Ужесточение ответственности в сфере персональных данных в РФ

Содержание данной статьи проверено и подтверждено:

26.11.2024 г. Государственная Дума Российской Федерации приняла в третьем чтении планы внесения изменений в Административный и Уголовный кодексы.

Планируемые изменения направлены на ужесточение требований к лицам, обеспечивающим обработку и защиту персональных данных (далее – ПДн).

Принятие законопроекта в третьем чтении подразумевает, что документ будет направлен на рассмотрение в Совет Федерации, который, как правило не будет вносить правки или отклонять проект изменений. То есть, если не произойдет какой-либо экстренной ситуации, в ближайшее время данные изменения вступят в силу.

Изменения в Административном кодексе, связанные с защитой ПДн

Изменения, входящие в состав законопроекта № 502104-8 “О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части усиления ответственности за нарушение порядка обработки персональных данных)”, касаются внесения правок и добавления новых частей в статье 13.11 Кодекса об административных правонарушениях (далее – КоАП) РФ – “Нарушение законодательства Российской Федерации в области персональных данных”.

Существующие изменения предполагают увеличение существующих штрафов, а также добавления новых.

Изменение размера штрафа предполагается в отношении частей 1. и 1.1 статьи 13.11 КоАП, а именно:

Статья КоАП Нарушение Было Стало
ч.1 ст. 13.11
  • Обработка ПДн в случаях, не предусмотренных законодательством РФ в области ПД
  • Обработка ПДн, несовместимая с целями сбора ПДн
  • для граждан:
    2000 – 6000 руб.
  • для должностных лиц:
    10 000 – 20 000 руб.
  • для юридических лиц:
    60 000 – 100 000 руб.
  • для граждан:
    10 000 – 15 000 руб.
  • для должностных лиц:
    50 000 – 100 000 руб.
  • для юридических лиц:
    150 000 – 300 000 руб
ч.1.1 ст. 13.11 Повторное нарушение ч.1 ст. 13.11
  • для граждан:
    4000 – 12 000 руб.
  • для должностных лиц:
    20 000 – 50 000 руб.
  • для индивидуальных предпринимателей:
    50 000 – 100 000 руб.
  • для юридических лиц:
    100 000 – 300 000 руб.
  • для граждан:
    15 000 – 30 000 руб.
  • для должностных лиц:
    100 000 – 200 000 руб.
  • для юридических лиц:
    300 000 – 500 000 руб

Нововведения подразумевают увеличение существующих штрафов вплоть до 5 раз.

Также среди возможных нарушителей теперь не рассматриваются ИП, то есть на них будут распространяться требования как к юридическим лицам.

Основными нововведениями является добавление в статью 13.11 новых нарушений, включающих:

Статья КоАП Нарушение Штраф
ч. 10 ст. 13.11 Неуведомление или уведомление с опозданием Роскомнадзора (далее – РКН) о намерении осуществлять обработку ПДн.
  • для граждан:
    5000 – 10 000 руб.
  • для должностных лиц:
    30 000 – 50 000 руб.
  • для юридических лиц:
    100 000 – 300 000 руб.
ч. 11 ст. 13.11 Неуведомление или уведомление с опозданием (24 часа — об инциденте, 72 часа — о результатах внутреннего расследования) РКН в случае установления факта неправомерной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн.
  • для граждан:
    50 000 – 100 000 руб.
  • для должностных лиц:
    400 000 – 800 000 руб.
  • для юридических лиц:
    1 000 000 – 3 000 000 руб.
ч. 12 ст. 13.11 Утечка ПДн 1 000 — 10 000 субъектов или от 10 000 до 100 000 уникальных обозначений сведений о физических лицах, необходимых для определения таких лиц (далее – идентификаторы). (Действие (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступа) информации, включающей ПДн от 1 000 до 10 000 субъектов ПДн, и (или) от 10 000 до 100 000 идентификаторов).
  • для граждан:
    100 000 – 200 000 руб.
  • для должностных лиц:
    200 000 – 400 000 руб.
  • для юридических лиц:
    3 000 000 – 5 000 000 руб.
ч. 13 ст. 13.11 Утечка ПДн 10 000 — 100 000 субъектов или от 100 000 до 1 000 000 идентификаторов. (Действие (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступа) информации, включающей ПДн от 10 000 до 100 000 субъектов ПДн, и (или) от 100 000 до 1 000 000 идентификаторов).
  • для граждан:
    200 000 – 300 000 руб.
  • для должностных лиц:
    300 000 – 500 000 руб.
  • для юридических лиц:
    5 000 000 – 10 000 000 руб.
ч. 14 ст. 13.11 Утечка ПДн более 100 000 субъектов или более 1 000 000 идентификаторов. (Действие (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступа) информации, включающей ПДн от 10 000 до 100 000 субъектов ПДн, и (или) от 100 000 до 1 000 000 идентификаторов).
  • для граждан:
    300 000 – 400 000 руб.
  • для должностных лиц:
    400 000 – 600 000 руб.
  • для юридических лиц:
    10 000 000 – 15 000 000 руб.
ч. 15 ст. 13.11 Повторное нарушение ч. 12-14 ст. 13.11
  • для граждан:
    400 000 – 600 000 руб.
  • для должностных лиц:
    800 000 – 1 000 000 руб.
  • для юридических лиц:
    от 1% до 3% выручки, но не менее 20 000 000 и не более 500 000 000 руб.
ч. 16 ст. 13.11 Утечка ПДн специальной категории. (Действие (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступа) информации, включающей специальную категорию ПДн).
  • для граждан:
    300 000 – 400 000 руб.
  • для должностных лиц:
    1 000 000 – 1 300 000 руб.
  • для юридических лиц:
    10 000 000 – 15 000 000 руб.
ч. 17 ст. 13.11 Утечка биометрических ПДн. (Действие (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступа) информации, включающей биометрические ПДн).
  • для граждан:
    400 000 – 500 000 руб.
  • для должностных лиц:
    1 000 000 – 1 500 000 руб.
  • для юридических лиц:
    15 000 000 – 20 000 000 руб.
ч. 18 ст. 13.11 Повторное нарушение ч. 16 или ч.17 ст. 13.11
  • для граждан:
    500 000 – 800 000 руб.
  • для должностных лиц:
    1 000 000 – 2 000 000 руб.
  • для юридических лиц:
    от 1% до 3% выручки, но не менее 25 000 000 и не более 500 000 000 руб.

Планируемые нововведения статьи КоАП подразумевают установление колоссальных штрафов за отсутствие достаточного взаимодействия с РКН и за утечки ПДн.

Особенностью является то, что при оценке утечек рассматривается возможность утечки идентификаторов. То есть операторам ПДн помимо защиты ПДн нужно обеспечить защиту логинов и адресов электронной почты своих клиентов.

В пояснительной записке к законопроекту указано, что существующие в настоящий момент штрафы не соразмерны с возможными последствиями от утечек ПДн, а имеющиеся нововведения направлены на стимуляцию операторов ПДн инвестировать в развитие инфраструктуры информационной безопасности и защиту ПДн пользователей.

Авторы законопроекта считают, что только суровые меры административного взыскания способны побудить операторов ПДн всерьез озаботиться обеспечением информационной безопасности. Ожидаемыми последствиями от внесения изменений в законодательство является значительное снижение количество утечек ПДн на территории РФ.

Изменения в Уголовном кодексе, предусматривающие наказания за утечку персданных

Изменения, входящие в состав законопроекта № 502113-8 “О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части установления ответственности за незаконные использование и передачу, сбор и хранение компьютерной информации, содержащей персональные данные)”, касаются добавления новой статьи 2721.

Основной задачей статьи является установление уголовной ответственности за преступления, связанные обработкой ПДн, полученных незаконным путем.

Статья состоит из 6 частей, предусматривающих наказание за различные типы правонарушений:

Нарушение Ответственность
1 Незаконные использование и(или) передача (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей ПДн, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем Штраф до 300 000 руб. / принудительные работы до 4 лет / лишение свободы до 4 лет
2 Выполнение действий, предусмотренных ч. 1 ст. 272, выполняемые в отношении информации, содержащей специальные категории ПДн и (или) биометрические ПДн Штраф до 700 000 руб. или в размере заработной платы или иного дохода за период до 1 года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет / принудительные работы на срок до 5 лет / лишение свободы до 5 лет
3 Выполнение действий, предусмотренных ч.1 и ч.2 ст.272, выполняемые:
а) из корыстной заинтересованности;
б) повлекшее причинение крупного решения;
в) группой лиц по предварительному сговору;
г) с использованием служебного положения
Штраф до 1 000 000 руб. или в размере заработной платы или иного дохода за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет / принудительные работы на срок до 5 лет со штрафом в размере до одного миллиона рублей или иного дохода за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3-х лет / лишение свободы на срок до 6 лет со штрафом в размере до 1 000 000 руб. или иного дохода за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет
4 Выполнение действий, предусмотренных ч.1 – 3 ст.272, сопряженные с трансграничной передачей компьютерной информации, содержащей ПДн и (или) трансграничным перемещением носителей, содержащих такие данные Лишение свободы до 8 лет со штрафом до 2 000 000 руб. или в размере заработной платы или иного дохода за период до 3 лет с лишением права занимать определенные должности или заниматься определенной деятельностью до 4 лет
5 Выполнение действий, предусмотренных ч.1 – 4 ст.272, если они повлекли тяжкие последствия, либо были совершены организованной группой Лишение свободы до 10 лет со штрафом до 3 000 000 руб. или в размере заработной платы или иного дохода за период до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью до 5 лет
6 Создание и(или) обеспечение функционирования информационных ресурсов (сайта в сети «Интернет» и (или) страницы сайта в сети «Интернет», информационной системы, программы для электронных вычислительных машин), заведомо предназначенных для незаконного хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей ПДн Штраф до 700 000 руб. или в размере заработной платы или иного дохода за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью до 2 лет / принудительные работы на срок до 5 лет со штрафом 700 000 руб. или в размере заработной платы или иного дохода за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью до 2 лет / лишение свободы на срок до 5 лет со штрафом 700 000 руб. или в размере заработной платы или иного дохода за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью до 2 лет

Цель поправок о защите персональных данных

Основной задачей статьи является обеспечение возможности предусмотрения уголовной ответственности за преступления, связанные с ПДн. При этом предлагаемые наказания подразумевают серьезную ответственность, вплоть до лишения свободы до 10 лет и взыскания штрафа до 3 000 000 миллионов рублей.

В пояснительной записке к законопроекту указана существующая статистика преступлений, связанных с ПДн, согласно которой число преступлений в данной области растет с каждым годом, что вызывает особенное внимание со стороны преступников, так как в Российском законодательстве отсутствует ответственность за осуществление неправомерного доступа к информации, содержащей ПДн.

Целью законопроекта является конкретизация объекта преступного посягательства – компьютерной информации, содержащей ПДн и введение уголовной ответственности за незаконный сбор, хранение, использование и передачу ПДн, полученных путем неправомерного доступа к средствам хранения, обработки или передачи ПДн злоумышленниками.

Ожидаемыми последствиями от внесения изменений в законодательство является возможность эффективного привлечения к уголовной ответственности злоумышленников, совершающих преступления в сфере ПДн, а также реализация превентивных механизмов уголовного права, что позволит предотвратить многие преступления в данной сфере.

Планируемые к внедрению законопроекты направлены на обеспечение защиты ПДн граждан РФ как со стороны операторов, предъявляя к ним жесткие штрафы в случае нарушения правомерности защиты и обработки ПДн, так и со стороны преступных элементов, которые желают обогатиться или нанести ущерб гражданам РФ за счет использования ПДн, полученных незаконным путем.

Подписывайтесь на канал ИТ. Право. Безопасность в Telegram

Телеграм канал ИТ Право Безопасность

Задать вопрос эксперту

    Связанные услуги