30 ноября были приняты поправки в кодекс об административных правонарушениях и уголовный кодекс, ужесточающие ответственность за неуведомление Роскомнадзора о начале обработки персональных данных, обработку персональных данных в непредусмотренных законом случаях и утечки персональных данных: теперь некорректные действия в сфере ПД грозят штрафами до 500 млн руб. и лишением свободы на срок до 5 лет. Эксперты Acsour рассмотрели нововведения и рассказали о главных изменениях.
Неуведомление Роскомнадзора о начале обработки ПД и увеличение штрафа за обработку ПД в непредусмотренных законом случаях
В КоАП РФ появилась отдельная часть (часть 10 ст. 13.11КоАП), устанавливающая штраф за неуведомление Роскомнадзора о начале обработки персональных данных. Согласно нововведению, теперь в отношении юридических лиц штраф составит — от 100 тыс. до 300 тыс. руб.
Более того, законодатель увеличил штраф за обработку персональных данных в непредусмотренных законом случаях. В отношении юридических лиц штраф составит — от 150 тыс. до 300 тыс. руб., а за повторное нарушение — от 300 тыс. до 500 тыс. руб.
Оборотные штрафы за утечку персональных данных
30 ноября 2024 года был принят Федеральный закон от 30.11.2024 N 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Нововведение существенно увеличило размер штрафов за утечки персональных данных.
Новые штрафы начнут действовать с 30.05.25 года.
Ознакомиться с новым размерами штрафов вы можете в таблице.
Неуведомление Роскомнадзора о начале обработки ПД и увеличение штрафа за обработку ПД в непредусмотренных законом случаях
В КоАП РФ появилась отдельная часть (часть 10 ст. 13.11КоАП), устанавливающая штраф за неуведомление Роскомнадзора о начале обработки персональных данных. Согласно нововведению, теперь в отношении юридических лиц штраф составит — от 100 тыс. до 300 тыс. руб.
Более того, законодатель увеличил штраф за обработку персональных данных в непредусмотренных законом случаях. В отношении юридических лиц штраф составит — от 150 тыс. до 300 тыс. руб., а за повторное нарушение — от 300 тыс. до 500 тыс. руб.
Оборотные штрафы за утечку персональных данных
30 ноября 2024 года был принят Федеральный закон от 30.11.2024 N 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Нововведение существенно увеличило размер штрафов за утечки персональных данных.
Новые штрафы начнут действовать с 30.05.25 года.
Ознакомиться с новым размерами штрафов вы можете в таблице.
Эксперты Acsour обращают внимание на то, что ужесточения законопроекта стало реакцией на 110 случаев утечки данных, которые были выявлены за девять месяцев 2024 года.
Уголовная ответственность за незаконную передачу персональных данных
Другим существенным нововведением в сфере хранения, обработки и передачи персональных данных стало введение в Уголовный кодекс РФ статьи 272.1, согласно которой устанавливается уголовная ответственность за преступления в сфере использования компьютерной информации о персональных данных.
Изменения вступили в силу 11 декабря 2024 года.
Ознакомиться с нововведениями и уголовной ответственностью за нарушения можно ниже.
1.Незаконное использование, передача (распространение, предоставление, доступ), сбор и хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо другим незаконным путем (за исключением деяний, предусмотренных ч. 2 ст. 272.1 УК РФ), наказывается:
2.Аналогичные деяния, совершенные в отношении компьютерной информации, которая содержит персональные данные несовершеннолетних лиц, специальные категории персональных данных или биометрические персональные данные, наказываются (ч. 2 ст. 272.1 УК РФ):
3.Деяния, предусмотренные ч. 1 или ч. 2 ст. 272.1 УК РФ, совершенные из корыстной заинтересованности, с причинением крупного ущерба, группой лиц по предварительному сговору, с использованием своего служебного положения, наказываются (ч. 3 ст. 272.1 УК РФ):
4.Деяния, предусмотренные ч. 1, 2 или ч. 3 ст. 272.1 УК РФ, которые связаны с трансграничной передачей компьютерной информации, содержащей персональные данные, или трансграничным перемещением носителей информации, содержащих такие данные, наказываются (ч. 4 ст. 272.1 УК РФ):
Эксперты Acsour напоминают, что трансграничное перемещение носителей, содержащих компьютерную информацию — это совершение действий по ввозу на территорию России и вывозу с ее территории машиночитаемого носителя информации, на котором хранится такая информация.
1.Деяния, предусмотренные ч. 1, 2, 3 или ч. 4 ст. 272.1 УК РФ, если они повлекли тяжкие последствия либо совершены организованной группой, наказываются (ч. 5 ст. 272.1 УК РФ):
2.Создание и обеспечение работы сайта в интернете, информационной системы, компьютерной программы, предназначенных для незаконных хранения, передачи компьютерной информации, содержащей персональные данные, полученной незаконным путем, наказываются (ч. 6 ст. 272.1 УК РФ):
Изменения в сфере обработки персональных данных как обеспечивают новый уровень защиты, так и создают ряд испытаний для операторов: теперь некорректные действия могут привести к существенным финансовым и репутационным потерям. Одним из первых шагов для предотвращения негативных последствий является аудит системы обработки персональных данных в вашей компании.
Пройдите бесплатный экспресс-аудит от экспертов Acsour и сделайте первый шаг к снижению рисков по выявлению нарушений в сфере персональных данных.
Уголовная ответственность за незаконную передачу персональных данных
Другим существенным нововведением в сфере хранения, обработки и передачи персональных данных стало введение в Уголовный кодекс РФ статьи 272.1, согласно которой устанавливается уголовная ответственность за преступления в сфере использования компьютерной информации о персональных данных.
Изменения вступили в силу 11 декабря 2024 года.
Ознакомиться с нововведениями и уголовной ответственностью за нарушения можно ниже.
1.Незаконное использование, передача (распространение, предоставление, доступ), сбор и хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо другим незаконным путем (за исключением деяний, предусмотренных ч. 2 ст. 272.1 УК РФ), наказывается:
- штрафом в размере до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период до 1 года
- либо принудительными работами на срок до 4 лет,
- либо лишением свободы на срок до 4 лет.
2.Аналогичные деяния, совершенные в отношении компьютерной информации, которая содержит персональные данные несовершеннолетних лиц, специальные категории персональных данных или биометрические персональные данные, наказываются (ч. 2 ст. 272.1 УК РФ):
- штрафом в размере до 700 000 руб. или в размере заработной платы или иного дохода осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового
- либо принудительными работами на срок до 5 лет,
- либо лишением свободы на срок до 5 лет.
3.Деяния, предусмотренные ч. 1 или ч. 2 ст. 272.1 УК РФ, совершенные из корыстной заинтересованности, с причинением крупного ущерба, группой лиц по предварительному сговору, с использованием своего служебного положения, наказываются (ч. 3 ст. 272.1 УК РФ):
- штрафом в размере до 1 млн руб. или в размере заработной платы или иного дохода осужденного за период до 3 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового
- либо принудительными работами на срок до 5 лет со штрафом в размере до 1 млн руб. или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового,
- либо лишением свободы на срок до 6 лет со штрафом в размере до 1 млн руб. или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового.
4.Деяния, предусмотренные ч. 1, 2 или ч. 3 ст. 272.1 УК РФ, которые связаны с трансграничной передачей компьютерной информации, содержащей персональные данные, или трансграничным перемещением носителей информации, содержащих такие данные, наказываются (ч. 4 ст. 272.1 УК РФ):
- лишением свободы на срок до 8 лет со штрафом в размере до 2 млн руб. или в размере заработной платы или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 4 лет или без такового.
Эксперты Acsour напоминают, что трансграничное перемещение носителей, содержащих компьютерную информацию — это совершение действий по ввозу на территорию России и вывозу с ее территории машиночитаемого носителя информации, на котором хранится такая информация.
1.Деяния, предусмотренные ч. 1, 2, 3 или ч. 4 ст. 272.1 УК РФ, если они повлекли тяжкие последствия либо совершены организованной группой, наказываются (ч. 5 ст. 272.1 УК РФ):
- лишением свободы на срок до 10 лет со штрафом в размере до 3 млн руб. или в размере заработной платы или иного дохода осужденного за период до 4 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового.
2.Создание и обеспечение работы сайта в интернете, информационной системы, компьютерной программы, предназначенных для незаконных хранения, передачи компьютерной информации, содержащей персональные данные, полученной незаконным путем, наказываются (ч. 6 ст. 272.1 УК РФ):
- штрафом в размере до 700 000 руб. или в размере заработной платы или иного дохода осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового
- либо принудительными работами на срок до 5 лет со штрафом в размере до 700 000 руб. или иного дохода осужденного за период до 2 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового,
- либо лишением свободы на срок до 5 лет со штрафом в размере до 700 000 руб. или иного дохода осужденного за период до 2 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового.
Изменения в сфере обработки персональных данных как обеспечивают новый уровень защиты, так и создают ряд испытаний для операторов: теперь некорректные действия могут привести к существенным финансовым и репутационным потерям. Одним из первых шагов для предотвращения негативных последствий является аудит системы обработки персональных данных в вашей компании.
Пройдите бесплатный экспресс-аудит от экспертов Acsour и сделайте первый шаг к снижению рисков по выявлению нарушений в сфере персональных данных.
Если материал был для вас полезен, поделитесь статьей с коллегами и друзьями.
