Что нужно знать про новые штрафы в области ПДн?
Валерий Нарежный, 14/01/25
В сфере обработки ПДн в России произошли серьезные изменения – приняты поправки в УК РФ и КоАП РФ, направленные на повышение ответственности организаций и физических лиц за нарушения.
Автор: Валерий Нарежный, к.э.н., советник юридической фирмы “Городисский и Партнеры”
С появлением нового законодательства важно разобраться, в чем заключаются новые составы правонарушений и какова степень ответственности за их совершение. Кроме того, следует хотя бы в общих чертах оценить порядок привлечения к ответственности, чтобы представить, насколько высоки риски для компании.
Новые нормы вводят уголовную ответственность за:
- неправомерное использование, передачу или хранение данных, полученных незаконным путем;
- создание и обеспечение работы ресурсов, предназначенных для сбора и распространения таких данных;
- нарушения, связанные с биометрией, данными несовершеннолетних и другими чувствительными категориями персональных данных.
В Уголовном кодексе появилась новая статья, усиливающая ответственность за нарушения. Максимальное наказание может составить до 10 лет лишения свободы в случае, если действия повлекли тяжкие последствия.
В административной плоскости также произошли изменения, увеличивающие штрафы за утечки, включая оборотные.
От чего зависит размер штрафа за утечку?
Сумма штрафа за утечку зависит от ряда факторов: объема данных, которые были разглашены, и от того, что это за персональные данные.
- Утечка в объеме 1–10 тыс. субъектов ПДн и (или) 10–100 тыс. идентификаторов – 3–5 млн руб.
- 10–100 тыс. субъектов и (или) от 100 тыс. до 1 млн идентификаторов – 5– 10 млн руб.
- Если утечка затронула более 100 тыс. субъектов и (или) от 1 млн идентификаторов, штрафы возрастают до 10–15 млн руб.
Если же произошла утечка менее тысячи субъектов персональных данных, то, очевидно, будут применяться старые нормы законодательства, и в том числе ч. 1 ст. 13.11 КоАП РФ со штрафом 300 тыс. руб. для компании и 100 тыс. руб. для должностных лиц.
Повторные нарушения могут привести к оборотным штрафам от 1% до 3% от годовой выручки компании, но не более 500 млн руб.
Если компания выявила факт утечки, она обязана в течение 24 часов уведомить Роскомнадзор, провести внутреннее расследование и в течение 72 часов подать итоговый отчет с указанием причин инцидента и лиц, ответственных за него. За нарушение этих сроков также вводится штраф до 3 млн руб.
Что же такое "идентификатор"?
Нетрудно заметить, что размер штрафа при утечке зависит не только от количества затронутых субъектов ПДн, но и от неких "идентификаторов".
Идентификатор, согласно КоАП, это уникальное обозначение сведений о физическом лице, содержащееся в ИСПДн оператора и относящееся к такому лицу. Но уникальное обозначение сведений о человеке, в общем, попадает под понятие "персональные данные". Остается не вполне понятным, как соотнести понятия "идентификаторы" и "персональные данные". Не одно ли это и то же? Не поглощает ли одно понятие другое? Проблема в том, что в закон попал изначально технический термин, и теперь необходимо проводить его юридическое толкование.
Встает вопрос и с тем, как определять количество утекших идентификаторов, которые содержатся в ИСПДн оператора. По-видимому, для этого потребуется специализированная экспертиза, которая усложнит и затормозит рассмотрение административных дел.
Смягчающие обстоятельства
В принятых поправках написано, что назначается 1/10 от минимального размера оборотного штрафа, но не менее 15 млн руб. и не более 50 млн руб. при выполнении следующих условий:
- Расходы компании на ИБ за три года составляли не менее 0,1% от совокупного размера суммы выручки.
- Для выполнения работ по ИБ привлекались подрядчики с лицензиями ФСТЭК России и ФСБ России, либо сама компания имеет такие лицензии.
- Есть документальные подтверждения соблюдения требований по ИБ за 12 месяцев. То есть проводился аудит по информационной безопасности.
- Отсутствуют отягчающие обстоятельства (они тоже вводятся поправками).
Ответственность теперь могут нести не только хакеры и мошенники, но и сотрудники компаний, допустившие утечку данных, а также руководители, не обеспечившие надлежащую защиту. Кроме того, ответственность распространяется на компании, использующие нелегально приобретенные базы данных.
Как минимизировать риски?
Компании следует пересмотреть свои внутренние процессы обработки данных и провести аудит комплаенс-систем. Важные шаги:
- Убедитесь, что уведомления об обработке персональных данных поданы в Роскомнадзор.
- Утвердите нормативные документы, регулирующие работу с ПДн.
- Объясните работникам, как правильно обрабатывать персональные данные и предотвращать утечки.
- Внедрите сертифицированные системы защиты информации.
Законодатели заявляют, что одной из целей нововведений является создание условий, при которых хранение и обработка избыточных ПДн должно стать невыгодным для компаний.
Из новых правил вытекают высокие стандарты в области защиты персональных данных. Для успешного соблюдения требований законодательства необходимо заранее проанализировать риски и внедрить эффективную систему защиты.
Памятку по новой ответственности в области персональных данных можно найти по ссылке: https://www.gorodissky.ru/upload/articles/files/Personal_data_fines_2025.pdf