Все новости законодательства
у вас на почте

Подпишитесь на рассылки

Все новости законодательства в вашей электронной почте

Подпишитесь на наши рассылки

Войти

Оборотные штрафы за утечку персональных данных

68
сегодня

В связи с ростом числа нарушений в сфере работы с персональными данными, законодатели внесли изменения в действующее законодательство. Наказание за незаконную передачу личной информации граждан было ужесточено. В частности, для компаний ввели оборотные штрафы, размер которых будет зависеть от годовой выручки фирмы. В нашем материале рассмотрим это и некоторые другие нововведения в области ответственности за утечку персональных данных. Приведем обзор на закон, которым внесены указанные поправки и расскажем, когда он вступит в законную силу. Поговорим о размере оборотных штрафов, который придется уплатить компаниям-нарушителям.

Над статьей работали:
редактор: Шкембри Евгения

Содержание

  1. Введение оборотных штрафов за утечку персональных данных
  2. Персональные данные: закон об оборотных штрафах
  3. Размер оборотных штрафов за утечку персональных данных

Введение оборотных штрафов за утечку персональных данных

Законопроект об оборотных штрафах за утечку персональных данных был внесен в Госдуму еще в декабре 2023 года рядом российских сенаторов и депутатов, среди которых А.А.Турчак, К.К.Долгов, А.Г.Шейкин, А.Е.Хинштейн, И.А.Панькина, Д.Ф.Вяткин, А.И.Немкин. Данный проект был разработан в соответствии с пп «а» п. 2 перечня поручений президента от 12.01.2023 № Пр-19 для повышения защищенности персональных данных граждан нашей страны. Почти через год после первоначальной регистрации законопроекта, в конце ноября 2024 года, Госдума приняла этот документ сразу во втором и третьем чтениях. В том же месяце прошлого года закон был подписан Владимиром Путиным и опубликован. В настоящее время это закон от 30.11.2024 № 420-ФЗ.

Ранее в закон о персональных данных от 27.07.2006 № 152-ФЗ были внесены поправки законом от 14.07.2022 № 266-ФЗ. Они обязали уведомлять Роскомнадзор в ситуации, когда случилась утечка персональных данных, а также уменьшили список исключений, при которых оператор может осуществлять обработку личной информации без уведомления указанного госоргана. Однако ответственность за невыполнение перечисленных обязанностей отсутствовала.

Такое положение вещей и было исправлено законом от 30.11.2024 № 420-ФЗ. Им внесены поправки в КоАП РФ, устанавливающие административную ответственность за неисполнение указанных выше обязанностей. Данные изменения начнут работать с 30 мая 2025 года.

Компании, которые допустили утечку личной информации граждан и раньше, до вступления указанных поправок, могут быть привлечены к ответственности по ч. 1 ст. 13.11 КоАП РФ. Однако в настоящее время эта норма предусматривает максимальный размер штрафа для юрлиц, не превышающий 100 000 рублей, а при повторном совершении административного правонарушения — 300 000 рублей. Такая величина ответственности не соразмерна с возможными последствиями от случившихся утечек сведений. Личная информация людей, попавшая в руки злоумышленников, может быть инструментом для различных мошеннических схем, совершения спам-звонков, нежелательных рассылок, шантажа и других, более тяжких преступлений.

Для того чтобы стимулировать операторов персональных данных вкладывать средства в развитие инфраструктуры информационной безопасности и защиту персональных данных собственных пользователей, статью 13.11 КоАП РФ дополнили новыми составами административных правонарушений. Они предусматривают административную ответственность за утечку баз данных, включающих в себя личную информацию граждан.

Административная ответственность теперь будет разграничена в зависимости от количества субъектов персональных данных и идентификаторов, в отношении которых произошла утечка. Идентификаторы — это сведения о гражданах, которые нужны для определения конкретного физлица. Так, исходя из объема просочившейся информации, предусмотрены следующие варианты:

  • информация, включающая персональные данные от 1 000 до 10 000 субъектов и (или) от 10 000 до 10 000 идентификаторов;
  • информация, включающая персональные данные от 10 000 до 100 000 субъектов и (или) от 100 000 до 1 000 000 идентификаторов;
  • информация, включающая персональные данные более 100 000 субъектов и (или) более 1 000 000 идентификаторов.

За утечку отдельных категорий персональных данных, относящихся к наиболее чувствительной информации, предусмотрена повышенная административная ответственность.

Наконец, за повторные правонарушения, которые привели к серьезной утечке личных сведений, введены оборотные штрафы. Это мера ответственности в отношении компании предусматривает финансовое взыскание, зависящее от годового оборота средств конкретной организации. То есть размер штрафа высчитывают в процентах от совокупной величины суммы выручки фирмы, полученной от реализации всех товаров, работ или услуг за календарный год, идущий перед годом, в котором было выявлено административное правонарушение.

Инициаторы нововведений рассчитывают, что такие меры административного наказания, будут стимулировать инвестиции операторов персональных данных в информационную безопасность и окажут превентивное воздействие на операторов, не соблюдающих требования законодательства о персональных данных. В итоге должно значительно снизиться количество случаев утечек личной информации граждан.

Персональные данные: закон об оборотных штрафах

Персональными данными принято считать любую информацию, которая прямо или косвенно относится к физлицу — субъекту персональных данных. Среди таких сведений можно выделить следующие:

  • фамилию, имя, отчество гражданина;
  • его пол и возраст;
  • образование, квалификацию, профессиональную подготовку и сведения о повышении квалификации;
  • место жительства физлица;
  • семейное положение, наличие детей, родственные связи;
  • место работы, судимость, службу в армии, работу на выборных должностях, на государственной службе и другие факты биографии;
  • финансовое положение. При этом сведения о зарплате тоже относятся к персональным данным (Письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • деловые и другие личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Распространение персональных данных – это действия, которые нацелены на раскрытие такой информации неопределенному кругу лиц (п. п. 1, 5 ст. 3 закона от 27.07.2006 № 152-ФЗ). При этом в некоторых случаях личные сведения могут быть разрешенными для распространения (ст. 3 закона от 27.07.2006 № 152-ФЗ).

Лица, виновные в нарушении требований отечественных нормативно-правовых актов о персональных данных, несут предусмотренную российским законодательством ответственность (ч. 1 ст. 24 Закона от 27.07.2006 № 152-ФЗ). Однако ответственность за утечку личной информации в настоящее время часто оказывается несоразмерной с теми последствиями, которые могут произойти в результате.

Закон об оборотных штрафах содержит довольно суровые меры административного наказания. Ожидается, что это стимулирует развитие информационной безопасности и окажет превентивное воздействие на операторов, не выполняющих требования законодательства о персональных данных.

Так, законом от 30.11.2024 № 420-ФЗ были увеличены размеры штрафов по общему составу нарушения. За повторное нарушение штраф также вырос. Причем индивидуальные коммерсанты будут уплачивать его в таком же размере, как и компании.

Указанным законом введены следующие спецсоставы:

  • невыполнение обязанности уведомить о намерении обрабатывать персональные данные;
  • невыполнение обязанности уведомить об утечке персональных данных;
  • действия (бездействие), повлекшие их утечку;
  • действия (бездействие), повлекшие утечку специальной категории персональных данных;
  • действия (бездействие), повлекшие утечку биометрических персональных данных.

Также предусмотрены особенности этих спецсоставов:

  • частные коммерсанты отвечают наравне с юрлицами;
  • если компания-оператор не является государственным или муниципальным органом или НКО, ее оштрафуют как юрлицо, а если является, то оштрафуют ее должностное лицо;
  • если же будут допущены неоднократные утечки персональных данных, то компании может грозить ответственность в виде оборотных штрафов. Также предусмотрена возможность снижения их размера при выполнении ряда условий.

Кроме того, введена административная ответственность за отказ в заключении, исполнении, изменении или расторжении договора с потребителем из-за его несогласия проходить идентификацию или аутентификацию с использованием биометрических персональных данных.

А вот возможности заплатить штраф с 50-процентной скидкой больше не будет.

Дела о нарушениях, совершенных юрлицами, частными коммерсантами и должностными лицами, будут рассматриваться арбитражными судами.

Размер оборотных штрафов за утечку персональных данных

С 30 мая 2025 года за действия или бездействие, из-за которых произошла незаконная передача личных сведений граждан, операторам персональных данных грозят крупные штрафы.

Так, в случае незаконной передачи информации о людях в количестве от 1 000 до 10 000 человек будет назначен штраф:

  • должностным лицам государственного или муниципального органа либо некоммерческой организации – в размере от 200 000 до 400 000 рублей;
  • частным коммерсантам и компаниям – в размере от 3 миллионов до 5 миллионов рублей

На такие же суммы оштрафуют и в случае утечки от 10 000 до 100 000 идентификаторов физлиц. Это уникальные обозначения, которые находятся в информационных системах операторов.

За более масштабные происшествия введены более крупные штрафы.

Неправомерное распространение персональных данных спецкатегорий обернется штрафом:

  • для упомянутых выше должностных лиц — от 1 миллиона до 1,3 миллиона рублей;
  • для частных коммерсантов и компаний — от 10 миллионов до 15 миллионов рублей.

Это новые составы правонарушений для российского КоАП. Однако и сейчас действует правило об ответственности за необеспечение сохранности данных при их неавтоматизированной обработке, если это повлекло, в частности, неправомерный или случайный доступ к ним. При этом штрафы по указанной норме значительно ниже.

Особый интерес вызывают введенные законом от 30.11.2024 № 420-ФЗ оборотные штрафы в отношении компаний. Для юрлиц, которые уже не в первый раз допустили незаконную передачу личной информации граждан, предусмотрен оборотный штраф величиной от 1 до 3 процентов их годовой выручки, приобретенной от реализации всех товаров, работ, услуг за год, предшествующий году выявления совершенного правонарушения. При этом штраф не может оказаться меньше 25 миллионов рублей и больше 500 миллионов рублей.

Также установлены нормы, дающие возможность снизить размеры оборотных штрафов при наличии ряда условий:

  • ежегодные расходы оператора на протяжении 3 календарных лет, предшествующих году выявления административного правонарушения, на мероприятия по обеспечению информационной безопасности, должны составлять не меньше одной десятой процента годового совокупного размера суммы выручки, полученной от реализации всех товаров, работ, услуг, либо размера собственных средств кредитной компании;
  • оператор должен выполнять требования к защите личной информации при ее обработке в информационных системах при условии документального подтверждения данного факта, проведенного в течение двенадцати месяцев, предшествующих моменту выявления административного правонарушения;
  • должны отсутствовать обстоятельства, отягчающие административную ответственность.
Читайте также
эту статью еще не обсуждали
Вы можете оставить первый комментарий

Авторизуйтесь, чтобы оставлять комментарии

Нет аккаунта? Зарегистрируйтесь