Что нужно знать про новые штрафы в области ПДн?

В сфере обработки ПДн в России произошли серьезные изменения – приняты поправки в УК РФ и КоАП РФ, направленные на повышение ответственности организаций и физических лиц за нарушения.

Автор: Валерий Нарежный, к.э.н., советник юридической фирмы “Городисский и Партнеры”

С появлением нового законодательства важно разобраться, в чем заключаются новые составы правонарушений и какова степень ответственности за их совершение. Кроме того, следует хотя бы в общих чертах оценить порядок привлечения к ответственности, чтобы представить, насколько высоки риски для компании.

Новые нормы вводят уголовную ответственность за:

• неправомерное использование, передачу или хранение данных, полученных незаконным путем;
• создание и обеспечение работы ресурсов, предназначенных для сбора и распространения таких данных;
• нарушения, связанные с биометрией, данными несовершеннолетних и другими чувствительными категориями персональных данных.

В Уголовном кодексе появилась новая статья, усиливающая ответственность за нарушения. Максимальное наказание может составить до 10 лет лишения свободы в случае, если действия повлекли тяжкие последствия.

В административной плоскости также произошли изменения, увеличивающие штрафы за утечки, включая оборотные.

От чего зависит размер штрафа за утечку?

Сумма штрафа за утечку зависит от ряда факторов: объема данных, которые были разглашены, и от того, что это за персональные данные.

1. Утечка в объеме 1–10 тыс. субъектов ПДн и (или) 10–100 тыс. идентификаторов – 3–5 млн руб.
2. 10–100 тыс. субъектов и (или) от 100 тыс. до 1 млн идентификаторов – 5– 10 млн руб.
3. Если утечка затронула более 100 тыс. субъектов и (или) от 1 млн идентификаторов, штрафы возрастают до 10–15 млн руб.

Если же произошла утечка менее тысячи субъектов персональных данных, то, очевидно, будут применяться старые нормы законодательства, и в том числе ч. 1 ст. 13.11 КоАП РФ со штрафом 300 тыс. руб. для компании и 100 тыс. руб. для должностных лиц.

Повторные нарушения могут привести к оборотным штрафам от 1% до 3% от годовой выручки компании, но не более 500 млн руб.

Если компания выявила факт утечки, она обязана в течение 24 часов уведомить Роскомнадзор, провести внутреннее расследование и в течение 72 часов подать итоговый отчет с указанием причин инцидента и лиц, ответственных за него. За нарушение этих сроков также вводится штраф до 3 млн руб.

Что же такое "идентификатор"?

Нетрудно заметить, что размер штрафа при утечке зависит не только от количества затронутых субъектов ПДн, но и от неких "идентификаторов".

Идентификатор, согласно КоАП, это уникальное обозначение сведений о физическом лице, содержащееся в ИСПДн оператора и относящееся к такому лицу. Но уникальное обозначение сведений о человеке, в общем, попадает под понятие "персональные данные". Остается не вполне понятным, как соотнести понятия "идентификаторы" и "персональные данные". Не одно ли это и то же? Не поглощает ли одно понятие другое? Проблема в том, что в закон попал изначально технический термин, и теперь необходимо проводить его юридическое толкование.

Встает вопрос и с тем, как определять количество утекших идентификаторов, которые содержатся в ИСПДн оператора. По-видимому, для этого потребуется специализированная экспертиза, которая усложнит и затормозит рассмотрение административных дел.

Смягчающие обстоятельства

В принятых поправках написано, что назначается 1/10 от минимального размера оборотного штрафа, но не менее 15 млн руб. и не более 50 млн руб. при выполнении следующих условий:

1. Расходы компании на ИБ за три года составляли не менее 0,1% от совокупного размера суммы выручки.
2. Для выполнения работ по ИБ привлекались подрядчики с лицензиями ФСТЭК России и ФСБ России, либо сама компания имеет такие лицензии.
3. Есть документальные подтверждения соблюдения требований по ИБ за 12 месяцев. То есть проводился аудит по информационной безопасности.
4. Отсутствуют отягчающие обстоятельства (они тоже вводятся поправками).

Ответственность теперь могут нести не только хакеры и мошенники, но и сотрудники компаний, допустившие утечку данных, а также руководители, не обеспечившие надлежащую защиту. Кроме того, ответственность распространяется на компании, использующие нелегально приобретенные базы данных.

Как минимизировать риски?

Компании следует пересмотреть свои внутренние процессы обработки данных и провести аудит комплаенс-систем. Важные шаги:

1. Убедитесь, что уведомления об обработке персональных данных поданы в Роскомнадзор.
2. Утвердите нормативные документы, регулирующие работу с ПДн.
3. Объясните работникам, как правильно обрабатывать персональные данные и предотвращать утечки.
4. Внедрите сертифицированные системы защиты информации.

Законодатели заявляют, что одной из целей нововведений является создание условий, при которых хранение и обработка избыточных ПДн должно стать невыгодным для компаний.

Из новых правил вытекают высокие стандарты в области защиты персональных данных. Для успешного соблюдения требований законодательства необходимо заранее проанализировать риски и внедрить эффективную систему защиты.

Памятку по новой ответственности в области персональных данных можно найти по ссылке:  https://www.gorodissky.ru/upload/articles/files/Personal_data_fines_2025.pdf