Контакты
Подписка 2025
Статьи по информационной безопасности

Что нужно знать про новые штрафы в области ПДн?

Валерий Нарежный, 14/01/25

В сфере обработки ПДн в России произошли серьезные изменения – приняты поправки в УК РФ и КоАП РФ, направленные на повышение ответственности организаций и физических лиц за нарушения.

Автор: Валерий Нарежный, к.э.н., советник юридической фирмы “Городисский и Партнеры”

ris1-Jan-14-2025-11-51-38-8819-AM

С появлением нового законодательства важно разобраться, в чем заключаются новые составы правонарушений и какова степень ответственности за их совершение. Кроме того, следует хотя бы в общих чертах оценить порядок привлечения к ответственности, чтобы представить, насколько высоки риски для компании.

Новые нормы вводят уголовную ответственность за:

  • неправомерное использование, передачу или хранение данных, полученных незаконным путем;
  • создание и обеспечение работы ресурсов, предназначенных для сбора и распространения таких данных;
  • нарушения, связанные с биометрией, данными несовершеннолетних и другими чувствительными категориями персональных данных.

В Уголовном кодексе появилась новая статья, усиливающая ответственность за нарушения. Максимальное наказание может составить до 10 лет лишения свободы в случае, если действия повлекли тяжкие последствия.

В административной плоскости также произошли изменения, увеличивающие штрафы за утечки, включая оборотные.

От чего зависит размер штрафа за утечку?

Сумма штрафа за утечку зависит от ряда факторов: объема данных, которые были разглашены, и от того, что это за персональные данные.

  1. Утечка в объеме 1–10 тыс. субъектов ПДн и (или) 10–100 тыс. идентификаторов – 3–5 млн руб.
  2. 10–100 тыс. субъектов и (или) от 100 тыс. до 1 млн идентификаторов – 5– 10 млн руб.
  3. Если утечка затронула более 100 тыс. субъектов и (или) от 1 млн идентификаторов, штрафы возрастают до 10–15 млн руб.

Если же произошла утечка менее тысячи субъектов персональных данных, то, очевидно, будут применяться старые нормы законодательства, и в том числе ч. 1 ст. 13.11 КоАП РФ со штрафом 300 тыс. руб. для компании и 100 тыс. руб. для должностных лиц.

Повторные нарушения могут привести к оборотным штрафам от 1% до 3% от годовой выручки компании, но не более 500 млн руб.

Если компания выявила факт утечки, она обязана в течение 24 часов уведомить Роскомнадзор, провести внутреннее расследование и в течение 72 часов подать итоговый отчет с указанием причин инцидента и лиц, ответственных за него. За нарушение этих сроков также вводится штраф до 3 млн руб.

Что же такое "идентификатор"?

Нетрудно заметить, что размер штрафа при утечке зависит не только от количества затронутых субъектов ПДн, но и от неких "идентификаторов".

Идентификатор, согласно КоАП, это уникальное обозначение сведений о физическом лице, содержащееся в ИСПДн оператора и относящееся к такому лицу. Но уникальное обозначение сведений о человеке, в общем, попадает под понятие "персональные данные". Остается не вполне понятным, как соотнести понятия "идентификаторы" и "персональные данные". Не одно ли это и то же? Не поглощает ли одно понятие другое? Проблема в том, что в закон попал изначально технический термин, и теперь необходимо проводить его юридическое толкование.

Встает вопрос и с тем, как определять количество утекших идентификаторов, которые содержатся в ИСПДн оператора. По-видимому, для этого потребуется специализированная экспертиза, которая усложнит и затормозит рассмотрение административных дел.

Смягчающие обстоятельства

В принятых поправках написано, что назначается 1/10 от минимального размера оборотного штрафа, но не менее 15 млн руб. и не более 50 млн руб. при выполнении следующих условий:

  1. Расходы компании на ИБ за три года составляли не менее 0,1% от совокупного размера суммы выручки.
  2. Для выполнения работ по ИБ привлекались подрядчики с лицензиями ФСТЭК России и ФСБ России, либо сама компания имеет такие лицензии.
  3. Есть документальные подтверждения соблюдения требований по ИБ за 12 месяцев. То есть проводился аудит по информационной безопасности.
  4. Отсутствуют отягчающие обстоятельства (они тоже вводятся поправками).

Ответственность теперь могут нести не только хакеры и мошенники, но и сотрудники компаний, допустившие утечку данных, а также руководители, не обеспечившие надлежащую защиту. Кроме того, ответственность распространяется на компании, использующие нелегально приобретенные базы данных.

Как минимизировать риски?

Компании следует пересмотреть свои внутренние процессы обработки данных и провести аудит комплаенс-систем. Важные шаги:

  1. Убедитесь, что уведомления об обработке персональных данных поданы в Роскомнадзор.
  2. Утвердите нормативные документы, регулирующие работу с ПДн.
  3. Объясните работникам, как правильно обрабатывать персональные данные и предотвращать утечки.
  4. Внедрите сертифицированные системы защиты информации.

Законодатели заявляют, что одной из целей нововведений является создание условий, при которых хранение и обработка избыточных ПДн должно стать невыгодным для компаний.

Из новых правил вытекают высокие стандарты в области защиты персональных данных. Для успешного соблюдения требований законодательства необходимо заранее проанализировать риски и внедрить эффективную систему защиты.

Памятку по новой ответственности в области персональных данных можно найти по ссылке:  https://www.gorodissky.ru/upload/articles/files/Personal_data_fines_2025.pdf 

 
Темы:Персональные данныеВебмониторэксЖурнал "Информационная безопасность" №6, 2024оборотные штрафы

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Aladdin eCA – доверенная альтернатива Microsoft CA
    Денис Полушин, руководитель направления PKI компании Аладдин
    Aladdin eCA – это полнофункциональная отечественная альтернатива Microsoft CA, обеспечивающая комплексную защиту цифровой идентификации и интеграцию в существующие экосистемы предприятий.
  • SECURITM делает безопасность доступной и эффективной
    Николай Казанцев, CEO компании SECURITM
    Николай Казанцев, CEO компании SECURITM, о философии информационной безопасности, доступности решений для бизнеса любого масштаба, о построении идеальной инфраструктуры и о том, как меняется подход к управлению информационной безопасностью.
  • Безопасность приложений на базе SAP и 1С начинается с проверки кода
    Екатерина Герлинг, ведущий инженер-аналитик Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности ООО “Газинформсервис”
    После ухода SAP с российского рынка система 1С стала чуть ли не единственной альтернативой, но разработка под эту платформу требует значительных ресурсов, а специалистов не хватает. При этом анализ и защита кода для таких систем — сложный процесс, требующий специализированных решений. На российском рынке есть решения, которые помогут обеспечить безопасность корпоративных приложений на 1С и SAP.
  • Слово не воробей, но DLP его поймает
    Дмитрий Костров, заместитель ГД по информационной безопасности ДКБ, IEK GROUP
    Информация – ценный актив и важнейшее достояние компании, требующее надежной защиты. Подходы к защите информации могут значительно различаться, но требования регуляторов обязывают компании обеспечивать безопасность данных, включая защиту ПДн. А ответственность за необходимость охраны коммерческой тайны ложится на плечи подразделений информационной безопасности. Помимо прочего, существует “чувствительная информация”, утечка которой способна привести к крайне негативным последствиям.
  • Новогодние рецепты против оборотных штрафов
    Введение оборотных штрафов за утечку персональных данных стало давно ожидаемым шагом. Однако остается открытым вопрос: помогут ли эти меры существенно изменить ситуацию? Редакция журнала “Информационная безопасность” собрала рецепты, которые помогут не только избежать штрафов, но и минимизировать риски утечек.
  • Рецепты от стагнации и формализма в защите ПДн
    В конце 2024 г. гипотетический эксперт по защите ПДн с профильным высшим образованием и многолетним опытом работы в отрасли мог бы сделать недвусмысленный вывод о полной незащищенности персональных данных граждан РФ. Почему так? Потому что наборы данных, идентифицирующие практически каждого россиянина, с высокой долей вероятности уже утекли в Интернет в период с 2022 г. по настоящее время. Наборы утекших ПДн накапливаются в Даркнете и трансформируются злоумышленниками под конкретные задачи в рамках какой-либо схемы мошенничества.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"