Основные положения закона № 420-ФЗ: ответственность операторов данных и новые штрафы
С начала действия изменения операторы персональных данных будут нести ответственность за действия или бездействие, повлекшие незаконную передачу данных. Закон охватывает не только случаи, когда данные становятся общедоступными, но и ситуации, когда они передаются ограниченному кругу лиц.Важно отметить, что ответственность будет наступать только за преднамеренные или неправомерные действия оператора, по общему правилу исключая случайные утечки.
Штрафы будут варьироваться в зависимости от:
- количества утекших данных;
- категорий переданных данных (например, специальные или биометрические данные);
- наличия предыдущих штрафов за аналогичные нарушения. Важно отметить, что штрафы за биометрические данные имеют особую значимость, поскольку их неправомерное распространение может повлечь за собой максимальные санкции.
Для операторов, которые многократно допускают утечки больших объемов персональных данных, предусмотрены самые серьезные санкции — оборотные штрафы. За повторные правонарушения после административного наказания компании могут быть оштрафованы на сумму от 1 до 3 процентов годовой выручки, при этом минимальный размер штрафа составит 25 млн, а максимальный — 500 млн рублей.
Штрафы за неуведомление Роскомнадзора: что нужно знать операторам данных
Начиная с 30 мая 2025 года, операторам будет грозить штраф за несообщение Роскомнадзору о:- факте утечки данных - от 1 млн до 3 млн рублей для компаний, 400-800 тыс. руб - должностным лицам НКО. Уведомление об утечке данных должно быть своевременным, чтобы избежать дополнительных санкций;
- намерении обрабатывать персональные данные (100-300 тыс. рублей для компаний).
Уголовная ответственность за незаконное использование персональных данных: статья 272.1 УК РФ
С 11 декабря 2024 года вступает в силу статья 272.1 УК РФ, устанавливающая уголовную ответственность за:- незаконное использование и/или передачу (распространение, предоставление, предоставление доступа) персональных данных;
- сбор и/или хранение компьютерной информации, содержащей персональные данные, полученной незаконно;
- создание и/или функционирование информационных ресурсов, предназначенных для незаконного хранения и/или распространения персональных данных.
Самые строгие уголовные санкции последуют за преступления, совершенные организованной группой. За это возможно получить лишение свободы до 10 лет со штрафами до 3 млн руб.
Как снизить ответственность за утечку данных: меры и условия для компаний
Законодатель предусмотрел возможность снижения оборотного штрафа до 0,1% годового дохода (но не менее 15 и не более 50 млн рублей) при одновременном выполнении трёх условий:- Расходы на обеспечение информационной безопасности составляют не менее 0,1% годового дохода за последние три года.
- Компания документально подтвердила соответствие требованиям безопасности, включая использование сертифицированных средств защиты информации.
- Отсутствие отягчающих обстоятельств, таких как повторные нарушения или игнорирование требований уполномоченных органов.
Рекомендации для операторов данных от экспертов КГ "Альпийский ветер"
Чтобы избежать крупных штрафов и других последствий, компаниям рекомендуется:- Провести аудит персональных данных для выявления уязвимостей и анализа текущих процессов обработки.
- Организовать обучение сотрудников по защите данных, включая тренинги по реагированию на утечки.
- Подписать договоры с провайдерами, обрабатывающими данные, в соответствии с требованиями законодательства и учитывать их обязательства по безопасности.
- Убедиться в своевременной подаче уведомлений в Роскомнадзор, включая сообщения о фактах утечек или изменении намерений обработки данных.