Ответственность за утечку персональных данных: изменения в законодательстве и новые штрафы с 2025 года

30 ноября 2024 года был подписан закон № 420-ФЗ, усиливающий ответственность за утечку персональных данных. Он вступит в силу 30 мая 2025 года. Одновременно, с 11 декабря 2024 года начала действовать статья 272.1 УК РФ, предусматривающая наказания за незаконное использование и обработку персональных данных. Эти изменения усиливают контроль за соблюдением законодательства и предполагают серьезные последствия для операторов данных. Подробнее с новыми мерами ответственности разбираемся в статье.

Основные положения закона № 420-ФЗ: ответственность операторов данных и новые штрафы

С начала действия изменения операторы персональных данных будут нести ответственность за действия или бездействие, повлекшие незаконную передачу данных. Закон охватывает не только случаи, когда данные становятся общедоступными, но и ситуации, когда они передаются ограниченному кругу лиц.

Важно отметить, что ответственность будет наступать только за преднамеренные или неправомерные действия оператора, по общему правилу исключая случайные утечки.

Штрафы будут варьироваться в зависимости от:

• количества утекших данных;
• категорий переданных данных (например, специальные или биометрические данные);
• наличия предыдущих штрафов за аналогичные нарушения. Важно отметить, что штрафы за биометрические данные имеют особую значимость, поскольку их неправомерное распространение может повлечь за собой максимальные санкции.

В случае утечки данных, затронувшей от 1 тыс. до 10 тыс. человек, гражданам грозит штраф от 100 тыс. до 200 тыс. рублей, должностным лицам — от 200 тыс. до 400 тыс. рублей, а организациям — от 3 до 5 млн рублей. Если утечка затронет более 100 тыс. граждан и/или более 1 млн человек, либо будет касаться данных специальной категории, штрафы могут достигать 15 млн рублей.

Для операторов, которые многократно допускают утечки больших объемов персональных данных, предусмотрены самые серьезные санкции — оборотные штрафы. За повторные правонарушения после административного наказания компании могут быть оштрафованы на сумму от 1 до 3 процентов годовой выручки, при этом минимальный размер штрафа составит 25 млн, а максимальный — 500 млн рублей.

Штрафы за неуведомление Роскомнадзора: что нужно знать операторам данных

Начиная с 30 мая 2025 года, операторам будет грозить штраф за несообщение Роскомнадзору о:

• факте утечки данных - от 1 млн до 3 млн рублей для компаний, 400-800 тыс. руб - должностным лицам НКО. Уведомление об утечке данных должно быть своевременным, чтобы избежать дополнительных санкций;
• намерении обрабатывать персональные данные (100-300 тыс. рублей для компаний).

Кроме того, несвоевременное уведомление о таких инцидентах также повлечёт за собой административную ответственность. Это нововведение призвано повысить прозрачность и своевременность реагирования на утечки.

Уголовная ответственность за незаконное использование персональных данных: статья 272.1 УК РФ

С 11 декабря 2024 года вступает в силу статья 272.1 УК РФ, устанавливающая уголовную ответственность за:

• незаконное использование и/или передачу (распространение, предоставление, предоставление доступа) персональных данных;
• сбор и/или хранение компьютерной информации, содержащей персональные данные, полученной незаконно;
• создание и/или функционирование информационных ресурсов, предназначенных для незаконного хранения и/или распространения персональных данных.

Ответственность будет распространяться на утечку всех видов информации, обрабатываемой в информационных системах операторов, включая уникальные идентификаторы пользователей. Это добавляет новый уровень регулирования, направленный на предотвращение и пресечение злоупотреблений в области обработки данных.

Самые строгие уголовные санкции последуют за преступления, совершенные организованной группой. За это возможно получить лишение свободы до 10 лет со штрафами до 3 млн руб.

Как снизить ответственность за утечку данных: меры и условия для компаний

Законодатель предусмотрел возможность снижения оборотного штрафа до 0,1% годового дохода (но не менее 15 и не более 50 млн рублей) при одновременном выполнении трёх условий:

1. Расходы на обеспечение информационной безопасности составляют не менее 0,1% годового дохода за последние три года.
2. Компания документально подтвердила соответствие требованиям безопасности, включая использование сертифицированных средств защиты информации.
3. Отсутствие отягчающих обстоятельств, таких как повторные нарушения или игнорирование требований уполномоченных органов.

Важно также уведомить Роскомнадзор об утечке данных в течение 24 часов после её выявления. Невыполнение этого требования теперь само по себе является отдельным составом административного правонарушения.

Рекомендации для операторов данных от экспертов КГ "Альпийский ветер"

Чтобы избежать крупных штрафов и других последствий, компаниям рекомендуется:

1. Провести аудит персональных данных для выявления уязвимостей и анализа текущих процессов обработки.
2. Организовать обучение сотрудников по защите данных, включая тренинги по реагированию на утечки.
3. Подписать договоры с провайдерами, обрабатывающими данные, в соответствии с требованиями законодательства и учитывать их обязательства по безопасности.
4. Убедиться в своевременной подаче уведомлений в Роскомнадзор, включая сообщения о фактах утечек или изменении намерений обработки данных.

Эти шаги помогут минимизировать риски и обеспечить соответствие новым законодательным требованиям. Но главный шаг - корректно составленные документы. Наши эксперты разрабатывают документы для защиты персональных данных с учетом специфики деятельности компании. Если вам нужны универсальные документы - получите готовые образцы.