Новые наказания за незаконную обработку персональных данных: штрафы до 500 млн рублей и уголовные сроки

Оборотные штрафы за утечку персональных данных

Федеральный закон от 30.11.2024 №420-ФЗ, вступающий в силу с 30 мая 2025 года, установил для организаций и ИП «оборотные» штрафы за утечку персональных данных граждан. Под оборотными закон понимает штрафы, точный размер которых не установлен и зависит только от выручки компании-нарушителя за какой-либо период времени, а под утечкой персональных данных – их неправомерную передачу (предоставление, распространение, доступ) третьим лицам.

Напомним, сейчас специальных штрафов за утечку персональных данных законодательством не установлено, и за данные нарушения штрафуют по ч.2 ст.13.11 КоАП РФ как за обработку данных без письменного согласия физлиц. Максимальные штрафы для компаний при этом составляют 700 000 рублей, а для физлиц – 15 000 рублей.

В целях установления повышенных штрафов за утечку данных действующая ст.13.11 КоАП РФ была дополнена частями 12–18, содержащими новые составы административных правонарушений в области персональных данных. 

В соответствии с новой ч.12 ст.13.11 КоАП РФ любые действия или бездействие оператора персональных данных (все компании и физлица, осуществляющие обработку данных), повлекшие неправомерную передачу третьим лицам персональных данных граждан численностью от 1 до 10 тысячи человек повлекут наложение административных штрафов в размере:

• от 100 000 до 200 000 рублей – для физлиц;
• от 200 000 до 400 000 рублей – для должностных лиц;
• от 3 млн до 5 млн рублей – для организаций и ИП.

Утечка персональных данных свыше 10 тысяч, но не более 100 тысяч человек, будет грозить штрафами (новая ч.13 ст.13.11 КоАП РФ):

• от 200 000 до 300 000 рублей – для физлиц;
• от 300 000 до 500 000 рублей – для должностных лиц;
• от 5 млн до 10 млн рублей – для организаций и ИП.

Утечка персональных данных более 100 тысяч человек станет наказываться штрафами в размере (новая ч.14 ст.13.11 КоАП РФ):

• от 300 000 до 400 000 рублей – для физлиц;
• от 400 000 до 600 000 рублей – для должностных лиц;
• от 10 млн до 15 млн рублей – для организаций и ИП.

За повторное совершение вышеперечисленных нарушений последуют уже оборотные административные штрафы (в зависимости от размера выручки компаний). Так, совершение действия или бездействия, которые повлекут повторную утечку персональных данных повлечет наложение штрафов в размере (новая ч.15 ст.13.11 КоАП РФ):

• от 400 000 до 600 000 рублей – для физлиц;
• от 800 000 до 1,2 млн рублей – для должностных лиц;
• от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение, – для организаций и ИП.

Если в предыдущем году у организации или ИП не было выручки, то им за повторную утечку персональных данных придется заплатить штраф в минимальном размере, который составит 20 млн рублей. Максимальный же размер оборотного штрафа за повторную утечку персональных данных будет составлять 500 млн рублей.

Повышенными штрафами станет наказываться утечка биометрических персональных данных (отпечатки пальцев, фотографии лиц, структура сетчатки глаза, запись голоса и т.д.). Штрафы за неправомерную передачу третьим лицам таких данных станут назначаться в размере (новая ч.17 ст.13.11 КоАП РФ):

• от 400 000 до 500 000 – для физлиц;
• от 1,3 до 1,5 млн рублей – для должностных лиц;
• от 15 млн до 20 млн рублей – для организаций и ИП.

Повторная утечка биометрических данных повлечет наложение штрафов в размере (новая ч.18 ст.13.11 КоАП РФ):

• от 500 000 до 800 000 рублей – для физлиц;
• от 1,5 млн до 2 млн рублей – для должностных лиц;
• от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение. Минимальный штраф за повторную утечку биометрических данных составит 25 млн рублей, а максимальный – 500 млн рублей.

Все перечисленные штрафы начнут применяться начиная с 30 мая 2025 года. Одновременно с этим будут повышены и уже существующие штрафы за непредставление уведомлений в Роскомнадзор.

Новые штрафы за неподачу уведомлений в Роскомнадзор

С 30 мая 2025 года для организаций, ИП и их должностных лиц будут повышены действующие штрафы за непредставление и несвоевременное представление в Роскомнадзор  обязательных уведомлений. 

Напомним, сейчас любая компания и даже самозанятый, которые планируют начать обработку персональных данных физлиц, обязаны направить в Роскомнадзор соответствующее уведомление. Уведомление требуется направить до начала обработки персональных данных по форме, утв. приказом Роскомнадзора от 28.10.2022 №180. Непредставление такого уведомления грозит компаниям штрафами в размере от 3 000 до 5 000 рублей по ст.19.7 КоАП РФ.

По новым правилам несдача такого уведомления станет наказываться уже по новой ч.10 ст.13.11 КоАП РФ. Штрафы за данное нарушение составят:

• от 5 000 до 10 000 рублей – для физлиц;
• от 30 000 до 50 000 рублей – для должностных лиц;
• от 100 000 до 300 000 рублей – для организаций и ИП.

Также будут увеличены и штрафы за непредставление в Роскомнадзор уведомлений об утечке персональных данных, которые компании должны направлять в ведомство в течение 24 часов с момента такой утечки (ч.3.1 ст.21 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»). За несдачу таких уведомлений компании сейчас также штрафуют по ст.19.7 КоАП РФ на сумму от 3 000 до 5 000 рублей.

С 30 мая 2024 года штрафы за непредставление в Роскомнадзор уведомлений об утечке персональных данных станут назначать в размере (новая ч.11 ст.13.11 КоАП РФ):

• от 50 000 до 100 000 рублей – для физлиц;
• от 400 000 до 800 000 рублей – для должностных лиц;
• от 1 млн до 3 млн рублей – для организаций и ИП.

Уголовная ответственность за утечку персональных данных

Федеральный закон от 30.11.2024 №421-ФЗ, вступающий в силу с 11 декабря 2024 года, установил уголовную ответственность за сбор, использование и передачу компьютерной информации, содержащей персональные данные, полученной любым незаконным путем. В этих целях закон дополнил УК РФ новой статьей 272.1 «Незаконные использование, передача, сбор и хранение компьютерной информации, содержащей персональные данные, а равно создание информационных ресурсов, предназначенных для ее хранения или распространения». Данные деяния станут грозить одним из следующих уголовных наказаний:

• штрафом в размере до 300 000 рублей;
• принудительными работами на срок до 4 лет;
• лишением свободы на срок до 4 лет.

Незаконное получение или распространение компьютерной информации, содержащей персональные данные несовершеннолетних лиц или биометрические персональные данные, станет наказываться штрафом в размере до 700 000 рублей либо лишением свободы на срок до 5 лет.

Лишением свободы на срок до 6 лет со штрафом в размере до 1 млн рублей будут наказывать незаконное получение или распространение компьютерной информации, содержащей персональные данные, совершенные (ч.3 ст.272.1 УК РФ):

• из корыстной заинтересованности;
• с причинением крупного ущерба;
• группой лиц по предварительному сговору;
• с использованием своего служебного положения.

Если похищенная компьютерная информация с персональными данными будет передаваться на территории иностранных государств, то это станет грозить лишением свободы на срок до 8 лет со штрафом в размере до 2 млн рублей (ч.4 ст.272.1 УК РФ).

Создание интернет-сайтов, предназначенных для хранения и передачи компьютерной информации, содержащей персональные данные, полученной незаконным путем, станут наказывать штрафом в размере до 700 000 рублей либо лишением свободы на срок до 5 лет (ч.6 ст.272.1 УК РФ).

При этом в примечании к новой статье УК РФ специально оговаривается, что ее действие не будет распространяться на случаи обработки персональных данных физическими лицами исключительно для личных и семейных нужд.

В материале использованы фото: Thapana_Studio / Shutterstock / Fotodom.