30 мая 2025 года вступают в силу изменения в Кодекс об административных правонарушениях РФ (КоАП РФ), в несколько раз увеличивающие штрафы за нарушение законодательства о персональных данных. Рассмотрим наиболее распространённые нарушения и ответственность за них.
Штрафы за неуведомление Роскомнадзора о начале обработки персональных данных
Представлять уведомления о начале обработки персональных данных в Роскомнадзор должны те, кто собирает и обрабатывает персональные данные. Это должны делать юридические лица (организации), индивидуальные предприниматели (ИП) и самозанятые (ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных").
Федеральный закон № 152-ФЗ под обработкой персональных данных понимает любое действие (операцию) или их совокупность, которые совершаются с персональными данными как с использованием средств автоматизации (включая компьютеры), так и без их использования. Под это понятие подпадают, в частности, сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Чаще всего организация или ИП обрабатывают персональные данные:
- сотрудников и кандидатов на вакантные рабочие места;
- контрагентов;
- членов общественных объединений и религиозных организаций;
- посетителей для однократного пропуска на территорию организации.
Тем не менее, обработка персональных данных имеет место и в любых других случаях, когда какое-либо лицо сообщает организации фамилию, имя и отчество.
Федеральный закон от 30.11.2024 № 420-ФЗ повышает действующие размеры административных штрафов за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных, которые все компании и ИП должны направлять в ведомство до начала работы с персональными сведениями граждан. До его вступления в силу за неподачу такого уведомления могли оштрафовать по ст. 19.7 КоАП РФ на сумму от 3 000 до 5 000 рублей.
А с 30 мая 2025 года штрафы за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных повысятся в несколько раз и составят (часть 10 ст. 13.11 КоАП РФ):
от 5 000 до 10 000 рублей – для физических лиц;
от 30 000 до 50 000 рублей – для должностных лиц организаций;
от 100 000 до 300 000 рублей – для ИП;
от 100 000 до 300 000 рублей – для организаций.
Чтобы избежать указанных штрафов, в Роскомнадзор (РКН) необходимо направить уведомление по форме, утверждённой приказом Роскомнадзора от 28.10.2022 № 180. Сделать это можно на сайте Роскомнадзора, через портал Госуслуг, или направив бумажное уведомление в территориальный орган РКН по почте.
Получив уведомление, РКН в течение 30 дней внесет компанию в реестр операторов персональных данных, что фактически легализует её дальнейшие действия по сбору и иной обработке персональных данных (часть 4 ст.22 Федерального закона от 27.07.2006 № 152-ФЗ).
Штрафы за неуведомление Роскомнадзора об утечке персональных данных
С 30 мая 2025 года будут увеличены штрафы также и за непредставление в Роскомнадзор уведомления о произошедшей утечке персональных данных. Сейчас компании за неподачу таких уведомлений штрафуют по ст.19.7 КоАП РФ, а штраф назначают в пределах от 3 000 до 5 000 рублей.
С 30 мая 2025 года штрафы за непредставление уведомления об утечке персональных данных составят (ч.11 ст.13.11 КоАП РФ):
от 50 000 до 100 000 рублей – для физических лиц;
от 400 000 до 800 000 рублей – для должностных лиц организаций;
от 1 до 3 млн рублей – для ИП;
от 1 до 3 млн рублей – для организаций.
Чтобы избежать штрафа, компания в течение 24 часов с момента утечки персональных данных должна сообщить об этом в свободной форме в Роскомнадзор. Далее в течение 72 часов с момента утечки информации необходимо провести внутреннее расследование и направить в Роскомнадзор повторное уведомление о результатах данного расследования (часть 3.1 ст.21 Федерального закона от 27.07.2006 №152-ФЗ).
Также частями 12 - 14 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ и Приказом ФСБ России от 13.02.2023 № 77 "Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных" установлена как обязанность оператора направлять сообщения о таких компьютерных инцидентах в указанную государственную сиситему, так и порядок направления таких сообщений.
Уведомления об утечке персональных данных в адрес Роскомнадзора разрешается направлять на бумажном носителе по почте или в электронном виде путем заполнения рекомендованной формы (ССЫЛКА: https://pd.rkn.gov.ru/incidents/) на сайте Роскомнадзора.
Штрафы за утечку персональных данных
Одновременно для компаний значительно повышаются и штрафы за саму утечку персональных данных – как за их неправомерную передачу непосредственно третьим лицам, так и за иные действия или бездействие оператора прсональных данных, в результате которых данные ушли "не в те руки". До вступления в силу изменений в КоАП РФ операторы персональных данных несли ответственность за утечку личных сведений граждан по части2 ст. 13.11 КоАП РФ, а максимальный размер штрафов за указанное нарушение достигает 700 000 рублей.
С 30 мая 2025 года утечка по вине оператора информации, содержащей персональные данные от 1 000 до 10 000 человек, повлечет наложение штрафа в размере (часть 12 ст. 13.11 КоАП РФ):
от 100 000 до 200 000 рублей – для физических лиц;
от 200 000 до 400 000 рублей - для должностных лиц организаций;
от 3 до 5 млн. рублей – для ИП;
от 3 до 5 млн. рублей – для организаций.
Утечка по вине оператора персональных данных информации, содержащей персональные данные свыше 10 000, но не более 100 000 человек, повлечет наложение штрафов в размере (часть 13 ст. 13.11 КоАП РФ):
от 200 000 до 300 000 рублей – для физических лиц;
от 300 000 до 500 000 рублей – для должностных лиц организаций;
от 5 до 10 млн. рублей – для ИП;
от 5 до 10 млн. рублей - для организаций.
А вот утечка персональных данных более 100 000 человек грозит штрафами в размере (часть 14 ст. 13.11 КоАП РФ):
от 300 000 до 400 000 рублей – для физических лиц;
от 400 000 до 600 000 рублей – для должностных лиц организаций;
от 10 до 15 млн. рублей – для ИП;
от 10 до 15 млн. рублей – для организаций.
Хуже всего, если оператор персональных данных допустил массовую утечку персональных данных повторно (в том числе если в результате ранее допущенной утечки злоумышленники получали доступ к биометрическим персональным данным). Новая часть 15 ст. 13.11 КоАП РФ вводит штрафы от 400 000 до 600 000 рублей – для для физических лиц, и от 800 000 до 1,2 млн рублей – для должностных лиц организаций.
А вот размер штрафа, налагаемого на ИП или организацию, и вовсе рассчитывается как процент от совокупного размера суммы её выручки! Штраф может составлять от 1 до 3% совокупного размера суммы выручки организации, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение – для ИП и организаций. При этом размер штрафа должен быть не меньше 20 миллионов рублей, и не больше 500 миллионов рублей.
Штрафы за утечку биометрических персональных данных
Отдельные штрафы будут введены за незаконную передачу третьим лицам биометрических персональных данных, под которыми понимаются в том числе изображения лиц, записи голосов, и отпечатки пальцев.
С 30 мая 2025 года утечка биометрических сведений по вине оператора персональных данных повлечет наложение штрафов в размере (часть 17 ст. 13.11 КоАП РФ):
от 400 000 до 500 000 рублей – для физических лиц;
от 1,3 до 1,5 млн рублей – для должностных лиц организаций;
от 15 до 20 млн рублей – для ИП;
от 15 до 20 млн рублей – для организаций;
Повторная утечка биометрических персональных данных (в том числе в случае, когда в первый раз оператор привлекался к ответственности за утечку персональных данных других категорий) станет наказываться штрафами в следующих размерах (часть 18 ст.13.11 КоАП РФ):
от 500 000 до 800 000 рублей – для физических лиц;
от 1,5 до 2 млн рублей – для должностных лиц организаций.
Штрафы для ИП и юридических лиц рассчитываются по тем же правилам (то есть в процентах от суммы выручки), что и штрафы за повторную утечку "обычных" персональных данных, но минимальный размер штрафа за утечку "биометрии" составляет уже не 20, а 25 миллионов рублей.
Уголовная ответственность за неправомерные действия с персональными данными
Описанная выше административная ответственность грозит оператору, пусть и допустившему нарушения при обработке персональных данных, но имевшему законные основания их собирать и обрабатывать иным образом.
А вот для самих злоумышленников, целенаправленно получивших доступ к персональным данным, которые вообще не должны были попадать в их руки, ответственность установлена уже уголовная - статья 272.1 Уголовного кодекса РФ действует уже с 11 декабря 2024 года. Как и любая другая уголовная ответственность, она устанавливается только для вменяемых физических лиц, достигших 16-летия, и не зависит от количества людей, к персональным данным которых противоправно получили доступ хакеры.
Увеличение размера ответственности предусмотрено в случае неправомерного доступа к персональным данным несовершеннолетних, к биометрическим персональным данным, в случаях, если мотивом преступления стала корыстная заинтересованность, в случае трансграничной передачи персональных данных, совершения преступления группой лиц по предварительному сговору, организованной группой, с использованием служебного положения (повторимся - речь идёт о НЕПРАВОМЕРНОМ доступе должностного лица к персональным данным), а также в случае наступления тяжких последствий, частично раскрытых в пункте 14 Постановления Пленума Верховного Суда РФ от 15.12.2022 № 37 "О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно-телекоммуникационных сетей, включая сеть "Интернет".
В отдельный состав преступления выделено и создание и (или) обеспечение функционирования информационного ресурса (сайта в сети "Интернет" и (или) страницы сайта в сети "Интернет", информационной системы, программы для электронных вычислительных машин), заведомо предназначенного для незаконных хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей персональные данные, полученной незаконным путем (часть 6 ст. 272.1 УК РФ).
Примечание 1 к статье 272.1 УК РФ гласит, что действие этой статьи не распространяется на случаи обработки персональных данных физическими лицами исключительно для личных и семейных нужд, но это не значит, что "потребительское" использование незаконно добытых персональных данных не является преступлением в принципе. Оно вполне охватывается составами преступлений, перечисленных в более общей статье 272 УК РФ. Так что, вне зависимости от цели получения персональных данных, неправомерный доступ к ним - это преступление.
По правде говоря, с учётом распространённости утечек (как случайных, так и преднамеренных) и хищений персональных данных, подобные действия законодателя были лишь вопросом времени. Сейчас нам предстоит жить в новой реальности, где периодические массовые утечки персональных данных могут поставить иную организацию на грань банкротства, а потому осуществление организационно-технических мер защиты информации, определённо, станет одной из приоритетных задач операторов персональных данных. А ООО "ПНК" готово оказать им в этом любую необходимую помощь.