Госдума приняла законопроекты, значительно ужесточающие ответственность за незаконное использование или утечку персональных данных граждан РФ. Они вносят изменения в Уголовный кодекс и Кодекс об административных правонарушениях. Поправки прошли три чтения в Госдуме, были одобрены Советом Федерации и направлены на подпись президенту РФ. 

Подписаться на iGuides в Telegram, чтобы узнать обо всем первым — t.me/iguides

Законопроекты вводят понятие «идентификатор» — это «уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу».

Новые положения законов вступят в силу с 1 марта 2025 года. Начиная с этой даты за нарушения в работе с персональными данными будут предусмотрены следующие наказания:

Административная ответственность

Действия или бездействие оператора, повлекшие утечку персональных данных. Штрафы варьируются в зависимости от объёма утекшей информации:

· Сведения менее чем о 10 тысячах граждан или менее чем 100 тысяч идентификаторов: для должностных лиц от 200 тысяч до 400 тысяч рублей, для юрлиц и ИП от 3 млн до 5 млн рублей.
· Сведения о 10-100 тысячах граждан или от 100 тысяч до 1 млн идентификаторов: для должностных лиц от 300 тысяч до 500 тысяч рублей, для юрлиц и ИП от 5 млн до 10 млн рублей.
· Сведения более чем о 100 тысячах граждан или более 1 млн идентификаторов: для должностных лиц от 400 тысяч до 600 тысяч рублей, для юрлиц и ИП от 10 млн до 15 млн рублей.
· При повторных нарушениях оборотный штраф — от 1 до 3% от выручки организации за предшествующий год, а если в этот период выручки не было, то за текущий год до момента выявления правонарушения. Для кредитных организаций (например, банков) штраф составляет от 1 до 3% от собственных средств (капитала) организации. Штраф не может быть менее 20 млн и более 500 млн рублей. 

Уголовная ответственность (ст. 272.1)

· Незаконные использование, передача, сбор, хранение компьютерной информации, содержащей персональные данные: штраф до 300 тысяч рублей или доход за год, либо принудительные работы до четырех лет, либо лишение свободы на тот же срок.
· Незаконные использование, передача, сбор, хранение компьютерной информации, содержащей персональные данные специальных категорий граждан (в т. ч. несовершеннолетних): штраф до 700 тысяч рублей или в размере дохода за период до двух лет с дисквалификацией до двух лет или без такового, либо принудительные работы на срок до 5 лет, либо лишение свободы на тот же срок.
· Создание и обеспечение функционирования информационных ресурсов, предназначенных для незаконного хранения, распространения персональных данных: штраф до 700 тысяч рублей или лишение свободы на срок до 5 лет.

При отягчающих обстоятельствах — штраф  до 1 миллиона рублей или лишение свободы сроком до 6 лет. При трансграничном перемещении персональных данных или в случае наступления тяжких последствий — лишение свободы сроком до 10 лет.

Предусмотрены смягчающие обстоятельства: если оператор персональных данных инвестировал в информационную безопасность не менее 0,1% оборота или выручки в течение трёх лет, не привлекался ранее к административной ответственности за незаконное использование или утечку персональных данных, документально подтвердил соблюдение требований о защите персональных данных. Отсутствие смягчающих обстоятельств считается обстоятельством, отягчающим вину.