Пакет законопроектов об ужесточении ответственности за утечки персональных данных был подписан Владимиром Путиным 30 ноября 2024 года. Новые административные штрафы вступят в силу через 180 дней с момента официального опубликования законопроекта (т.е. примерно к концу мая 2025 года). Еще один законопроект, вводящий уголовную ответственность за утечки данных, вступит в силу уже 11 декабря 2024 года.
1. Новые административные штрафы
A. Нерегистрация в Роскомнадзоре в качестве оператора данных
B. Неуведомление Роскомнадзора о передаче данных, повлекшее нарушение прав субъектов данных
C. Утечка данных от 1 000 до 10 000 субъектов данных или от 10 000 до 100 000 идентификаторов (действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, если эти действия не содержат признаков уголовно наказуемого деяния)
D. Утечка данных от 10 000 до 100 000 субъектов данных или от 100 000 до 1 000 000 идентификаторов (действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, если эти действия не содержат признаков уголовно наказуемого деяния)
E. Утечка данных более 100 000 субъектов данных или более 1 000 000 идентификаторов (действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, если эти действия не содержат признаков уголовно наказуемого деяния)
F. Повторное нарушение пунктов C–D выше и G–I ниже
G. Утечка специальных категорий персональных данных
H. Утечка биометрических данных
I. Нарушение пунктов G или H выше лицом, оштрафованным по пунктам C – H
Отягчающие обстоятельства:
Смягчающие обстоятельства:
2. Новая уголовная ответственность
А. Незаконное использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконного хранения и (или) распространения
Б. То же, что и в пункте А выше, если касается персональных данных несовершеннолетних
C. А или Б выше, если совершено а) из корыстной заинтересованности, или б) с причинением крупного ущерба, или в) группой лиц по предварительному сговору, или г) с использованием служебного положения
D. A–C выше, связанные с трансграничной передачей информации или ввозом/вывозом носителей информации, содержащих персональные данные
E. A–D выше, если повлекло тяжкие последствия
F. Создание и (или) обеспечение функционирования информационного ресурса (сайта в сети Интернет и (или) страницы сайта в сети Интернет, информационной системы, программного обеспечения), заведомо предназначенного для незаконного хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей персональные данные, полученные незаконным путем
Указанная уголовная ответственность не применяется в случаях личного или семейного использования.
В целом, описанные изменения в законодательство являются серьезным усилением давления на бизнес. Общая возможность быть оштрафованным даже без вины (при взломе системы) была негативно воспринята бизнес-сообществом. Кроме того, некоторые статьи не совсем корректно составлены и могут иногда толковаться довольно строго, например, передача данных без согласия также может толковаться как влекущая за собой уголовную ответственность по пункту 2А выше. Тем не менее, нужно понаблюдать, как новые законы будут применяться на практике.
1. Новые административные штрафы
A. Нерегистрация в Роскомнадзоре в качестве оператора данных
- до 50 000 рублей для должностных лиц компаний;
- до 300 000 рублей для юридических лиц.
B. Неуведомление Роскомнадзора о передаче данных, повлекшее нарушение прав субъектов данных
- до 800 000 рублей для должностных лиц компании;
- до 3 000 000 рублей для юридических лиц.
C. Утечка данных от 1 000 до 10 000 субъектов данных или от 10 000 до 100 000 идентификаторов (действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, если эти действия не содержат признаков уголовно наказуемого деяния)
- до 400 000 рублей для должностных лиц компании;
- до 5 000 000 рублей для юридических лиц.
D. Утечка данных от 10 000 до 100 000 субъектов данных или от 100 000 до 1 000 000 идентификаторов (действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, если эти действия не содержат признаков уголовно наказуемого деяния)
- до 500 000 рублей для должностных лиц компании;
- до 10 000 000 рублей для юридических лиц.
E. Утечка данных более 100 000 субъектов данных или более 1 000 000 идентификаторов (действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, если эти действия не содержат признаков уголовно наказуемого деяния)
- до 600 000 рублей для должностных лиц компании;
- до15 000 000 рублей для юридических лиц.
F. Повторное нарушение пунктов C–D выше и G–I ниже
- до 1 200 000 рублей для должностных лиц компании;
- от 1 до 3 процентов совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг) за календарный год, предшествующий году выявления административного правонарушения, либо за часть календарного года, предшествующую дню выявления административного правонарушения, в котором выявлено административное правонарушение, если в предшествующем календарном году правонарушитель не осуществлял реализацию товаров (работ, услуг), либо от 1 до 3 процентов размера собственных средств (капитала) кредитной организации на день совершения административного правонарушения, но не менее двадцати миллионов рублей и не более пятисот миллионов рублей.
G. Утечка специальных категорий персональных данных
- до 1 300 000 рублей для должностных лиц компании;
- до15 000 000 рублей для юридических лиц.
H. Утечка биометрических данных
- до 1 500 000 рублей для должностных лиц компании;
- до 20 000 000 рублей для юридического лица.
I. Нарушение пунктов G или H выше лицом, оштрафованным по пунктам C – H
- до 2 000 000 рублей для должностных лиц компании;
- от одного до трех процентов совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг) за календарный год, предшествующий году выявления административного правонарушения, либо за часть календарного года, предшествующую дню выявления административного правонарушения, в котором выявлено административное правонарушение, если в предшествующем календарном году правонарушитель не осуществлял реализацию товаров (работ, услуг), либо от одного до трех процентов размера собственных средств (капитала) кредитной организации на день совершения административного правонарушения, но не менее двадцати миллионов рублей и не более пятисот миллионов рублей.
Отягчающие обстоятельства:
- повторное нарушение, игнорирование требований органов власти о прекращении нарушения;
- использование несертифицированных средств защиты информации;
- нарушение требований по обеспечению безопасности информации.
Смягчающие обстоятельства:
- ежегодные расходы оператора в течение трех календарных лет, предшествующих году выявления административного правонарушения, на мероприятия по защите информации (как сертифицированной организацией по защите информации, так и самостоятельно при наличии у оператора такой сертификации) составили не менее одной десятой процента годового совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), или размера собственных средств (капитала) кредитной организации;
- оператором соблюдались установленные требования по защите информации в течение последних 12 месяцев, предшествовавших совершению правонарушения, при условии документального подтверждения данного факта;
- отягчающие обстоятельства отсутствуют.
2. Новая уголовная ответственность
А. Незаконное использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконного хранения и (или) распространения
- штраф в размере до 300 000 рублей; или
- в размере заработной платы или иного дохода осужденного за период до 1 года, или
- принудительные работы на срок до 4 лет, или
- лишение свободы на срок до 4 лет.
Б. То же, что и в пункте А выше, если касается персональных данных несовершеннолетних
- штраф до 700 000 рублей или
- в размере заработной платы или иного дохода осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового,
- или принудительные работы на срок до 5 лет,
- или лишение свободы на срок до 5 лет.
C. А или Б выше, если совершено а) из корыстной заинтересованности, или б) с причинением крупного ущерба, или в) группой лиц по предварительному сговору, или г) с использованием служебного положения
- штраф в размере до 1 000 000 рублей, или
- в размере заработной платы или иного дохода осужденного за период до 3 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового, или
- принудительные работы на срок до 5 лет со штрафом в размере до 1 000 000 рублей или в размере заработной платы или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового, или
- лишение права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
D. A–C выше, связанные с трансграничной передачей информации или ввозом/вывозом носителей информации, содержащих персональные данные
- лишение свободы на срок до 8 лет со штрафом в размере до 2 000 000 рублей, или
- в размере заработной платы или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 4 лет или без такового.
E. A–D выше, если повлекло тяжкие последствия
- лишение свободы на срок до 10 лет со штрафом в размере до 3 000 000 рублей, или
- в размере заработной платы или иного дохода осужденного за период до 4 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового.
F. Создание и (или) обеспечение функционирования информационного ресурса (сайта в сети Интернет и (или) страницы сайта в сети Интернет, информационной системы, программного обеспечения), заведомо предназначенного для незаконного хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей персональные данные, полученные незаконным путем
- штраф до 700 000 рублей, или
- размер заработной платы или иного дохода осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового, или
- принудительные работы на срок до 5 лет со штрафом до 700 000 рублей или иного дохода осужденного за период до 2 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового, или
- лишение свободы на срок до 5 лет со штрафом в размере до 700 000 рублей или иного дохода осужденного за период до 2 лет и с лишением или без лишения права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет.
Указанная уголовная ответственность не применяется в случаях личного или семейного использования.
В целом, описанные изменения в законодательство являются серьезным усилением давления на бизнес. Общая возможность быть оштрафованным даже без вины (при взломе системы) была негативно воспринята бизнес-сообществом. Кроме того, некоторые статьи не совсем корректно составлены и могут иногда толковаться довольно строго, например, передача данных без согласия также может толковаться как влекущая за собой уголовную ответственность по пункту 2А выше. Тем не менее, нужно понаблюдать, как новые законы будут применяться на практике.