Язык:
Контакты Скачать
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии и сертификаты
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • БДМ
  • ЗАСТАВА
  • Продукты других производителей
  • Услуги и решения
  • Соответствие требованиям
  • Аудит ИБ
  • Облака и виртуализация
  • Управление ИБ
  • Управление доступом
  • Сетевая безопасность
  • Защита приложений
  • Поддержка и аутсорсинг
  • Защита АСУТП
  • Защита ГИС
  • Защита от вредоносного кода, спама и контроль трафика
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Видео и скринкасты
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
    •

    Персональные данные: очередное и существенное ужесточение ответственности за нарушения

    12.12.2024 Булаев Михаил Александрович, ведущий консультант-аналитик

    Тридцатого ноября 2024 года приняты два федеральных закона, существенно ужесточающих ответственность за нарушения требований, установленных Федеральным законом "О персональных данных" и установивших новые составы административных правонарушений и уголовных преступлений:

    •  Федеральный закон от 30 ноября 2024 г. № 420-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях";
    •  Федеральный закон от 30 ноября 2024 г. № 421-ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации".

    При рассмотрении законопроектов законодатели учитывали, что подавляющее число утечек — это базы данных, состоящие из записей о конкретных людях (пользователях, клиентах, сотрудниках). Если ранее утечки исчислялись сотнями или тысячами записей, то в последние годы речь идет уже о миллионах записей, что может причинить существенный ущерб субъектам персональных данных.

    Законодатели обосновывают необходимость ужесточения ответственности за нарушения в области обработки персональных данных следующими причинами:

              ─ несоразмерностью действующих административных штрафов с возможными последствиями от произошедших утечек персональных данных;
              ─ необходимостью стимулирования операторов персональных данных инвестировать в развитие своей инфраструктуры информационной безопасности и защиту персональных данных пользователей;
              ─ действующие ранее наказания, предусмотренные уголовным законодательством за преступления, связанные с незаконным использованием персональных данных, несопоставимы с их общественно опасными последствиями.

    Федеральные законы от 30 ноября 2024 г. № 420-ФЗ и № 421-ФЗ вносят изменения как в КоАП, так и в УК РФ.

    Основные нововведения заключаются в следующем:

    • в КоАП РФ введены "оборотные штрафы", которые Роскомнадзор продвигал в течение последних лет. Теперь установлено, что административный штраф может выражаться в том числе и в величине, кратной размеру собственных средств (капитала) оператора (не более 3%);
    • существенно расширены составы административных правонарушений в области обработки персональных данных и увеличены размеры административных штрафов;
    • в новой части 2.1 ст. 5.63 КоАП установлена административная ответственность за отказ должностного лица органа госвласти, органа местного самоуправления или органа государственного внебюджетного фонда РФ, работника МФЦ, работника публично-правовой компании, осуществляющей оказание госуслуг в сфере государственного кадастрового учета и государственной регистрации прав, в предоставлении услуги в связи с отказом заявителя от прохождения идентификации и (или) аутентификации с использованием его биометрических персональных данных;
    • УК РФ дополнен новой статьей 272.1, предусматривающей уголовную ответственность за незаконные использование и (или) передачу (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем.

    Рассмотрим подробнее принятые изменения (ужесточения) и, что важно, сроки введения их в действие.

    1.             Изменения ст. 13.11 КоАП РФ

    Изменения, внесенные в ст. 13.11 КоАП РФ, приведены в таблице ниже.

    Номер
    части статьи 13.11

    Состав правонарушения

    Административный штраф согласно ранее действующей редакции КоАП

    Административный штраф после внесения изменений

    ч. 1

    Обработка персональных данных в случаях, не предусмотренных законодательством в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных

    Для граждан в размере от 2 тыс. до 6 тыс. руб.;

    для должностных лиц -
    от 10 тыс. до 20 тыс. руб.;

    для юрлиц - от 60 тыс. до 100 тыс. руб.

    Для граждан в размере от 10 тыс. до 15 тыс. руб.;

    для должностных лиц - от 50 тыс. до 100 тыс. руб.;

    для юрлиц - от 150 тыс. до 300 тыс. руб.

    ч. 1.1

    Повторное совершение административного правонарушения, предусмотренного

    Для граждан в размере от 4 тыс. до 12 тыс. руб.;

    для должностных лиц - от 20 тыс. до 50 тыс. руб.;
    для ИП - от 50 тыс. до 100 тыс. руб.;

    для юрлиц - от 100 тыс. до 300 тыс. руб.

    Для граждан в размере от 15 тыс. до 30 тыс. руб.;

    для должностных лиц - от 100 тыс до 200 тыс. руб.;

    для юрлиц и ИП - от 300 тыс. до 500 тыс. руб.

    ч. 10

    Невыполнение и / или несвоевременное выполнение обязанности по уведомлению Роскомнадзора о намерении осуществлять обработку персональных данных

    Вновь введенный состав правонарушения

    Для граждан в размере от 5 тыс. до 10 тыс. руб.;

    для должностных лиц - от 30 тыс. до 50 тыс. руб.;

    для юрлиц и ИП - от 100 тыс. до 300 тыс. руб.

    ч. 11

    Невыполнение и / или несвоевременное выполнение обязанности по уведомлению Роскомнадзора в случае установления факта утечки персональных данных

    Вновь введенный состав правонарушения

    Для граждан в размере от 50 тыс. до 100 тыс. руб.;

    для должностных лиц - от 400 тыс. до 800 тыс. руб.;

    для юрлиц и ИП - от 1 млн до 3 млн руб.

    ч. 12

    Утечка персональных данных от 1 тыс. до 10 тыс. субъектов персональных данных и / или от 10 тыс. до 100 тыс. идентификаторов, если эти действия не содержат признаков уголовно наказуемого деяния

    Вновь введенный состав правонарушения

    Для граждан в размере от 100 тыс. до 200 тыс. руб.;

    для должностных лиц - от 200 тыс. до 400 тыс. руб.;

    для юрлиц и ИП - от 3 млн до 5 млн руб.

    ч. 13

    Утечка персональных данных от 10 тыс. до 100 тыс. субъектов персональных данных и / или от 100 тыс. до 1 млн идентификаторов, если эти действия не содержат признаков уголовно наказуемого деяния

    Вновь введенный состав правонарушения

    Для граждан в размере от 200 тыс. до 300 тыс. руб.;

    для должностных лиц - от 300 тыс. до 500 тыс. руб.;

    для юрлиц и ИП - от 5 млн до 10 млн руб.

    ч. 14

    Утечка персональных данных более 100 тыс. субъектов персональных данных и / или более 1 млн идентификаторов, если эти действия не содержат признаков уголовно наказуемого деяния

    Вновь введенный состав правонарушения

    Для граждан в размере от 300 тыс. до 400 тыс. руб.;

    для должностных лиц - от 400 тыс. до 600 тыс. руб.;

    для юрлиц и ИП - от 10 млн до 15 млн руб.

    ч. 15

    Совершение правонарушения, предусмотренного частями 12-14 ст. 13.11, лицо, подвергнутым наказанию за правонарушения, предусмотренные частями 12-14, 16-18 ст. 13.11

    Вновь введенный состав правонарушения

    Для граждан в размере от 400 тыс. до 600 тыс. руб.;

    для должностных лиц - от 800 тыс. до 1 млн 200 тыс. руб.; 

    для юрлиц и ИП - от 1 до 3 % совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено нарушение, либо за предшествующую дате выявления нарушения часть календарного года, в котором было выявлено нарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, либо размера собственных средств (капитала) кредитной организации на дату совершения нарушения, но не менее 20 млн руб. и не более 500 млн руб.

    ч. 16

    Утечка информации, включающей специальную категорию персональных данных

    Вновь введенный состав правонарушения

    Для граждан в размере от 300 тыс. до 400 тыс. руб.;

    для должностных лиц - от 1 млн до 1 млн 300 тыс. руб.; 

    для юрлиц и ИП - от 10 млн до 15 млн руб.

    ч. 17

    Утечка информации, включающей биометрические персональные данные, за исключением случаев, предусмотренных статьей 13.11.3 КоАП РФ

    Вновь введенный состав правонарушения

    Для граждан в размере от 400 тыс. до 500 тыс. руб.;

    для должностных лиц - от 1 млн 300 тыс. до 1 млн 500 тыс. руб.;

    для юрлиц и ИП - от 15 млн до 20 млн руб.

    ч. 18

    Совершение правонарушения, предусмотренного частью 16 или 17 ст. 13.11, лицом, подвергнутым наказанию за нарушения, предусмотренные частями 12-17 ст. 13.11

    Вновь введенный состав правонарушения

    Для граждан - в размере от 500 тыс. до 800 тыс. руб.;

    для должностных лиц - от 1 млн 500 тыс. до 2 млн руб.; 

    для юрлиц и ИП - от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ услуг), за календарный год, предшествующий году, в котором было выявлено правонарушение, либо за предшествующую дате выявления правонарушения часть календарного года, в котором было выявлено правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, либо размера собственных средств (капитала) кредитной организации на дату совершения правонарушения, но не менее 25 млн руб. и не более 500 млн руб.

    В частях 10-18 ст. 13.11 под должностным лицом понимается должностное лицо государственного или муниципального органа либо некоммерческой организации, а под юрлицом понимается оператор - юридическое лицо, не являющееся государственным или муниципальным органом либо некоммерческой организацией (см. примечания 2 и 3 к ст. 13.11 в новой редакции).

    2.             Изменение статьи 13.11.3 КоАП

    Существенное изменение претерпела статья 13.11.3 КоАП, устанавливающая ответственность за нарушения в области обработки биометрических персональных данных. Эта статья дополнена ещё тремя составами правонарушений (тремя частями):

    Часть 2. Нарушение порядка обработки биометрических персональных данных в единой биометрической системе (ЕБС), порядка обработки биометрических персональных данных, векторов ЕБС в информационных системах государственных органов, Центрального банка РФ, организаций, прошедших аккредитацию и осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, либо требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных, векторов ЕБС в целях проведения идентификации и (или) аутентификации, -

    влечет наложение административного штрафа на должностных лиц в размере от 100 тыс. до 300 тыс. руб.; на юридических лиц - от 500 тыс. до 1 млн руб.

    Часть 3. Непринятие организационных и технических мер по обеспечению безопасности биометрических персональных данных при их обработке в ЕБС, её взаимодействии с иными информационными системами либо непринятие организационных и технических мер по обеспечению безопасности биометрических персональных данных при их обработке в иных информационных системах, обеспечивающих аутентификацию с использованием биометрических персональных данных физических лиц, в том числе в информационных системах аккредитованных государственных органов, -

    влечет наложение административного штрафа на должностных лиц в размере от 300 тыс. до 500 тыс. руб.; на юридических лиц - от 1 млн до 1,5 млн руб.

    Часть 4. Обработка биометрических персональных данных, векторов единой биометрической системы для аутентификации физических лиц в информационных системах государственных органов, организаций, информационной системе Центрального банка РФ без аккредитации либо в случае, если аккредитация приостановлена или прекращена, -

    влечет наложение административного штрафа на должностных лиц в размере от 500 тыс. до 1 млн руб.; на юридических лиц - от 1 млн до 2 млн руб.

    Перечисленные в п. 1 и 2изменения в КоАП РФ вступят в силу 30 мая 2025 г.

    3.        Изменения, внесенные в УК РФ

    Уголовный кодекс РФ дополнен новой статьей 272.1, которая устанавливает уголовную ответственность за преступления, связанные с незаконным сбором и / или хранением и / или передачей персональных данных, полученных без законных оснований. В эту статью включены 6 частей.

    Часть 1. Незаконное использование, передача (распространение, предоставление, доступ), сбор и хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо другим незаконным путем (за исключением деяний, предусмотренных ч. 2 ст. 272.1, наказывается:

                   • штрафом в размере до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период до 1 года,

                   • либо принудительными работами на срок до 4 лет,

                   • либо лишением свободы на срок до 4 лет.

    Часть 2. Такие же деяния, если они совершены в отношении компьютерной информации, которая содержит персональные данные несовершеннолетних лиц, специальные категории персональных данных или биометрические персональные данные, наказываются:

                   • штрафом в размере до 700 000 руб. или в размере заработной платы или иного дохода осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового,

                   • либо принудительными работами на срок до 5 лет,

                   • либо лишением свободы на срок до 5 лет.

    Часть 3. Деяния, предусмотренные ч. 1 или ч. 2 ст. 272.1 УК РФ, совершенные:

             ─ из корыстной заинтересованности,

             ─ с причинением крупного ущерба,

             ─ группой лиц по предварительному сговору,

             ─ с использованием своего служебного положения,

    наказываются:

                   • штрафом в размере до 1 млн руб. или в размере заработной платы или иного дохода осужденного за период до 3 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового,

                   • либо принудительными работами на срок до 5 лет со штрафом в размере до 1 млн руб. или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового,

                   • либо лишением свободы на срок до 6 лет со штрафом в размере до 1 млн руб. или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового.

    Часть 4. Деяния, предусмотренные ч. 1, 2 или ч. 3 ст. 272.1 УК РФ, которые связаны с трансграничной передачей компьютерной информации, содержащей персональные данные, или трансграничным перемещением носителей информации, содержащих такие данные, наказываются:

                   • лишением свободы на срок до 8 лет со штрафом в размере до 2 млн руб. или в размере заработной платы или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 4 лет или без такового.

    Под трансграничным перемещением носителей, содержащих компьютерную информацию, понимается совершение действий по ввозу на территорию России и (или) вывозу с ее территории машиночитаемого носителя информации (в т. ч. магнитного и электронного), на котором записана и хранится такая информация.

    Часть 5. Деяния, предусмотренные ч. 1, 2, 3 или ч. 4 ст. 272.1 УК РФ, если они повлекли тяжкие последствия либо совершены организованной группой, наказываются:

                   • лишением свободы на срок до 10 лет со штрафом в размере до 3 млн руб. или в размере заработной платы или иного дохода осужденного за период до 4 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового.

    Часть 6. Создание или обеспечение работы сайта в интернете (страницы сайта), информационной системы, компьютерной программы, предназначенных для незаконных хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей персональные данные, полученной незаконным путем, наказываются:

                   • штрафом в размере до 700 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового,

                   • либо принудительными работами на срок до 5 лет со штрафом в размере до 700 тыс. руб. или иного дохода осужденного за период до 2 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового,

                   • либо лишением свободы на срок до 5 лет со штрафом в размере до 700 тыс. руб. или иного дохода осужденного за период до 2 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового.

    Отметим также, что в рамках уголовного законодательства не будут рассматриваться случаи, когда персональные данные используются правомерно в личных или семейных целях.

    Вводимые в УК РФ изменения вступают в силу с 11 декабря 2024 года.

    Подводя итог этому обзору, можно констатировать, что к концу 2024 года фактически завершено создание полноценного «кнута» включающего меры административного и уголовного воздействия, с целью стимулирования операторов персональных данных к созданию систем и процессов обеспечения безопасности персональных данных в соответствии с требованиями, установленными законодательством.



    Возврат к списку

    Начиная пользоваться Сайтом, Вы считаетесь принявшими условия Пользовательского Соглашения и соглашаетесь на обработку данных о Вас АО «ЭЛВИС-ПЛЮС», сервисами Яндекс.Метрика в порядке и целях, указанных в этом Соглашении, и в соответствии с Политикой обработки персональных данных. Если Вы не согласны с этими условиями, покиньте Сайт. Подробнее

    Этот сайт использует сервисы веб-аналитики Яндекс.Метрика. Эти сервисы используют технологию cookie — небольшие текстовые файлы, размещаемые на компьютере пользователей с целью анализа их пользовательской активности.

    Собранная сервисами при помощи cookie информация не может идентифицировать Вас, однако может помочь нам улучшить работу нашего сайта. Информация об использовании Вами данного сайта, собранная при помощи cookie, будет передаваться компании Яндекс. Собранные данные будут обрабатываться для оценки использования Вами сайта, составления для нас отчетов о деятельности нашего сайта, и предоставления других услуг. Яндекс обрабатывает эту информацию в порядке, установленном в условиях использования этих сервисов (см. Пользовательское Соглашение).

    Вы можете отказаться от использования файлов cookie, выбрав соответствующие настройки в браузере. Однако это может повлиять на работу некоторых функций сайта.