Введение
30 ноября 2024 года Президент России подписал два федеральных закона, вносящих изменения в Кодекс об административных правонарушениях и Уголовный кодекс (№ 420-ФЗ и № 421-ФЗ соответственно). Изменения в КоАП РФ вступают в силу с 30 мая 2025 года, а изменения в УК РФ уже вступили в силу 11 декабря прошлого года. Как изменилась ответственность в сфере персональных данных, мы рассмотрим далее в нашей статье.
Что поменялось уже?
В УК РФ появилась новая статья 272.1, и она вводит уголовную ответственность за ряд нарушений:
− неправомерное использование, передача и хранение персональных данных, полученных путем неправомерного доступа к средствам их обработки, хранения или иного вмешательства в их функционирование (ч. 1);
− нарушения, связанные с биометрией, данными несовершеннолетних и специальными категориями персональных данных (ч. 2):
− создание и обеспечение работы ресурсов, предназначенных для сбора и распространения таких данных (ч. 6).
Ответственность за данные преступления ложится на руководителя организации, а также на ответственных за работу с ПДн должностных лиц. Судом будет учитываться степень ответственности каждого из обвиняемых.
Стоит отметить, что нововведение не распространяется на случаи обработки ПДн физическими лицами исключительно для личных или семейных нужд.
Уголовная ответственность
Часть 1 — незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, полученной путём неправомерного доступа к средствам её обработки, хранения или иного вмешательства в их функционирование либо иным незаконным путём, — наказываются штрафом в размере до 300 тыс. рублей или в размере заработной платы или иного дохода осуждённого за период до одного года, либо принудительными работами на срок до четырёх лет, либо лишением свободы на тот же срок.
В качестве примера можно рассмотреть случай, когда организация либо должностное лицо использовало в работе информацию из «слитых» баз данных других операторов ПДн.
Часть 2 — те же деяния, совершённые в отношении компьютерной информации, содержащей персональные данные несовершеннолетних лиц, специальные категории персональных данных и (или) биометрические персональные данные, — наказываются штрафом в размере до 700 тыс. рублей или в размере заработной платы или иного дохода осуждённого за период до двух лет с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до двух лет или без такового, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.
В ч. 3 приводятся отягчающие обстоятельства, а именно:
- корыстная заинтересованность;
- причинение крупного ущерба;
- совершение группой лиц по предварительному сговору;
- использование своего служебного положения.
При данных обстоятельствах за преступления, описанные в ч. 1 и ч. 2, предусмотрено более суровое наказание: штраф до 1 млн рублей с возможностью лишения права занимать определённые должности или заниматься определённой деятельностью, принудительные работы на срок до 5 лет со штрафом до 1 млн рублей, а также лишение свободы на срок до 6 лет со штрафом до 1 млн рублей.
Вышеуказанные деяния, связанные с трансграничной передачей ПДн наказываются лишением свободы до 8 лет и штрафом до 2 млн рублей с возможностью лишения права занимать определённые должности или заниматься определённой деятельностью.
Преступления, описанные в ч. 3 и ч. 4 являются тяжкими, и к ним могут быть применимы смягчающие обстоятельства (ч. 1 ст. 61 УК РФ).
Отдельно в ч. 6 предусмотрена ответственность за создание и (или) обеспечение функционирования информационного ресурса, заведомо предназначенного для незаконного хранения, передачи ПДн, полученных незаконным путём. За это преступление предусмотрен штраф до 700 тыс. рублей с возможностью лишения права занимать определённые должности, принудительные работы или ограничение свободы на срок до 5 лет со штрафом до 700 тыс. рублей.
Изменения в КоАП РФ, вступающие в силу 30 мая 2025 года
В отличие от статьи УК, к административной ответственности могут быть привлечены не только физические лица, такие как нотариусы и самозанятые, но также и должностные лица государственных или муниципальных, либо некоммерческих организаций, и юридические лица, не являющиеся государственным или муниципальным органом либо некоммерческой организацией, а также лица, осуществляющие предпринимательскую деятельность без образования юридического лица.
Увеличены штрафы за обработку ПДн в случаях, не предусмотренных законодательством РФ, либо их обработку, несовместимую с целями сбора персональных данных (ч. 1 ст. 13.11 КоАП РФ):
− для физлиц с 30 мая вилка штрафов станет 10−15 тыс. рублей вместо 2−6 тыс. рублей;
− для должностных лиц – штрафы увеличатся с 10−20 тыс. рублей до 50−100 тыс. рублей;
− на юрлица будут накладываться штрафы в 150−300 тыс. рублей вместо 60−100 тысяч.
Значительно вырастут штрафы за невыполнение или несвоевременное выполнение оператором предусмотренной законодательством РФ в области ПДн обязанности по уведомлению Роскомнадзора о намерении осуществлять обработку персональных данных.
Верхняя граница штрафов будет увеличена с 300, 500 и 5 000 рублей до 10 000, 50 000 и 300 000 рублей для физических, должностных и юридических лиц соответственно. Стоит отметить, что штрафовать будут не за просрочку, а за неуведомление регулятора.
Также увеличиваются и сроки исковой давности. Если сейчас этот срок – 3 месяца, то с 30 мая он будет составлять уже 1 год.
Ещё одно изменение коснётся невыполнения требований по уведомлению надзорного органа об утечке ПДн (ч. 11 ст. 13.11.)
Сейчас штрафы за это правонарушение аналогичны наказанию за несвоевременное уведомление о намерении осуществлять обработку ПДН, а с 30 мая штрафы вырастут до 100 тыс., 800 тыс. и 3 млн рублей для, соответственно, физических, должностных и юридических лиц.
Новое понятие – идентификатор
Повышение штрафов коснётся и ответственности за сами утечки информации.
В зависимости от количества утёкших данных (количества субъектов ПДн и количества идентификаторов) суммы штрафов за действие/бездействие оператора ПДн (если эти действия не содержат признаки уголовно наказуемого деяния) могут достигать 600 тыс. рублей и 15 млн рублей для должностных и юридических лиц соответственно.
Идентификатор – новый термин, вводимый регулятором. Это уникальное обозначение сведений о физическом лице, содержащееся в ИСПДн оператора и относящееся к такому лицу (п. 4 примечаний к ст. 13.11).
В качестве примера можно привести таблицу с персональными данными, где в строках – данные разных субъектов ПДн, а в первом столбце – фамилия, во втором – имя, в третьем – отчество. Данные в каждой ячейке будут представлять собой отдельный идентификатор.
Допустим, что в таблице таких строк 50. В таком случае при неправомерной передаче этой таблицы будет предоставлен доступ к 150 идентификаторам и 50 субъектам.
Самые большие «фиксированные» штрафы связаны с биометрическими и специальными категориями ПДн. Здесь КоАП предусматривает размер ответственности до 2 млн рублей для должностных лиц и до 20 млн рублей для юридических.
Повторные нарушения и оборотные штрафы
За повторные нарушения накладываются увеличенные штрафы. За утечку ПДн – на физлиц до 600 тыс. рублей, на должностных лиц – до 1,2 млн рублей, а за утечку биометрических и специальных категорий ПДн – до 800 тыс. рублей и до 2 млн рублей соответственно.
На юридические же лица могут накладываться оборотные штрафы: от 1 до 3% совокупного размера суммы выручки за год, но не менее 20 млн рублей и не более 500 млн рублей за повторное нарушение, связанное с ПДн. В случае утечки биометрических и специальных ПДн минимальный штраф составит 25 млн рублей.
Данные штрафы можно уменьшить в 10 раз, но для этого надо соблюсти ряд условий:
− тратить на ИБ (с привлечением лицензиатов ФСТЭК либо самостоятельно (при наличии лицензии)) в течение 3 лет не менее 0,1% от совокупного размера суммы выручки;
− документально подтверждать соблюдение требований по ИБ за 12 месяцев до факта утечки (т. е. проводился аудит по ИБ или нет);
− отсутствуют отягчающие обстоятельства.
В завершение предлагаем чек-лист мероприятий, которые позволят вам избежать нарушений законодательства, связанного с персональными данными.
Необходимо:
− уведомить Роскомнадзор об обработке ПДн;
− разработать организационно-распорядительные документы (ОРД) по ПДн;
− актуализировать ОРД по ПДн (разместить Политику в общедоступном месте, собрать согласия);
− внедрить процедуры защиты и реагирования на инциденты;
− защитить ПДн через организационные и технические меры защиты;
− контактировать с лицензиатом ФСТЭК, выделять минимум 0,1% выручки на мероприятия по ИБ;
− проводить аудит ИБ ежегодно;
− проводить внутреннее и внешнее обучение;
− ну и главное — не попадать на нарушения.
Большинство пунктов из списка выше помогут решить продукты, входящие в экосистему «Альфа». Присоединяйтесь и вы к более чем 7 тыс. действующих организаций-пользователей приложений экосистемы в 86 субъектах Российской Федерации.
