Установлены новые санкции при нарушениях в работе с персональными данными
30 ноября Президентом РФ подписаны два федеральных закона, которые усилят ответственность за нарушения при работе с персональными данными: Федеральный закон № 421-ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации" и Федеральный закон № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»
Так, за неправомерную передачу персональных данных штраф для юридических лиц составит:
-
за утечку данных от 1 тыс. до 10 тыс. субъектов персональных данных – от 3 млн до 5 млн руб.;
-
за утечку данных 10–100 тыс. субъектов – от 5 млн. до 10 млн руб.;
-
за утечку данных более 100 тыс. субъектов – от 10 млн. до 15 млн руб.
За повторное нарушение предусмотрены санкции в виде оборотных штрафов – от 1 до 3 процентов от суммы выручки за предшествующий календарный год, но не менее 20 млн и не более 500 млн руб.
Кроме того, оштрафуют работодателей, которые не уведомили Роскомнадзор о намерении осуществлять обработку персональных данных и о случаях утечки персональных данных. Для этого статью 13.11 КоАП дополнили новыми составами правонарушений.
Такие меры соотнесут размеры штрафов с возможными последствиями от незаконных утечек.
Кроме того, в УК внесли новую статью, которая предусматривает наказание за незаконный сбор, хранение и передачу компьютерной информации с персональными данными – штраф до 300 тыс. руб. или в сумме зарплаты за период до одного года либо принудительные работы или лишение свободы на срок до 4 лет.
С подробной информацию о поправках, внесенных в КоАП и УК, можно ознакомиться в таблице:
Нарушение | Штраф для граждан | Штраф для должностных лиц | Штраф для работодателей | Статья КоАП |
---|---|---|---|---|
Обработка персональных данных в случаях, не предусмотренных законодательством, либо не совместимая с целями их сбора (кроме случаев, предусмотренных ч. 2 ст. 13.11 и ст. 17.13 КоАП) | 10–15 тыс. руб. | 50–100 тыс. руб. | 150–300 тыс. руб. | ч. 1 ст. 13.11 |
Повторное правонарушение, предусмотренное ч. 1 ст. 13.11 | 15–30 тыс. руб. | 100–200 тыс. руб. | 300–500 тыс. руб. (для ИП – 100–200 тыс. руб.) | абз. 2 ч. 1.1 ст. 13.11 |
Новые составы статьи 13.11 КоАП (вступает в действие с 30.05.2025г.) | ||||
Невыполнение и (или) несвоевременное уведомление уполномоченного органа | 5–10 тыс. руб. | 30–50 тыс. руб. | 100–300 тыс. руб. | ч. 10 ст. 13.11 |
Невыполнение и (или) несвоевременное уведомление уполномоченного органа об утечке данных | 50–100 тыс. руб. | 400–800 тыс. руб. | 1–3 млн руб. | ч. 11 ст. 13.11 |
Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные, если нет признаков уголовно наказуемого деяния | ||||
От 1 тыс. до 10 тыс. субъектов и (или) от 10 тыс. до 100 тыс. идентификаторов | 100–200 тыс. руб. | 200–400 тыс. руб. | 3–5 млн руб. | ч. 12 ст. 13.11 |
От 10 тыс. до 100 тыс. субъектов и (или) от 100 тыс. до 1 млн идентификаторов | 200–300 тыс. руб. | 300–500 тыс. руб. | 5–10 млн руб. | ч. 13 ст. 13.11 |
Более 100 тыс. субъектов и (или) более 1 млн идентификаторов | 300–400 тыс. руб. | 400–600 тыс. руб. | 10–15 млн руб. | ч. 14 ст. 13.11 |
Повторное совершение правонарушения, предусмотренного ч. 12–14 ст. 13.11 | 400–600 тыс. руб. | 800 тыс. – 1 млн 200 тыс. руб. | 1–3% от суммы выручки за предшествующий календарный год, но не менее 20 млн и не более 500 млн руб. | ч. 15 ст. 13.11 |
Неправомерная передача специальных персональных данных из-за действий (бездействия) оператора | 300–400 тыс. руб. | 1 млн – 1 млн 300 тыс. руб. | 10–15 млн руб. | ч. 16 ст. 13.11 |
Неправомерная передача биометрических персональных данных из-за действий (бездействия) оператора | 400–500 тыс. руб. | 1 млн 300 тыс. – 1 млн 500 тыс. руб. | 15–20 млн руб. | ч. 17 ст. 13.11 |
Повторное совершение правонарушения, предусмотренного ч. 16, 17 ст. 13.11 | 500–800 тыс. руб. | 1 млн 500 тыс. – 2 млн руб. | 1–3% суммы выручки за предшествующий календарный год, но не менее 25 млн и не более 500 млн руб. | ч. 18 ст. 13.11 |
Нарушение требований в области размещения и обработки биометрических персональных данных в информационных системах | ||||
Нарушение порядка обработки биометрических персональных данных в единой биометрической системе, в иных информационных системах либо требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных | - | 100–300 тыс. руб. | 500 тыс. – 1 млн руб. | ч. 2 ст. 13.11.3 |
Непринятие организационных и технических мер по обеспечению безопасности биометрических персональных данных при их обработке в единой биометрической системе и иных информационных системах | - | 300–500 тыс. руб. | 1 млн – 1 млн 500 тыс. руб. | ч. 3 ст. 13.11.3 |
Обработка биометрических персональных данных в информационных системах без аккредитации либо в случае, если аккредитация приостановлена или прекращена | - | 500 тыс. – 1 млн руб. | 1–2 млн руб. | ч. 4 ст. 13.11.3 |
Новая статья 272 УК (ступает в действие с 11.12.2024г.) | ||||
Незаконный сбор, хранение или передача компьютерной информации с персональными данными | - | штраф до 300 тыс. руб. или в размере зарплаты за период до 1 года либо принудительные работы или лишение свободы на срок до 4 лет | ч. 1 ст. 272 | |
Незаконный сбор, хранение или передача компьютерной информации с персональными данными несовершеннолетних или лиц специальных категорий или биометрическими данными | - | штраф до 700 тыс. руб. или в размере зарплаты за период до 2 лет с лишением права занимать определенные должности до 2 лет либо принудительные работы или лишение свободы на срок до 5 лет | ч. 2 ст. 272 | |
Те же деяния по ч. 1 и 2, которые совершили из корысти, с причинением крупного ущерба, по сговору группой лиц или с использованием служебного положения | - | штраф до 1 млн руб. или в размере зарплаты за период до 3 лет с лишением права занимать определенные должности до 3 лет, либо принудительные работы сроком до 5 лет и штраф до 1 млн руб., либо лишение свободы на срок до 6 лет и штраф до 1 млн руб. | ч. 3 ст. 272 | |
Те же деяния по ч. 1–3, которые сопряжены с трансграничной передачей | - | лишение свободы на срок до 8 лет и штраф до 2 млн руб. с лишением права занимать определенные должности до 4 лет | ч. 4 ст. 272 | |
Те же деяния по ч. 1–4, если они повлекли тяжкие последствия либо их совершила группа лиц | - | лишение свободы на срок до 10 лет и штраф до 3 млн руб. с лишением права занимать определенные должности до 5 лет | ч. 5 ст. 272 | |
Создание или обеспечение информационных ресурсов для незаконного хранения или передачи компьютерной информации с персональными данными | - | штраф до 700 тыс. руб. или в размере зарплаты за период до 2 лет с лишением права занимать определенные должности до 2 лет, либо принудительные работы сроком до 5 лет и штраф до 700 тыс. руб., либо лишение свободы на срок до 5 лет и штраф до 700 тыс. руб. | ч. 6 ст. 272 |
Поправки начнут действовать в разные сроки: в КоАП – с 30 мая 2025 года, в УК – с 11 декабря 2024 года.
Источник: Федеральные законы от 30.11.2024г. № 420-ФЗ, № 421-ФЗ.
Информация об изменении страницы: 25.12.2024 19:20:18, Эксперт Эксперт