Оборотные штрафы по персональным данным теперь реальность: какие выводы нужно сделать бизнесу?

Оборотные штрафы по персональным данным теперь реальность: какие выводы нужно сделать бизнесу?

Оборотные штрафы для бизнеса теперь реальность: законодатели приняли новые меры ответственности за утечку персональных данных (ПД). Максимальный штраф — 3% от выручки, или до 500 млн рублей. Что нужно сделать предпринимателям сейчас, чтобы избежать уплаты миллионных штрафов?

30 ноября президент подписал законы, ужесточающие ответственность как за утечку персональных данных, так и за нарушение ФЗ-152 «О персональных данных».

В Кодексе об административных правонарушениях повышены штрафы за имеющиеся нарушения, а также введены новые статьи. Например:

  • максимальный штраф за обработку ПД в случаях, не предусмотренных законодательством, либо обработку ПД, несовместимую с целями сбора (ч. 1, 1.1 ст. 13.11 КоАП РФ) подняли в 3 раза — со 100 тысяч рублей до 300 тысяч рублей для юрлиц;
  • штраф за неуведомление или несвоевременное уведомление РКН о незаконной передаче ПД (ч. 11 ст. 13.11 КоАП РФ) составит 1-3 млн рублей для юрлиц;
  • штрафы за утечку персональных данных разнятся от 3 до 15 млн рублей в зависимости от количества субъектов, чьи данные попали в сеть, а при наличии предыдущих правонарушений в части защиты данных считаются в процентах от выручки.

Также есть изменения и в Уголовном кодексе. Введена новая специальная статья 272 — раньше уголовной ответственности за нарушение закона о персональных данных не было:

  • незаконные использование, передача, сбор или хранение компьютерной информации, содержащей ПД, полученной путем неправомерного доступа (ч. 1 ст. 272) наказываются штрафом до

    до 300 тыс. руб. или в размере зарплаты за период до 1 года, либо принудительными работами до 4 лет, либо лишением свободы до 4 лет;

  • а вот если те же нарушения совершены с отягчающими обстоятельствами — например, в отношении несовершеннолетних, по предварительному сговору или с трансграничной передачей ПД — то наказание будет суровее. Срок лишения свободы может составить до 10 лет, сумма штрафа — до 3 млн рублей.

Какие выводы и прогнозы можно сделать на основе штрафов?

  • Уголовная ответственность не касается утечек персональных данных

    Наказать могут любое должностное лицо, которое не соблюдает правила ответственного хранения и обработки персональных данных

  • Что же касается утечек, то от них не застрахован ни один работодатель
    Данные 90% взрослых россиян уже находятся в открытом доступе, по информации Сбербанка. У компаний сохраняется риск публикации хакерами старых баз данных уже после вступления в силу новых штрафов, в том числе с целью шантажа.

  • Меры, принимаемые компанией для защиты персональных данных, играют весомую роль в определении виновности или невиновности в утечке, а также ответственности за неё

    Так, в КоАП РФ предусмотрены смягчающие обстоятельства для компаний, например, соблюдение требований к защите персональных данных в ИСПДн с обязательным ежегодным документальным подтверждением этого факта в течение 12 месяцев до утечки.
  • У работодателей есть всего 180 дней, чтобы исправить нарушения или разработать документальный фонд с нуля

    Государство дало время работодателям до 30 мая 2025 года, чтобы привести процессы и документы в порядок

  • Государство заинтересовано в применении принятых штрафов

    У России есть пример юрисдикций Евросоюза и США, где наказания за утечку персональных данных очень суровы. Вспомнить, например, рекордный штраф Европейского союза в размере 1,2 млрд евро в отношении компании Meta (признана экстремистской в России)

Законодательство о персональных данных — одно из самых тяжелых для исполнения: 180 дней едва хватит, чтобы провести аудит и выстроить процессы обработки персональных данных в соответствии с законом. Бизнесу нужно использовать отведенное время с умом, чтобы не попасть под волну проверок Роскомнадзора в 2025 году.

11
Начать дискуссию