Приняты законы об ужесточении ответственности за утечку персональных данных
Алерты и обзоры
Дата
10.12.2024
Поделиться
,
Прикрепленные файлы
Упоминаемые юристы
2 / 3
По статистике [1] только за I половину 2024 года в РФ утекло в сеть около 1 млрд строк персональных данных (далее – «ПД»), что на 33,8% больше по сравнению с I полугодием 2023 года.
Юридическая фирма ALUMNI Partners уведомляет, что 30 ноября 2024 года были приняты федеральные законы (ФЗ № 420-ФЗ и № 421-ФЗ), направленные на усиление административной и уголовной ответственности в сфере персональных данных.
Ниже мы приводим основные положения, на которые стоит обратить внимание компаниям.
Штрафы за утечки ПД
Для целей стимулирования операторов ПД к инвестированию в информационную безопасность данных и предотвращения массовых утечек, которые произошли за последние годы, ФЗ № 420-ФЗ ужесточает ответственность за утечки ПД в зависимости от количественного состава утекших данных.
Так за утечку данных в количестве:
- от 1 тыс. до 10 тыс. субъектов ПД или от 10 тыс. до 100 тыс. идентификаторов [2] физлиц – штраф от 3 млн до 5 млн руб. для ИП и компаний;
- от 10 тыс. до 100 тыс. субъектов ПД или от 100 тыс. до 1 млн идентификаторов физлиц – штраф от 5 млн до 10 млн руб. для ИП и компаний;
- более 100 тыс. субъектов ПД или более 1 млн идентификаторов физлиц – штраф от 10 млн до 15 млн руб. для ИП и компаний.
Существенные штрафы также предусмотрены за незаконную передачу специальных категорий ПД и биометрии.
За повторное нарушение предусмотрен оборотный штраф в размере от 1 до 3 % совокупного размера суммы выручки за календарный год, предшествующий году, в котором было выявлено правонарушение, либо за предшествующую дате выявления правонарушения часть календарного года, в котором было выявлено правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, либо в размере собственных средств (капитала) кредитной организации на дату совершения административного правонарушения, но не менее 25 млн руб. и не более 500 млн руб.
Размер оборотного штрафа может быть снижен при одновременном наличии следующих обстоятельств:
- ежегодные расходы оператора в течение 3 календарных лет, предшествующих году выявления правонарушения, на мероприятия по обеспечению информационной безопасности, составляли не менее 0,1% годового совокупного размера суммы выручки, либо размера собственных средств (капитала) кредитной организации. При этом обязательно наличие лицензии на осуществление мероприятий по обеспечению информационной безопасностью (например, лицензия ФСБ на шифрование) у привлекаемого оператором подрядчика или у самого оператора;
- документальное подтверждение факта, что оператор соблюдал требования к защите ПД при их обработке в информационных системах;
- отсутствуют отягчающие обстоятельства.
Взаимодействие с Роскомнадзором
Закон вводит специальные составы административных правонарушений, связанных с неуведомлением (несвоевременным уведомлением) Роскомнадзора о состоявшихся утечках (штраф до 3 млн руб. для компаний и ИП), а также о намерении осуществлять обработку ПД (до 300 тыс. руб. для компаний и ИП).
Взаимодействие с потребителями
Напомним, что действующим законом предусмотрена ответственность оператора ПД в случае отказа потребителю в заключении, исполнении, изменении или расторжении договора по причине отказа потребителя от предоставления своих ПД.
В развитие этого правила новый закон вводит ответственность за отказ в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя от прохождения идентификации и (или) аутентификации с использованием его биометрических ПД. Штраф за такое нарушение может составить до 500 тыс руб. для компаний.
Изменения в КоАП РФ вступают в силу 30.05.2025 г.
Уголовная ответственность
ФЗ № 421-ФЗ вводит в УК РФ новую статью 272.1, которая устанавливает уголовную ответственность за незаконное использование компьютерной информации, содержащей ПД.
Данная статья вводит несколько составов преступных деяний, которые заключаются в незаконном использовании, передаче, сборе и хранении компьютерной информации, содержащей ПД, которые получены путем неправомерного доступа к средствам ее обработки.
Наказание в виде лишения свободы за соответствующие преступления составляет от 2 до 10 лет в зависимости от наличия квалифицирующих признаков (например, совершение деяния группой лиц по предварительному сговору, получение доступа к биометрии, сопряженность деяния с трансграничной передачей материальных носителей такой информации).
При этом вводится отдельный состав за создание информационных ресурсов (например, сайт, приложение), заведомо предназначенных для незаконного хранения / передачи компьютерной информации, содержащей ПД. Наказание – лишение свободы до 5 лет.
Изменения в УК РФ вступают в силу 11.12.2024 г.
Информационные письма ALUMNI Partners являются кратким обзором изменений в законодательстве и правоприменительной практике и не должны рассматриваться в качестве правового заключения или консультации.
[1] – Согласно аналитическому отчету компании InfoWatch 2024.
[2] – Уникальные идентификаторы физлиц, хранящиеся в информационных системах операторов.
