Ужесточение ответственности за нарушение законодательства о персональных данных

30 ноября 2024 г. Президент РФ подписал Федеральный закон № 420 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее — Закон № 420-ФЗ), который вступит в силу 30 мая 2025 г., и Федеральный закон № 421 «О внесении изменений в Уголовный кодекс Российской Федерации» (далее — Закон № 421-ФЗ), который вступает в силу 11 декабря 2025 г.

Большинство положений Закона № 420-ФЗ посвящены дальнейшей диверсификации видов правонарушений и ужесточению административной ответственности в сфере законодательства РФ о персональных данных. Законом № 421-ФЗ вводится специальный состав преступления в этой сфере.

1. Диверсификация и ужесточение административной ответственности

а) Изменения в ст. 13.11 КоАП

Законом № 420-ФЗ внесены существенные изменения в ст. 13.11 Кодекса об административных правонарушениях (далее — КоАП), важнейшие из которых мы рассмотрим ниже. Субъектами соответствующих административных правонарушений являются граждане, должностные лица и юридические лица.

Увеличены размеры административных штрафов за обработку персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных (за некоторыми исключениями), если такие действия не содержат признаков преступления. В частности, размер штрафов:

• для граждан составит от 10 000 до 15 000 руб. (ранее — от 2 000 до 6 000 руб.),
• для должностных лиц составит от 50 000 до 100 000 руб. (ранее — от 10 000 до 20 000 руб.),
• для юридических лиц составит от 150 000 до 300 000 руб. (ранее — от 60 000 до 100 000 руб.).

Выросли штрафы и за повторные нарушения. Например, штраф для юридических лиц составит от 300 000 до 500 000 руб. (ранее — от 100 000 до 300 000 руб.).

Ст. 13.11 КоАП дополнена новыми видами административных правонарушений.

Вводится ответственность за невыполнение или несвоевременное выполнение оператором обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку таких данных. Размер штрафа для юридических лиц — от 100 000 до 300 000 руб.

За невыполнение или несвоевременное выполнение оператором обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) таких данных, повлекшей нарушение прав субъектов персональных данных, также установлена ответственность. Например, юридические лица могут быть подвергнуты штрафу в размере от 1 до 3 млн руб.

За действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от 1 000 до 10 000 субъектов персональных данных и (или) от 10 000 до 100 000 идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния, штрафы будут существеннее: например, для юридических лиц — от 3 до 5 млн рублей. Под «идентификатором» понимается уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу.

Еще строже будет ответственность за неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от 10 000 до 100 000 субъектов персональных данных и (или) от 100 000 до 1 млн идентификаторов, а также за неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные более 100 000 субъектов персональных данных и (или) более 1 млн идентификаторов. В последнем случае штраф для юридических лиц составит от 10 до 15 млн рублей.

Вводится административная ответственность за действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей специальную категорию персональных данных (например, сведения о состоянии здоровья). Юридическое лицо может быть наказано штрафом в размере от 10 до 15 млн рублей.

Наконец, будут наказываться действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей биометрические персональные данные, за исключением случаев, предусмотренных ст. 13.11.3 КоАП. Размеры штрафов составят:

• для граждан — от 400 000 до 500 000 руб.,
• для должностных лиц — от 1 300 000 до 1 500 000 руб.,
• для юридических лиц — от 15 до 20 миллионов руб.

Закон № 420-ФЗ также ужесточает ответственность для лиц, уже подвергнутых административному наказанию за нарушения, предусмотренные частями 12-18 ст. 13.11 КоАП, за административные правонарушения, предусмотренные частями 16 или 17 этой же статьи. На юридические лица может быть наложен т.н. оборотный штраф в размере от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг) за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявления нарушения часть календарного года, в котором оно было выявлено, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, либо размера собственных средств (капитала) кредитной организации на дату совершения нарушения, но не менее 25 млн рублей и не более 500 млн рублей.

б) Изменения в ст. 13.11.3 КоАП

В новой редакции статьи речь идет о нарушении законодательных требований в области размещения и обработки биометрических персональных данных в государственной информационной системе «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных» и иных информационных системах, обеспечивающих аутентификацию на основе биометрических персональных данных.

Ст. 13.11.3 КоАП дополнена новыми частями 2, 3 и 4. В отличие от ст. 13.11 КоАП, здесь субъектами нарушений являются только должностные лица и юридические лица, а распространяется статья в основном на деятельность государственных органов, Банка России и иных специализированных организаций.

Во второй части предусмотрено наказание за нарушение порядка обработки биометрических персональных данных в единой биометрической системе, порядка обработки биометрических персональных данных и векторов единой биометрической системы в информационных системах государственных органов, Банка России, организаций, прошедших аккредитацию и осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, либо требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных и векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации. Под «единой биометрической системой» понимается «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных». За данное нарушение юридические лица могут быть подвергнуты штрафу в размере от 500 000 до 1 млн рублей. Более мягкие штрафы предусмотрены для должностных лиц.

В третьей части вводится наказание за непринятие организационных и технических мер по обеспечению безопасности биометрических персональных данных при их обработке в единой биометрической системе и ее взаимодействии с иными информационными системами, либо непринятие организационных и технических мер по обеспечению безопасности биометрических персональных данных при их обработке в иных информационных системах, обеспечивающих аутентификацию с использованием биометрических персональных данных физических лиц, в том числе — в информационных системах аккредитованных государственных органов. Для юридических лиц сумма штрафа установлена в пределах от 1 до 1,5 млн рублей.

В четвертой части ст. 13.11.3 КоАП вводится ответственность за обработку биометрических персональных данных и векторов единой биометрической системы для аутентификации физических лиц в информационных системах государственных органов, организаций, информационной системе Банка России без аккредитации либо в случае, если аккредитация приостановлена или прекращена. Для юридических лиц предусмотрен штраф в размере от 1 до 2 млн рублей.

2. Уголовная ответственность

Уголовный кодекс РФ дополнен ст. 272.1, которая касается незаконного использования и (или) передачи, сбора и (или) хранения компьютерной информации, содержащей персональные данные, а также создания и (или) обеспечения функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения. Предусмотрены следующие виды преступлений:

• незаконные использование и (или) передача (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо иным незаконным путем (далее — часть 1);
• те же деяния, совершенные в отношении компьютерной информации, содержащей персональные данные несовершеннолетних лиц, специальные категории персональных данных и (или) биометрические персональные данные (далее — часть 2);
• деяния, предусмотренные частями 1 или 2, совершенные из корыстной заинтересованности, с причинением крупного ущерба, с использованием служебного положения, группой лиц по предварительному сговору (далее — часть 3);
• деяния, предусмотренные частями 1-3, сопряженные с трансграничной передачей компьютерной информации, содержащей персональные данные, и (или) трансграничным перемещением носителей информации, содержащих персональные данные (далее — часть 4);
• деяния, предусмотренные частями 1-4, если они повлекли тяжкие последствия либо совершены организованной группой (далее — часть 5);
• создание и (или) обеспечение функционирования информационного ресурса (сайта в сети Интернет и (или) страницы сайта в сети Интернет, информационной системы, программы для электронных вычислительных машин), заведомо предназначенных для незаконных хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей персональные данные, полученной незаконным путем.

Самое строгое наказание в виде лишения свободы на срок до 10 лет со штрафом в размере до 3 млн рублей или в размере заработной платы или иного дохода осужденного за период до 4 лет, с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового установлено за преступления, предусмотренные частью 5.

Выводы

Мы видим в российском праве явную тенденцию к ужесточению ответственности за нарушение законодательства о персональных данных, дальнейшей диверсификации составов административных правонарушений и введению уголовной ответственности за ряд нарушений.

Во избежание проблем операторам персональных данных, как минимум, необходимо удостовериться, что они полностью соблюдают соответствующие положения законодательства, а также убедиться в защищенности данных в используемых ими информационных системах.

* * *

Обзор не является исчерпывающим описанием положений законов № 420-ФЗ и № 421-ФЗ, не представляет собой юридическое заключение по их содержанию, не отменяет необходимость получения юридической консультации в конкретной практической ситуации.

Эксперты правового департамента компании Юникон всегда рады оказать вам необходимую помощь в части разъяснения положений законодательства и поддержку в их применении.

Узнайте больше о наших услугах налогового и правового консультирования