс. до 400 тыс. рублей;
— должностных лиц – от 400 тыс. до 600 тыс. рублей;
— организаций – от 10 млн до 15 млн рублей.
4. При утечке биометрических персональных показателей (исключением будут случаи, предусмотренные ст. 13.11.3 КоАП РФ):
— для граждан – от 400 тыс. до 500 тыс. рублей;
— должностных лиц – от 1,3 млн до 1,5 млн рублей;
— организаций — от 15 млн до 20 млн рублей.

Также вводится такое правонарушение, как распространение персональных данных специальной категории. К таким данным относятся (ст. 10 Закон от 27.07.2006 № 152-ФЗ):
• сведения о расовой принадлежности;
• национальность;
• данные о политических взглядах;
• религиозные или философские убеждения;
• сведения о состоянии здоровья;
• информация об интимной жизни.

Теперь за утечку информации этой категории предусмотрены следующие штрафы:
• для граждан от 300 тыс. до 400 тыс. рублей;
• должностных лиц – от 1 млн до 1, 3 млн рублей;
• организаций – от 10 млн до 15 млн рублей.

Исключили возможность заплатить штраф с 50-процентной скидкой.

Статья 13.11 была также дополнена примечаниями о том, что в целях применения указанной статьи под юридическим лицом понимается оператор данных, который не является государственным или муниципальным органом, некоммерческой организацией. Под должностным же лицом понимается представитель государственных, муниципальных органов или некоммерческой организации (прим. 2, 3 к ст. 13.11 КоАП РФ).

Размер штрафа за повторное совершение правонарушения будет зависеть от совокупности видов нарушений.

Если совершат деяние, повлекшее неправомерную передачу личной информации (такие правонарушения предусмотрены новыми частями 12–14 ст. 13.11 КоАП РФ) и при этом лицо уже привлекалось за совершение аналогичных нарушений или нарушений,  повлекших утечку биометрических данных или сведений специальной категории (ч. 12–14, 16–18 ст. 13.11 КоАП РФ), будет грозить штраф:
• для граждан – от 400 тыс. до 600 тыс. рублей;
• должностных лиц – от 800 тыс. до 1,2 млн рублей.

Если лицо привлекается за утечку биометрических данных или сведений специальной категории (ч. 16 и ч. 17 ст. 13.11 КоАП РФ) и ранее было наказано за подобные нарушения или за утечку обычных персональных данных в разных объемах (ч. 12–17 ст.13.11 КоАП РФ), штраф составит:
• для граждан – от 500 тыс. до 800 тыс. рублей;
• должностных лиц – от 1,5 млн до 2 млн рублей.

Оборотные штрафы

За повторные правонарушения, которые привели к утечке персональных данных, теперь будут применяться оборотные штрафы для юридических лиц. Размер штрафа поставят в зависимость от размера выручки от реализации:
• за календарный год, предшествующий году, в котором было совершено правонарушение;
• если организация не занималась реализацией в предшествующем календарном году, возьмут в расчет объем выручки за часть календарного года, предшествующего дате выявления правонарушения.

Для кредитной организации размер санкции будет зависеть от объема капитала на дату совершения правонарушения. Так, за повторные нарушения компании должны будут заплатить штраф в размере от 1 до 3 процентов от выручки.

Также установлены минимальный и максимальный размеры санкции: штраф не может быть меньше 20 млн и больше 500 млн рублей.

При назначении наказания учтут отягчающие обстоятельства. К таковым относятся:
• продолжение противоправного поведения, несмотря на требование полномочных лиц прекратить совершение данных действий;
• лицо, которое совершило деяние, на момент его совершения уже привлечено к ответственности за правонарушения, предусмотренные частями 1–11 ст. 13.11, ст. 13.6 и 13.12 КоАП РФ.

В некоторых ситуациях возможно наказание в размере ниже минимума, установленного нормой.

Так, может быть назначен штраф в размере 1/10 от минимального значения. Это произойдет, если лицо, в отношении которого ведется производство, до вынесения постановления о назначении штрафа выполнит следующие условия:
• оператор данных ежегодно в течение трех лет, которые предшествовали году, когда было совершено правонарушение, нес расходы на обеспечение информационной безопасности. Размер таких расходов должен быть не меньше 1/10 процента годового совокупного размера суммы выручки, полученной от реализации всех товаров (работ или услуг). Для кредитной организации это 1/10 от величины собственных средств;
• в течение 12 месяцев, которые предшествовали моменту выявления деяния, оператор соблюдал требования к защите персональных данных при их обработке в соответствующих информационных системах. Это должно быть документально подтверждено;
• отсутствуют обстоятельства, которые отягчают ответственность.

При этом размер штрафа не может быть меньше 15 млн и больше 50 млн рублей.

Неуведомление Роскомнадзора

Введены также составы, конкретизирующие ситуации, при которых может наступить ответственность за неуведомление Роскомнадзора. На данный момент действует общая норма о непредставлении сведений (ст. 19.7 КоАП РФ). Размер санкций по указанной статье составляет:
• физические лица — от 100 тыс. до 300 рублей;
• должностные лица — от 300 тыс. до 500 рублей;
• компании – от 3 тыс. до 5 тыс. рублей.

Новая редакция предусматривает наказание за ненаправление уведомления о намерении обрабатывать персональные данные. Установлены следующие размеры штрафов:
• граждане — от 5 тыс. до 10 тыс. рублей;
• должностные лица — от 30 тыс. до 50 тыс. рублей;
• компании — от 100 тыс. до 300 тыс. рублей.

Наказание будет грозить и в случае несвоевременного направления такого уведомления.

Как мы видим, размеры санкций существенно увеличились.

Если произошла утечка сведений и оператор не уведомил Роскомнадзор, ему грозит штраф в размере:
• физические лица – от 50 тыс. до 100 тыс. рублей;
• должностные лица – от 400 тыс. до 800 тыс. рублей;
• компании и ИП– от 1 млн до 3 млн рублей.

Ответственность также наступит и при несвоевременном направлении такого уведомления.

Напомним, что в случае утечки информации оператор обязан в течение 24 часов направить первичное уведомление о происшествии.

В нем должна содержаться информация (п. 1 ч. 3.1 ст. 21 Закона от 27.07.2006 № 152-ФЗ, п. 2 порядка, утвержденного Приказом Роскомнадзора от 14.11.2022 № 187):
• о произошедшем инциденте, в частности, о содержании базы данных, ставшей доступной широкому кругу лиц;
• предполагаемых причинах инцидента;
• предполагаемом вреде, нанесенном правам субъектов;
• принятых мерах по устранению последствий;
• лице, которое уполномочено взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.

Далее нужно направить дополнительное уведомление. Сделать это необходимо в течение 72 часов с момента выявления инцидента.

В нем необходимо сообщить о результатах внутреннего расследования инцидента. А именно (п. 2 ч. 3.1 ст. 21 Закона от 27.07.2006 № 152-ФЗ , п. 3 порядка, утвержденного Приказом Роскомнадзора от 14.11.2022 № 187):
• информация о причинах;
• о нанесенном вреде;
• о дополнительно принятых мерах по устранению последствий инцидента;
• реквизиты решения о проведении внутреннего расследования;
• сведения о лицах, действия которых стали причиной утечки данных (при их наличии).

Нарушение потребительских прав

Появились новые составы и в отношении нарушения прав потребителей.

Теперь при отказе заключить (исполнить, изменить или расторгнуть) договор с потребителем из-за отказа последнего пройти идентификацию или аутентификацию с использованием биометрических данных будет грозить штраф:
• должностным лицам — от 50 тыс. до 100 тыс. рублей;
• организациям — от 200 тыс. до 500 тыс. рублей.

Наказания не будет, если потребитель был обязан в силу закона пройти идентификацию или аутентификацию.

Читайте также
эту статью еще не обсуждали
Вы можете оставить первый комментарий

Авторизуйтесь, чтобы оставлять комментарии

Нет аккаунта? Зарегистрируйтесь