Acsour.com_RU

Уголовная ответственность и штрафы до 500 млн руб.: главные изменения в сфере обработки и хранения персональных данных

30 ноября были приняты поправки в кодекс об административных правонарушениях и уголовный кодекс, ужесточающие ответственность за неуведомление Роскомнадзора о начале обработки персональных данных, обработку персональных данных в непредусмотренных законом случаях и утечки персональных данных: теперь некорректные действия в сфере ПД грозят штрафами до 500 млн руб. и лишением свободы на срок до 5 лет. Эксперты Acsour рассмотрели нововведения и рассказали о главных изменениях.

Неуведомление Роскомнадзора о начале обработки ПД и увеличение штрафа за обработку ПД в непредусмотренных законом случаях

В КоАП РФ появилась отдельная часть (часть 10 ст. 13.11КоАП), устанавливающая штраф за неуведомление Роскомнадзора о начале обработки персональных данных. Согласно нововведению, теперь в отношении юридических лиц штраф составит — от 100 тыс. до 300 тыс. руб.

Более того, законодатель увеличил штраф за обработку персональных данных в непредусмотренных законом случаях. В отношении юридических лиц штраф составит — от 150 тыс. до 300 тыс. руб., а за повторное нарушение — от 300 тыс. до 500 тыс. руб.

Оборотные штрафы за утечку персональных данных

30 ноября 2024 года был принят Федеральный закон от 30.11.2024 N 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Нововведение существенно увеличило размер штрафов за утечки персональных данных.

Новые штрафы начнут действовать с 30.05.25 года.

Ознакомиться с новым размерами штрафов вы можете в таблице.
Статьи Нарушение Штраф
часть 11 ст. 13.11КоАП За неуведомление Роскомнадзора об утечке • для граждан от 50 до 100 тыс. руб. • для должностных лиц от 400 до 800 тыс. руб. • для юрлиц от 1 млн до 3 млн руб.
часть 12 ст. 13.11 КоАП Утечка персональных данных от 1.000 до 10.000 субъектов, и/или от 10.000 до 100.000 идентификаторов • для граждан от 100 до 200 тыс. руб. • для должностных лиц от 200 до 400 тыс. руб. • для юрлиц от 3 до 5 млн руб.
часть 13 ст. 13.11 КоАП Утечка персональных данных от 10.000 до 100.000 субъектов, и/или от 100.000 до 1.000.000 идентификаторов • для граждан от 200 до 300 тыс. руб. • для должностных лиц от 300 до 500 тыс. руб. • для юрлиц от 5 до 10 млн руб.
часть 14 ст. 13.11 КоАП Утечка персональных данных более 100.000 субъектов, и/или более 1.000.000 идентификаторов • для граждан от 300 до 400 тыс. руб. • для должностных лиц от 400 до 600 тыс. руб. • для юрлиц от 10 до 15 млн руб.
часть 15 ст. 13.11 КоАП Если оператор уже подвергнут административному наказанию по ч.12-14 и вновь происходит утечка (по ч.12-14 и ч.16-18) • для граждан от 400 до 600 тыс. руб. • для должностных лиц от 800 тыс. до 1.2 млн руб. • для юрлиц от 1 до 3% выручки за календарный год или за часть текущего года, но не менее 20 и не более 500 млн руб.
часть 16 ст. 13.11 КоАП Утечка специальных категорий персональных данных • для граждан от 300 до 400 тыс. руб. • для должностных лиц от 1 до 1.3 млн руб. • для юрлиц от 10 до 15 млн руб.
часть 17 ст. 13.11 КоАП Утечка биометрических персональных данных • для граждан от 400 до 500 тыс. руб. • для должностных лиц от 1.3 до 1.5 млн руб. • для юрлиц от 15 до 20 млн руб.
часть 18 ст. 13.11 КоАП Если оператор уже подвергнут административному наказанию по ч.12 - 17 и происходит утечка специальных категорий или биометрических персональных данных • для граждан от 500 до 800 тыс. руб. • для должностных лиц от 1.5 до 2 млн руб. • для юрлиц от 1 до 3% выручки за календарный год или за часть текущего года, но не менее 25 и не более 500 млн руб
Эксперты Acsour обращают внимание на то, что ужесточения законопроекта стало реакцией на 110 случаев утечки данных, которые были выявлены за девять месяцев 2024 года.

Уголовная ответственность за незаконную передачу персональных данных

Другим существенным нововведением в сфере хранения, обработки и передачи персональных данных стало введение в Уголовный кодекс РФ статьи 272.1, согласно которой устанавливается уголовная ответственность за преступления в сфере использования компьютерной информации о персональных данных.

Изменения вступили в силу 11 декабря 2024 года.

Ознакомиться с нововведениями и уголовной ответственностью за нарушения можно ниже.

1.Незаконное использование, передача (распространение, предоставление, доступ), сбор и хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо другим незаконным путем (за исключением деяний, предусмотренных ч. 2 ст. 272.1 УК РФ), наказывается:

  • штрафом в размере до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период до 1 года
  • либо принудительными работами на срок до 4 лет,
  • либо лишением свободы на срок до 4 лет.

2.Аналогичные деяния, совершенные в отношении компьютерной информации, которая содержит персональные данные несовершеннолетних лиц, специальные категории персональных данных или биометрические персональные данные, наказываются (ч. 2 ст. 272.1 УК РФ):

  • штрафом в размере до 700 000 руб. или в размере заработной платы или иного дохода осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового
  • либо принудительными работами на срок до 5 лет,
  • либо лишением свободы на срок до 5 лет.

3.Деяния, предусмотренные ч. 1 или ч. 2 ст. 272.1 УК РФ, совершенные из корыстной заинтересованности, с причинением крупного ущерба, группой лиц по предварительному сговору, с использованием своего служебного положения, наказываются (ч. 3 ст. 272.1 УК РФ):

  • штрафом в размере до 1 млн руб. или в размере заработной платы или иного дохода осужденного за период до 3 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового
  • либо принудительными работами на срок до 5 лет со штрафом в размере до 1 млн руб. или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового,
  • либо лишением свободы на срок до 6 лет со штрафом в размере до 1 млн руб. или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового.

4.Деяния, предусмотренные ч. 1, 2 или ч. 3 ст. 272.1 УК РФ, которые связаны с трансграничной передачей компьютерной информации, содержащей персональные данные, или трансграничным перемещением носителей информации, содержащих такие данные, наказываются (ч. 4 ст. 272.1 УК РФ):

  • лишением свободы на срок до 8 лет со штрафом в размере до 2 млн руб. или в размере заработной платы или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 4 лет или без такового.

Эксперты Acsour напоминают, что трансграничное перемещение носителей, содержащих компьютерную информацию — это совершение действий по ввозу на территорию России и вывозу с ее территории машиночитаемого носителя информации, на котором хранится такая информация.

1.Деяния, предусмотренные ч. 1, 2, 3 или ч. 4 ст. 272.1 УК РФ, если они повлекли тяжкие последствия либо совершены организованной группой, наказываются (ч. 5 ст. 272.1 УК РФ):

  • лишением свободы на срок до 10 лет со штрафом в размере до 3 млн руб. или в размере заработной платы или иного дохода осужденного за период до 4 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового.

2.Создание и обеспечение работы сайта в интернете, информационной системы, компьютерной программы, предназначенных для незаконных хранения, передачи компьютерной информации, содержащей персональные данные, полученной незаконным путем, наказываются (ч. 6 ст. 272.1 УК РФ):

  • штрафом в размере до 700 000 руб. или в размере заработной платы или иного дохода осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового
  • либо принудительными работами на срок до 5 лет со штрафом в размере до 700 000 руб. или иного дохода осужденного за период до 2 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового,
  • либо лишением свободы на срок до 5 лет со штрафом в размере до 700 000 руб. или иного дохода осужденного за период до 2 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового.

Изменения в сфере обработки персональных данных как обеспечивают новый уровень защиты, так и создают ряд испытаний для операторов: теперь некорректные действия могут привести к существенным финансовым и репутационным потерям. Одним из первых шагов для предотвращения негативных последствий является аудит системы обработки персональных данных в вашей компании.

Пройдите бесплатный экспресс-аудит от экспертов Acsour и сделайте первый шаг к снижению рисков по выявлению нарушений в сфере персональных данных.
Пройти экспресс-аудит
Если материал был для вас полезен, поделитесь статьей с коллегами и друзьями.
2024-12-02 10:36 Legal Digest Новости