С 11 декабря 2024 года в Уголовном кодексе РФ появилась новая статья 272.1 «Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для её незаконных хранения и (или) распространения».
Что изменилось?
- До введения ст. 272.1 УК РФ уголовная ответственность за неправомерное использование чужих персональных данных фактически наступала лишь при условии кражи базы данных лицом, получившим доступ в силу служебного положения (например, сотрудник сотового оператора или банка).
- Формирование, передача или пользование базами персональных данных без законного основания, если не доказывалась кража, ранее не квалифицировались как преступление по УК РФ.
- В интернете продавались «слитые» базы, а третьи лица использовали их для массовых обзвонов или рассылок. В результате к ответственности чаще всего привлекали звонящих по КоАП (за нарушение в сфере рекламы), а заинтересованные граждане использовали этот факт для «давления» на компании: требовали оплату за то, чтобы не направлять жалобу в ФАС.
С введением ст. 272.1 УК РФ теперь преступлением признаётся:
1. Незаконное использование компьютерной информации, содержащей персональные данные.
2. Передача, сбор и (или) хранение такой информации без законных оснований.
3. Создание и (или) обеспечение функционирования информационного ресурса, предназначенного для незаконного хранения и (или) распространения персональных данных.
Чем это грозит?
+ Под уголовную ответственность могут попасть не только лица, которые сами «сливают» базы (например, сотрудники компаний, имеющие доступ к личным данным), но и те, кто организует или обеспечивает инфраструктуру для хранения и передачи этих данных (сайты, телеграм-боты, закрытые каналы для обмена).
+ Многие площадки, специализировавшиеся на продаже или обмене персональными данными, уже закрылись или изменили форму работы, опасаясь новых уголовно-правовых рисков.
Почему важно разобраться в этом вопросе?
Работа с персональными данными требовательна к источнику их получения. Любые процедуры по сбору, хранению, передаче должны иметь законное основание (соблюдение Федерального закона «О персональных данных» (от 27 июля 2006 г. N 152-ФЗ), согласие субъекта, наличие иных законных оснований и пр.).
Компании, которые используют базу клиентов (например, для рекламы, обзвонов, информирования), должны быть особенно внимательны к тому, откуда «пришла» база, и на каком основании обрабатываются персональные данные.
! Несоблюдение норм может привести к серьезной юридической ответственности как для владельцев бизнеса, так и для сотрудников, которые фактически занимались сбором или использованием информации.
Даже физические лица, использующие боты и запрашивающие персональные данные, могут стать фигурантами уголовного дела!
Практические рекомендации
1. Проверьте легальность источников персональных данных. Любые массовые рассылки, обзвоны и пр., должны производиться на основе законно собранной базы.
2. Заключайте договоры с контрагентами, регулирующие вопросы передачи персональных данных, их хранения и использования (прописывайте меры информационной безопасности).
3. Получайте согласия субъектов (клиентов, пользователей) на обработку их данных в соответствии с требованиями закона о персональных данных.
4. Проводите обучение сотрудников. Персонал, в том числе маркетинговые службы, должен понимать, что незаконное использование чужих данных создаёт риск уголовной ответственности.
Вывод
Новое законодательство ужесточает контроль над оборотом персональных данных и вводит прямую уголовную ответственность за их незаконное использование. В условиях использования современных цифровых технологий и маркетинговых практик крайне важно в рамках мероприятий с использованием персональных данных учитывать рекомендации юриста!