Число случаев утечек персональных данных с каждым годом увеличивается. По информации, предоставленной Роскомнадзором, в 2024 году на территории России было зарегистрировано 135 случаев компрометации баз данных, содержащих около 750 миллионов записей, идентифицирующих граждан РФ. Учитывая прогресс в области искусственного интеллекта, существует вероятность дальнейшего увеличения этих показателей.
30 мая текущего года вступил в силу Федеральный закон № 420-ФЗ, который значительно повышает размеры штрафных санкций за нарушения в сфере обработки персональных данных.
Основные изменения, внесенные 420-ФЗ, вступили в силу с 30 мая 2025 года и касаются следующих аспектов:
Согласно части 1 статьи 13.11 КоАП РФ (незаконная обработка данных или обработка, не соответствующая заявленным целям), размеры штрафов теперь составляют:
- Для должностных лиц и индивидуальных предпринимателей: от 50 до 100 тысяч рублей (ранее – от 10 до 20 тысяч рублей).
- Для юридических лиц: от 150 до 300 тысяч рублей (ранее – от 60 до 100 тысяч рублей).
Часть 1.1 статьи 13.11 КоАП РФ предусматривает ответственность за повторное совершение аналогичного правонарушения, устанавливая следующие штрафы:
- Для должностных лиц: от 100 до 200 тысяч рублей (ранее – от 20 до 50 тысяч рублей).
- Для юридических лиц и индивидуальных предпринимателей: от 300 до 500 тысяч рублей (ранее – от 100 до 300 тысяч рублей).
Закон также вводит новые составы административных правонарушений, в частности:
- Непредставление или несвоевременное представление уведомления в Роскомнадзор о намерении осуществлять обработку персональных данных (часть 10 статьи 13.11 КоАП РФ).
За нарушение требований статьи 22 Федерального закона «О персональных данных» предусмотрены штрафы для должностных лиц в размере от 30 до 50 тысяч рублей, а для юридических лиц – от 100 до 300 тысяч рублей.
Ранее за данное нарушение юридические лица привлекались к ответственности по статье 19.7 КоАП РФ, предусматривающей максимальный штраф в размере 5 тысяч рублей.
- Неуведомление или несвоевременное уведомление Роскомнадзора об инциденте, связанном с утечкой персональных данных (часть 11 статьи 13.11 КоАП РФ). Оператор обязан уведомить Роскомнадзор об инциденте в течение 24 часов и предоставить результаты внутреннего расследования в течение 72 часов (пункт 3.1 статьи 21 Федерального закона «О персональных данных»).
За неисполнение этой обязанности должностное лицо может быть оштрафовано на сумму от 400 тысяч до 800 тысяч рублей, а юридическое лицо – на сумму от 1 до 3 миллионов рублей.
- Действия (или бездействие) оператора, приведшие к утечке персональных данных от 1 тысячи до 10 тысяч человек или от 10 тысяч до 100 тысяч идентификаторов (часть 12 статьи 13.11 КоАП РФ).
В этом случае должностным лицам грозит штраф в размере от 200 до 400 тысяч рублей, а юридическим лицам – от 3 до 5 миллионов рублей.
- Действия (или бездействие) оператора, приведшие к утечке данных от 10 тысяч до 100 тысяч субъектов или от 100 тысяч до 1 миллиона идентификаторов (часть 13 статьи 13.11 КоАП РФ).
Штраф для должностных лиц составит от 300 до 500 тысяч рублей, а для юридических лиц – от 5 до 10 миллионов рублей.
- Действия (или бездействие) оператора, приведшие к утечке данных более 100 тысяч человек или более 1 миллиона идентификаторов (часть 14 статьи 13.11 КоАП РФ).
В этом случае предусмотрены штрафы для должностных лиц в размере от 400 до 600 тысяч рублей, а для юридических лиц – от 10 до 15 миллионов рублей.
- Действия (или бездействие) оператора, повлекшие утечку персональных данных, если ранее он уже привлекался к административной ответственности за аналогичное нарушение (часть 15 статьи 13.11 КоАП РФ). Штраф для должностных лиц составит от 800 тысяч до 1,2 миллиона рублей.
Для юридических лиц предусмотрены оборотные штрафы в размере от 1 до 3 % от совокупной выручки:
- За календарный год, предшествующий году, когда было обнаружено нарушение.
- За период календарного года, предшествующий дате выявления нарушения, если в предыдущем календарном году предпринимательская деятельность не осуществлялась.
В случае, если речь идет о кредитной организации, при определении размера штрафа может быть учтен размер собственных средств (капитала) на дату совершения административного правонарушения.
Минимальный размер штрафа составит 20 миллионов рублей, а максимальный – 500 миллионов рублей.
Разглашение информации, относящейся к специальным категориям персональных данных (согласно ч. 16 ст. 13.11 КоАП РФ), будь то результатом действий или бездействия оператора, влечет за собой ответственность. Статья 10 Федерального закона "О персональных данных" определяет такие сведения как данные о расовой или национальной принадлежности, политических убеждениях, состоянии здоровья, интимной сфере жизни и т.п.
В случае подобного нарушения должностные лица могут быть подвергнуты штрафу в размере от 1 до 1,3 миллиона рублей, а организации – от 10 до 15 миллионов рублей.
Аналогичные действия (или бездействие), приведшие к компрометации биометрических данных – таких как записи голоса, изображения или отпечатки пальцев (ч. 17 ст. 13.11 КоАП РФ), – также влекут за собой штрафные санкции.
Для должностных лиц штраф составит от 1,3 до 1,5 миллиона рублей, а для юридических лиц – от 15 до 20 миллионов рублей.
В случае повторного нарушения, то есть утечки биометрических данных или информации специальной категории лицом, ранее уже привлекавшимся к ответственности за аналогичное нарушение (ч. 18 ст. 13.11 КоАП РФ), размеры штрафов увеличиваются.
Должностные лица в этом случае могут быть оштрафованы на сумму от 1,5 до 2 миллионов рублей, а компании – на сумму, составляющую от 1 до 3% от общего объема выручки (или другие варианты, предусмотренные законодательством). Минимальный размер штрафа для юридических лиц при этом составит 25 миллионов рублей, а максимальный – 500 миллионов рублей.
Хочу отдельно отметить, что индивидуальные предприниматели (ИП) несут такую же ответственность, как и юридические лица, в соответствии с 420-ФЗ за утечку персональных данных и другие аналогичные правонарушения.
Также, обратите внимание на тот факт, что теперь нарушители не имеют возможности воспользоваться 50-процентной скидкой при оплате штрафа в течение 20 дней с момента вынесения соответствующего постановления. Данное изменение затрагивает ч. 1.3-3 ст. 32.2 КоАП РФ.
Исходя из всего вышеописанного, можно сделать заключение, что теперь всем компаниям и индивидуальным предпринимателям необходимо проявлять повышенную бдительность при работе с персональными данными.
Крайне важно уделять внимание не только внедрению технических средств защиты от киберугроз, но и оптимизации внутренних процессов обработки и хранения конфиденциальной информации.
Если вам, необходима квалифицированная юридическая помощь и поддержка - просто напишите мне и мы согласуем время для бесплатной консультации.
Не забудьте подписаться на мой канал, чтобы быть в курсе новых публикаций! Буду рад вашим комментариям и лайкам, если представленная информация оказалась полезной для вас.
Также, подписывайтесь на мой канал в TELEGRAM На моем канале вы найдёте всё о:
✓Разрешении арбитражных споров;
✓Банкротстве юридических лиц;
✓Налоговых проверках (сопровождение, допросы, возражения, Оспаривание в суде);
✓Налоговом консалтинге и по структурированию безопасного бизнеса.
А также свежие новости из мира бизнеса и юриспруденции!