Какие штрафы грозят за утечку персональных данных?

Изменения в КоАП РФ: ответственность за утечку персональных данных

Статья 13.11 Кодекса об административных правонарушениях (КоАП РФ) была дополнена несколькими новыми пунктами, которые значительно усилили ответственность за утечку персональных данных.

Ключевые изменения и меры:

•  Штрафы за отсутствие уведомления Роскомнадзора: Если оператор персональных данных (компания или индивидуальный предприниматель) не сообщил Роскомнадзору о своём желании обрабатывать персональные данные, то ему грозит штраф от 100 до 300 тысяч рублей. Для должностных лиц штраф составляет от 30 до 50 тысяч рублей (часть 10 статьи).
•  Ответственность за несвоевременное уведомление о нарушении: Если организация не уведомила уполномоченный орган (например, Роскомнадзор) о произошедшей утечке данных, то штрафы для юридических лиц и индивидуальных предпринимателей составляют от 1 до 3 миллионов рублей. Для должностных лиц штрафы варьируются от 400 до 800 тысяч рублей.
•  Штрафы за утечку персональных данных: Размер штрафа за утечку персональных данных зависит от объема утекшей информации. В КоАП РФ предусмотрены следующие санкции:
  • Сведения о 1-10 тысячах субъектов данных и/или 10-100 тысячах идентификаторов: штрафы для юридических лиц и ИП составляют от 3 до 5 миллионов рублей, для должностных лиц — от 200 до 400 тысяч рублей.
  • Сведения о 10-100 тысячах субъектов данных и/или 100 тысяч — 1 миллион идентификаторов: штрафы для юридических лиц и ИП составляют от 5 до 10 миллионов рублей, для должностных лиц — от 300 до 500 тысяч рублей.
  • Сведения о более чем 100 тысячах субъектов данных и/или более миллиона идентификаторов: штрафы для юридических лиц и ИП составляют от 10 до 15 миллионов рублей, для должностных лиц — от 400 до 600 тысяч рублей.
•  Увеличение штрафов за повторные нарушения: Если организация или должностное лицо снова нарушают требования законодательства после того, как уже были оштрафованы, суммы санкций возрастают. В случае повторного нарушения, юридические лица и ИП могут заплатить штраф от 1 до 3% от годовой выручки, зафиксированной в предыдущем году. Для должностных лиц сумма штрафа может составлять от 1,5 до 2 миллионов рублей, в зависимости от конкретных обстоятельств. Если в нарушении участвуют специальные категории данных (например, биометрические данные), то штрафы для юридических лиц и ИП могут варьироваться от 10 до 15 миллионов рублей, для должностных лиц — от 1 до 1,3 миллионов рублей.
•  Ответственность за утечку биометрических данных: Неправомерная передача биометрических данных (например, отпечатков пальцев или изображения лица) теперь­ также влечёт за собой штрафы. Для юридических лиц штрафы могут составлять от 15 до 20 миллионов рублей, для должностных лиц — от 1,3 до 1,5 миллионов рублей. При повторном нарушении штрафы увеличиваются, и для организаций они могут составить процент от выручки.
•  Ответственность обычных граждан: Также стоит отметить, что в случае совершения нарушений, связанных с утечкой персональных данных, административная ответственность может быть возложена и на физических лиц. Размер штрафа для граждан может колебаться от 5 до 800 тысяч рублей в зависимости от тяжести правонарушения. Важно понимать, что под юридическими лицами в контексте этих изменений не подразумеваются государственные органы и некоммерческие организации. Должностные лица — это сотрудники государственных, муниципальных органов и НКО, а также те, кто работает в коммерческих компаниях, и несут ответственность за безопасность обработки данных.

Как компаниям избежать штрафов за утечку персональных данных:

•  Уведомить Роскомнадзор: Компания должна официально зарегистрироваться как оператор персональных данных и своевременно информировать Роскомнадзор об изменениях в обработке данных или об утечках.
•  Защитить персональные данные: Необходимо внедрить технические и организационные меры безопасности: шифрование данных, контроль доступа, регулярные обновления ПО.
•  Обучить сотрудников: Регулярно проводить тренинги по защите информации и действиям при инцидентах.
•  Разработать внутренние регламенты: Создать чёткие инструкции по обработке персональных данных и реагированию на инциденты.
•  Проводить оценку рисков и мониторинг: Регулярно проверять уязвимости, вести контроль доступа к данным и отслеживать подозрительную активность.
•  Подготовить план действий при утечке: Оперативно уведомлять Роскомнадзор и пострадавших лиц в случае нарушения, а также проводить расследование инцидентов.
•  Следить за законодательством: Быть в курсе изменений в законах о персональных данных и своевременно адаптировать внутренние процедуры.

Что важно учитывать при анализе новых требований:

•  Категории расчёта штрафов: При расчёте штрафов за утечку персональных данных учитываются две основные категории: это не только количество пострадавших лиц, но и так называемые «идентификаторы». Под идентификатором в КоАП РФ понимается уникальная характеристика сведений о человеке, содержащаяся в информационной системе и напрямую связанная с ним. При этом определение идентификатора сформулировано достаточно широко и фактически пересекается с понятием персональных данных. Более чёткое разграничение этих терминов ожидается после появления первых практических решений по применению новых норм.
•  Снижение штрафов: Закон предусматривает возможность значительного снижения штрафов: компания может рассчитывать на уменьшение штрафа до одной десятой минимального размера (при базовых пределах от 15 до 50 миллионов рублей), если выполнит ряд условий:
  • За последние три года организация инвестировала в обеспечение информационной безопасности не менее 0,1% своей годовой выручки;
  • Для проведения этих мероприятий привлекались специалисты с лицензиями ФСБ или ФСТЭК (или у самой компании есть соответствующие лицензии);
  • Был проведён полноценный аудит системы информационной безопасности;
  • В действиях организации отсутствуют отягчающие обстоятельства, перечисленные в пункте 5 примечаний к статье.