Новые поправки к Федеральному закону № 152 предусматривают ужесточение наказания за нарушения в области обращения с персональными данными граждан.
Если произошло неконтролируемое распространение подобной информации за пределы организации или компания отказалась предоставить определенные сведения в Роскомнадзор, ее ждут повышенные штрафы, а иногда — уголовная ответственность.
В этой статье мы подробнее рассмотрим, как изменился закон и что потребуется при обработке ПД (персональных данных), если нет желания получить наказание от надзорных органов.
Штрафы за неуведомление Роскомнадзора о начале обработки персональных данных
При намерении производить сбор и обработку ПД клиентов, организации или индивидуальные предприниматели должны заранее и в полной мере произвести уведомление Роскомнадзора.
Требование регламентировано ст. 22 ФЗ–152. Нужно направить утвержденную приказом надзорного органа форму №180, заполнив соответствующие пункты.
Начало обработки персональных данных субъектов совпадает с созданием учетной записи в ЕГРЮЛ/ЕГРИП.
Штраф за неуведомление Роскомнадзора серьезно вырос. Для сравнения приведем такую таблицу:
|
Ответственные лица |
Прежние штрафы |
Настоящие штрафы |
|
граждане |
100–300 рублей |
5–10 тысяч рублей |
|
должностные лица |
300–500 рублей |
30–50 тысяч рублей |
|
организации или ИП |
3–5 тысяч рублей |
100–300 тысяч рублей |
Закон позволяет предъявить предупреждение вместо штрафа при первом нарушении. Например, если форма заполнена с недочетами или не соблюдены сроки подачи.
В случае изменений в сфере обработки ПД компания обязана оповестить об этом надзорный орган не позднее 15 числа месяца, идущего за отчетным периодом. При прекращении работы с личными данными субъектов также потребуется оповестить Роскомнадзор в течение 10 дней от даты изменений статуса. Срок давности по делам о невыполнении требований по уведомлению составляет 1 год.
Штрафы за неуведомление Роскомнадзора об утечке персональных данных
Если бизнес-структура не оповестила надзорный орган о том, что произошла утечка персональных данных (независимо от причины форс-мажора), то это повлечет за собой серьезное наказание.
После внесения поправок в закон ФЗ-152 штрафы возросли многократно:
|
Ответственные лица |
Прежние штрафы |
Настоящие штрафы |
|
граждане |
100–300 рублей |
50–100 тысяч рублей |
|
должностные лица |
300–500 рублей |
400–800 тысяч рублей |
|
организации и ИП |
3–5 тысяч рублей |
1–3 млн рублей |
Согласно внесенных правок в законе, например в ст.21 ФЗ-154, оператор обязан уведомить надзорный орган об утечке персональных данных в 2025 году не позднее чем за сутки после произошедшего.
В уведомлении потребуется указать причины и последствия происшествия, которые затронут интересы клиентов, а также принятые по защите конфиденциальной информации меры.
Штрафы за утечку персональных данных
Размер штрафных санкций за утечку персональных данных Роскомнадзором варьируется в зависимости от категории (специальные или стандартные), объема раскрытых ПД и повторяемости подобных нарушений.
Штрафы и ответственность за утечку персональных данных возникают при незаконном использовании конфиденциальных сведений о 1–10 тысячах человек. Эти же суммы штрафов вменяются, если произошла утечка ПД в форме идентификаторов (уникальных учетных номеров) частных лиц в количестве 10–100 тысяч. Штраф за утечку персональных данных при таких обстоятельствах составит:
- для частных лиц: 100–200 тысяч рублей;
- для сотрудников: 200–400 тысяч рублей;
- для структур: 3–5 млн рублей.
Если речь идет о сведениях, относящихся к специальным категориям, таким как религиозная или национальная принадлежность, параметры здоровья, наличие судимости и тому подобные, и/или при утечке параметров 100 тысяч субъектов и более, то ответственность достигает размера:
- для сотрудников и исполнителей: 1–1,3 млн рублей;
- для ЮЛ и ИП: 10–15 млн рублей.
Для операторов, неоднократно нарушивших требования Роскомнадзора, вводятся дополнительно оборотные штрафы в размере 1–3% прибыли за отчетный период. При этом минимум оборотного взыскания не может быть ниже 25 млн рублей. Кроме того, согласно ст.1 ФЗ-242, на официальном сайте Роскомнадзора ведется специальный реестр нарушителей закона о ПД.
Дополнительно операторам следует учитывать законодательные требования по локализации, которые заключаются в том, что вся личная информация субъектов должна в обязательном порядке храниться и обрабатываться на территории РФ.
Штраф за нарушение локализации персональных данных:
- должностные лица: 200 тысяч рублей, при повторном случае — 800 тысяч рублей;
- компании: 6 млн рублей, при повторном взыскании — 18 млн рублей.
Перечисленные штрафы за утечку персональных данных в 2025 году распространяются не только на операторов, но и на структуры, занимающиеся обработкой сведений по договору с ними.
Штрафы за утечку биометрических ПД
Биометрия является специальной категорией ПД. Утечка биометрических персональных данных наказывается по ст. 13.11 КоАП РФ.
Нарушение сохранности биометрии влечет следующие штрафы:
|
Категория лиц |
Единичное нарушение |
Повторный случай |
|
граждане |
до 500 тысяч рублей |
до 800 тысяч рублей |
|
должностные лица |
до 1,4 млн рублей |
до 2 млн рублей |
|
ИП и ЮЛ |
до 20 млн рублей |
рассчитывается % от выручки в пределах 25–500 млн рублей. |
Оператор не имеет права не заключить или разорвать договор с субъектом из-за нежелания последнего предоставить биометрию. В противном случае его ждет штраф. Для должностных лиц и ИП он составит 50–100 тысяч рублей, для ЮЛ — 200–500 тысяч рублей.
Уголовная ответственность за нарушения в работе с персональными данными
УК РФ дополнен актуальной статьей 272.1, которая введена в действие 11.12.2024 г. и касается незаконного использования персональных данных.
Уголовная ответственность за персональные данные возникает, если:
- База ПД была приобретена незаконным путем. Например, через третьих лиц. В таком случае придется заплатить штраф в размере 300 тысяч рублей. Также за это преступление суд может назначить в качестве наказания лишение свободы до четырех лет.
- Преступные махинации с базой ПД коснулись личной информации несовершеннолетних, либо биометрии субъектов. Штраф составит 700 тысяч рублей, а срок лишения свободы вырастет до пяти лет.
- База ПД передана в другие страны. Виновному грозит штраф 2 млн рублей или лишение свободы до 8 лет.
Усугубляют уголовное наказание такие обстоятельства, как совершение преступления в составе группы или если нарушение в работе с ПД повлекло тяжелые последствия. Тогда обвиняемым грозит штраф до 3 млн рублей и лишение свободы до 10 лет.
Незаконно и создание интернет-ресурсов, на которых используются персональные сведения о гражданах, полученные в обход закона. Причем уголовная ответственность не распространяется на лиц, использующих ПД в личных или семейных целях.
