Введены новые миллионные штрафы и лишение свободы за утечку персональных данных
Штрафы до 500 млн рублей и уголовная ответственность — разбираем новые законы в сфере защиты персональных данных.
Утечки персональных данных приобрели в последнее время угрожающие масштабы. Для защиты данных граждан государством введены жёсткие штрафы за нарушения в сфере информационной безопасности.
Приняты законы, предусматривающие ужесточение административной (Федеральный закон от 30.11.2024. № 420-ФЗ, вступает в силу с 30.05.2025.) и введение уголовной ответственности (Федеральный закон от 30.11.2024. № 421-ФЗ, вступил в силу с 11.12.2024.) за утечку персональных данных.
Действующие административные штрафы для компаний, допустивших утечку данных на «бумаге», составляют 100 тыс.руб и повторно 300 тыс.руб. За утечку через интернет-ресурсы специальной ответственности нет.
Что меняется
Ужесточение наказаний предусмотрено по всем направлениям — утечка персональных данных, неподача уведомления в Роскомнадзор, нарушение прав потребителей.
Суммы административных штрафов для предпринимателей и организаций значительно вырастают и становятся «оборотными», — зависят от числа людей, чьи персональные данные были скомпрометированы.
Размеры штрафов впечатляют:
⚡3-5 млн руб за утечку персональных данных 1-10 тыс. человек или за утечку уникальных идентификаторов 10 - 100 тыс. человек;
⚡ 5-10 млн руб за утечку персональных данных 10-100 тыс. человек или за утечку уникальных идентификаторов 100 тыс. — 1 млн человек;
⚡ 10-15 млн руб за утечку персданных более 100 тыс. человек или за утечку уникальных идентификаторов более чем 1 млн человек. Уникальный идентификатор — это сведения, позволяющие точно определить носителя данных (СНИЛС и т.п.)
⚡ Повторная утечка грозит компаниям и ИП штрафом 1-3% от выручки за год, предшествующий году, в котором выявили утечку, но не менее 20 млн и не более 500 млн рублей.
Штраф могут снизить, если нет отягчающих обстоятельств, а инвестиции компании в информационную безопасность на протяжении 3-х лет составляли не менее 0,1% от выручки и компания соблюдала требования к защите данных.
За неподачу оператором уведомления об обработке персональных данных в Роскомнадзор предусмотрены штрафы:
❌ от 100 тыс до 300 тыс руб. для юрлиц и ИП;
❌ от 5 тыс до 10 тыс руб. для физлиц (самозанятых).Оператором считаются практически все, кто нанимает сотрудников, запрашивает данные клиента для заключения договора, просит заполнить анкету/форму обратной связи, с помощью чат-ботов собирает информацию и проч.
❗Самые жёсткие санкции предусмотрены за утечки биометрических персональных данных. Здесь юрлицам и ИП грозит штраф от 15 до 20 млн рублей. Вводится ответственность за отказ в предоставлении услуг, если гражданин не хочет предоставлять биометрию.
С 11.12.2024. введена уголовная ответственность за незаконное использование, передачу, сбор и хранение компьютерной информации, содержащей персональные данные. В УК РФ введена новая статья 272.1.
Наказание — штраф в размере 300-400 тыс.руб, принудительные работы на срок до 4-х лет, либо лишение свободы на срок до 4-х лет.
❗Утечка компьютерной информации, содержащей персональные данные несовершеннолетних или биометрию, наказание строже — штраф до 700 тыс.руб, принудительные работы на срок до 5 лет, либо лишение свободы на срок до 5 лет.
➡ Если указанные выше действия повлекли тяжкие последствия, совершены организованной группой или с использованием служебного положения, наказанием может стать лишение свободы на срок до 6 лет.
➡ При трансграничной передаче компьютерной информации, содержащей персональные данные, — до 10 лет.
➡ Создание сайта, который заведомо предназначен для незаконного оборота компьютерной информации с персональными данными, полученными незаконным путем, вводится штраф в размере 700 тыс.руб. или принудительные работы, или лишение свободы сроком до 5 лет с таким же штрафом.
➡ Как защитить данные от утечки читайте в статье о правилах информационной безопасности для бизнеса.