en

Новости

  • Новости
  • События
  • Как изменится ответственность для бизнеса за утечку персональных данных: разбираем новые поправки
05 Декабря 2024
События

Как изменится ответственность для бизнеса за утечку персональных данных: разбираем новые поправки

Предприниматели будут уделять больше внимания информационной безопасности. Президент России Владимир Путин подписал законы, ужесточающие наказание за утечку персональных данных. Теперь это может повлечь за собой не только финансовые потери, но и уголовную ответственность. Поправки в Кодекс об административных правонарушениях, закрепляющие новые штрафы за незаконную передачу сведений начнут действовать с 30 мая 2025 года, а уголовная ответственность для тех, кто стоит за утечками, вводится уже с 11 декабря текущего года. Работа над поправками велась в течение года, в законопроекты вносились изменения: «ОПОРА РОССИИ» боролась за снижение штрафов для бизнеса и предлагала отложить вступление поправок до 2026 года. В статье рассказываем, какие в итоге последствия ждут предпринимателей за нарушения в работе с персданными.

На сколько повысят штрафы?

С 30 мая 2025 года вырастут штрафы за неправомерную обработку персональных данных либо если такая обработка несовместима с целями их сбора (часть 1. ст. 13.11 КоАП).

Штрафы сейчас

Штрафы с 30 мая 2025 года

первичное нарушение
  • для граждан — от 2 тысяч
    до 6 тысяч руб.;
  • для должностных лиц — от 10 тысяч
    до 20 тысяч руб.;
  • для юридических лиц — от 60 тысяч
    до 100 тысяч руб.
  • для граждан — от 10 тысяч
    до 15 тысяч руб.;
  • для должностных лиц — от 50 тысяч
    до 100 тысяч руб.;
  • для юридических лиц — от 150 тысяч
    до 300 тысяч руб.

повторное нарушение
  • для граждан — от 4 тысяч
    до 12 тысяч руб.;
  • для должностных лиц — от 20 тысяч
    до 50 тысяч руб.;
  • для ИП от 50 тысяч до 100 тысяч руб.;
  • для юридических лиц — от 100 тысяч
    до 300 тыс. руб.
  • для граждан — от 15 тысяч
    до 30 тысяч руб.;
  • для должностных лиц — от 100 тысяч
    до 200 тысяч руб.;
  • для юридических лиц — от 300 тысяч
    до 500 тысяч руб.

Какая предусмотрена ответственность за утечку данных?

Сейчас размер штрафа за утечку персональных данных для компаний достигает 100 тысяч руб., а при повторном нарушении — 300 тысяч руб. (ст. 13.11 КоАП). С 30 мая 2025 года штраф за утечку баз данных с личными сведениями будет напрямую зависеть от объема попавшей в общий доступ персональной информации.

За компрометацию данных от 1 000 до 10 тысяч человек или от 10 тысяч до 100 тысяч уникальных идентификаторов, которые позволяют однозначно определить гражданина, размер штрафа составит:

  • для граждан – от 100 тысяч до 200 тысяч руб.;
  • для должностных лиц – от 200 тысяч до 400 тысяч руб.;
  • для компаний – от 3 млн до 5 млн руб.

За более масштабные происшествия санкции возрастают. Так, за утечку данных более 100 тысяч человек или 1 млн идентификаторов, гражданам грозит штраф в размере от 300 тысяч до 400 тысяч руб.; должностным лицам — от 400 тысяч до 600 тысяч руб.; компаниям – от 10 млн до 15 млн руб.

Какие санкции будут за повторные нарушения?

За неправомерную передачу особо важной информации, например, биометрических персональных данных или специальной категории персданных, при условии, что бизнес ранее уже допускал нарушения по работе с персдаными, будут действовать оборотные штрафы. Для предпринимателей и компаний, кроме НКО, они составят от 1 до 3% от выручки, полученной за год, предшествующий году, в котором выявлено нарушение. При этом есть пороги для штрафа: он должен быть не менее 20 млн и не более 500 млн рублей.

Как уменьшить сумму штрафа?

Предприниматели могут рассчитывать, что штраф за повторное нарушение снизят при следующих условиях:

  1. инвестиции бизнеса в информационную безопасность на протяжении трех лет были не менее 0,1% от выручки;
  2. бизнес соблюдал требования к защите данных.

В таком случае сумма штрафа составит 1/10 минимального штрафа, но не менее 15 млн руб. и не более 50 млн руб.

Какие вводят новые штрафы?

При утечке персональных данных операторы должны в течение 24 часов уведомить Роскомнадзор об инциденте. В сообщении нужно указать предполагаемую причину утечки, оценить вред и рассказать, что оператор предпринял для устранения проблемы. В течение 72 часов после утечки нужно отправить еще одно сообщение — с результатами внутреннего расследования происшествия. За несообщение в Роскомнадзор об утечке или несвоевременную передачу сведений в ведомство с 30 мая 2025 года вводят штраф:

  • должностным лицам государственного или муниципального органа либо НКО – от 400 тыс. до 800 тыс. руб.;
  • ИП и компаниям – от 1 млн до 3 млн руб.

Другой штраф предусмотрен, если не уведомить Роскомнадзор о намерении обрабатывать личную информацию:

  • должностным лицам государственного или муниципального органа либо НКО – от 30 тыс. до 50 тыс. руб.;
  • ИП и компаниям – от 100 тыс. до 300 тыс. руб.

За что предусмотрена уголовная ответственность?

В Уголовный кодекс вводится новая статья 272.1, в которой предусмотрена ответственность за:

  • незаконные использование или передачу персональных данных;
  • сбор или хранение полученной незаконно компьютерной информации, содержащей персональные данные;
  • создание или функционирование информационных ресурсов, предназначенных для незаконного хранения или распространения персональных данных.

Если преступление повлекло тяжкие последствия либо совершено организованной группой, то за него предусмотрено максимальное наказание в виде лишения свободы на срок до десяти лет со штрафом в размере до трех млн рублей.

Также к уголовной ответственности будут привлекаться граждане, которые:

  • нелегально передают базы данных иностранным организациям или государственным структурам;
  • вывозят незаконно полученные данные за пределы РФ на любых электронных носителях.

При этом использование персональных данных в личных или семейных целях при соблюдении закона под уголовное преследование не подпадает.

Фото: Freepik

Подпишитесь на Telegram-канал
«ОПОРЫ РОССИИ»