Контакты
Подписка 2025

Что нужно знать про новые штрафы в области ПДн?

Валерий Нарежный, 14/01/25

В сфере обработки ПДн в России произошли серьезные изменения – приняты поправки в УК РФ и КоАП РФ, направленные на повышение ответственности организаций и физических лиц за нарушения.

Автор: Валерий Нарежный, к.э.н., советник юридической фирмы “Городисский и Партнеры”

ris1-Jan-14-2025-11-51-38-8819-AM

С появлением нового законодательства важно разобраться, в чем заключаются новые составы правонарушений и какова степень ответственности за их совершение. Кроме того, следует хотя бы в общих чертах оценить порядок привлечения к ответственности, чтобы представить, насколько высоки риски для компании.

Новые нормы вводят уголовную ответственность за:

  • неправомерное использование, передачу или хранение данных, полученных незаконным путем;
  • создание и обеспечение работы ресурсов, предназначенных для сбора и распространения таких данных;
  • нарушения, связанные с биометрией, данными несовершеннолетних и другими чувствительными категориями персональных данных.

В Уголовном кодексе появилась новая статья, усиливающая ответственность за нарушения. Максимальное наказание может составить до 10 лет лишения свободы в случае, если действия повлекли тяжкие последствия.

В административной плоскости также произошли изменения, увеличивающие штрафы за утечки, включая оборотные.

От чего зависит размер штрафа за утечку?

Сумма штрафа за утечку зависит от ряда факторов: объема данных, которые были разглашены, и от того, что это за персональные данные.

  1. Утечка в объеме 1–10 тыс. субъектов ПДн и (или) 10–100 тыс. идентификаторов – 3–5 млн руб.
  2. 10–100 тыс. субъектов и (или) от 100 тыс. до 1 млн идентификаторов – 5– 10 млн руб.
  3. Если утечка затронула более 100 тыс. субъектов и (или) от 1 млн идентификаторов, штрафы возрастают до 10–15 млн руб.

Если же произошла утечка менее тысячи субъектов персональных данных, то, очевидно, будут применяться старые нормы законодательства, и в том числе ч. 1 ст. 13.11 КоАП РФ со штрафом 300 тыс. руб. для компании и 100 тыс. руб. для должностных лиц.

Повторные нарушения могут привести к оборотным штрафам от 1% до 3% от годовой выручки компании, но не более 500 млн руб.

Если компания выявила факт утечки, она обязана в течение 24 часов уведомить Роскомнадзор, провести внутреннее расследование и в течение 72 часов подать итоговый отчет с указанием причин инцидента и лиц, ответственных за него. За нарушение этих сроков также вводится штраф до 3 млн руб.

Что же такое "идентификатор"?

Нетрудно заметить, что размер штрафа при утечке зависит не только от количества затронутых субъектов ПДн, но и от неких "идентификаторов".

Идентификатор, согласно КоАП, это уникальное обозначение сведений о физическом лице, содержащееся в ИСПДн оператора и относящееся к такому лицу. Но уникальное обозначение сведений о человеке, в общем, попадает под понятие "персональные данные". Остается не вполне понятным, как соотнести понятия "идентификаторы" и "персональные данные". Не одно ли это и то же? Не поглощает ли одно понятие другое? Проблема в том, что в закон попал изначально технический термин, и теперь необходимо проводить его юридическое толкование.

Встает вопрос и с тем, как определять количество утекших идентификаторов, которые содержатся в ИСПДн оператора. По-видимому, для этого потребуется специализированная экспертиза, которая усложнит и затормозит рассмотрение административных дел.

Смягчающие обстоятельства

В принятых поправках написано, что назначается 1/10 от минимального размера оборотного штрафа, но не менее 15 млн руб. и не более 50 млн руб. при выполнении следующих условий:

  1. Расходы компании на ИБ за три года составляли не менее 0,1% от совокупного размера суммы выручки.
  2. Для выполнения работ по ИБ привлекались подрядчики с лицензиями ФСТЭК России и ФСБ России, либо сама компания имеет такие лицензии.
  3. Есть документальные подтверждения соблюдения требований по ИБ за 12 месяцев. То есть проводился аудит по информационной безопасности.
  4. Отсутствуют отягчающие обстоятельства (они тоже вводятся поправками).

Ответственность теперь могут нести не только хакеры и мошенники, но и сотрудники компаний, допустившие утечку данных, а также руководители, не обеспечившие надлежащую защиту. Кроме того, ответственность распространяется на компании, использующие нелегально приобретенные базы данных.

Как минимизировать риски?

Компании следует пересмотреть свои внутренние процессы обработки данных и провести аудит комплаенс-систем. Важные шаги:

  1. Убедитесь, что уведомления об обработке персональных данных поданы в Роскомнадзор.
  2. Утвердите нормативные документы, регулирующие работу с ПДн.
  3. Объясните работникам, как правильно обрабатывать персональные данные и предотвращать утечки.
  4. Внедрите сертифицированные системы защиты информации.

Законодатели заявляют, что одной из целей нововведений является создание условий, при которых хранение и обработка избыточных ПДн должно стать невыгодным для компаний.

Из новых правил вытекают высокие стандарты в области защиты персональных данных. Для успешного соблюдения требований законодательства необходимо заранее проанализировать риски и внедрить эффективную систему защиты.

Памятку по новой ответственности в области персональных данных можно найти по ссылке:  https://www.gorodissky.ru/upload/articles/files/Personal_data_fines_2025.pdf 

 

Темы:Персональные данныеЖурнал "Информационная безопасность" №6, 2024Городисский и Партнерыоборотные штрафы

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Рецепты от стагнации и формализма в защите ПДн
    В конце 2024 г. гипотетический эксперт по защите ПДн с профильным высшим образованием и многолетним опытом работы в отрасли мог бы сделать недвусмысленный вывод о полной незащищенности персональных данных граждан РФ. Почему так? Потому что наборы данных, идентифицирующие практически каждого россиянина, с высокой долей вероятности уже утекли в Интернет в период с 2022 г. по настоящее время. Наборы утекших ПДн накапливаются в Даркнете и трансформируются злоумышленниками под конкретные задачи в рамках какой-либо схемы мошенничества.
  • Новая роль SIEM в защите персональных данных
    Максим Степченков, совладелец компании RuSIEM
    Закон “О персональных данных” принят почти двадцать лет назад, но получилось так, что весь процесс защиты ПДн воспринимался больше через призму необходимости обоснования затрат и выполнения формальных требований, чем через истинное понимание угроз и рисков. Множество мер защиты, которые были внедрены за эти годы, основывались именно на законодательных установках, а не на реальном анализе угроз.
  • Персональные данные на корпоративных мероприятиях: что скрывается за кадром
    Алексей Майоров, юрист в области информационного права юридической компании Lukash&Partners
    В преддверии новогодних корпоративов для многих организаций становится актуальным вопрос избегания штрафов при размещении фотографий, полученных при проведении мероприятия.
  • Персональные данные: чего ждать в 2025 году?
    Прогноз на 2025 г. для защитников ПДн оптимистичный: да, проблем много, но и решений достаточно. Весь текущий год мы наблюдали зарождение различных, порой противоречивых, тенденций. Новый год покажет, какие из веяний останутся с нами и зададут тон в отрасли. Чтобы не ждать естественного развития событий, поищем закономерности в прошлом, двигаясь от частного к общему. Итак, что же будет с персональными данными в 2025 г.?
  • Обзор изменений в законодательстве. Июль, август - 2024
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Изменения правил категорирования ОКИИ. Защита ГИС и ЗОКИИ от DoS. Изменения в 152-ФЗ, 98-ФЗ и КоАП. Защита ГИС. Переход ОКИИ на доверенные ПАК. Госконтроль за ПДн. Требования к уничтожению и обезличиванию ПДн. Методические рекомендации ЦБ по показателям уровня риска ИБ. 

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...