30 ноября 2024 года был подписан Федеральный закон от 30.11.2024 № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (КоАП)». Новый закон значительно увеличивает размер штрафов за утечку персональных данных граждан.
По данным Роскомнадзора, с начала года в общий доступ утекло свыше 600 миллионов записей данных россиян. При этом, по оценке Сбербанка в результате утечек в сеть попали данные 90% взрослых граждан РФ — около 3,5 млрд строк находятся в открытом доступе. Согласно исследованию организации, основным источником утечек являются интернет-магазины и медицинские учреждения. В 2024 году Сбербанк зафиксировал рекордное количество мошеннических звонков гражданам РФ.
Ранее за утечку персональных данных пользователей компаниям в РФ грозил административный штраф по ч. 1 ст. 13.11 КоАП РФ до 100 тыс. рублей.
Закон от 30.11.2024 № 420-ФЗ предусматривает следующие санкции.
- Если утечка персональных данных затронула от тысячи до десяти тысяч человек, а действия оператора не подпадают под уголовную ответственность, то назначается административный штраф (для физических лиц — 100–200 тысяч рублей, для должностных лиц — от 200 до 400 тысяч, а для юридических лиц — 3–5 миллионов рублей).
- За утечку данных до ста тысяч пользователей предусмотрены штрафы для физических лиц — от 200 до 300 тысяч рублей, для должностных лиц — от 300 до 500 тысяч, а для юридических лиц — от 5 до 10 млн рублей. Если произошла утечка данных более чем 100 тысяч граждан, то штрафы составляют 400 тысяч рублей для физлиц, 600 тысяч — для должностных лиц и 15 млн — для юрлиц.
- Если нарушение повторилось и произошла утечка данных, в результате которой пострадало не менее тысячи человек, то штраф для физических лиц составит 600 тысяч рублей, а для должностных — 1,2 млн рублей. Компании будут оштрафованы в размере от 1 до 3% совокупной выручки от продажи всех товаров и услуг за календарный год, предшествующий дате нарушения. Это так называемый оборотный штраф. Максимальный штраф для компаний, которые тратят не менее 1% годовой выручки на обеспечение информационной безопасности ежегодно, составит 50 млн рублей.
Также вводится административная ответственность за отказ заключать, исполнять, изменять или расторгать договор с клиентом, если тот не хочет проходить идентификацию или аутентификацию с использованием своих биометрических персональных данных.
Еще одно нововведение — теперь за нелегальный сбор и передачу личной информации, а также за создание веб-сайтов с этой целью можно получить до десяти лет лишения свободы. Если при совершении этих действий использовались персональные данные детей или была организована группа лиц для их осуществления, либо происходила передача данных через границы, то это будет рассматриваться как отягчающие обстоятельства.