В современном мире информация стала одним из самых ценных ресурсов, а её защита — одной из главных задач для любого бизнеса. Ежегодно с ростом объемов обрабатываемой информации растет и число инцидентов. Государство, стремясь обеспечить безопасность граждан и защитить их личные данные от несанкционированного доступа, активно работает над совершенствованием законодательства в области информационной безопасности.
Ужесточение ответственности за нарушение закона о персональных данных
С декабря 2024 года вступили в действие изменения в Уголовный кодекс РФ (ФЗ от 30.11.2024 № 421–ФЗ), расширившие зоны ответственности за утечку персональных данных. С 30 мая 2025 года начнут действовать изменения Кодексе РФ об административных правонарушениях (ФЗ от 30.11.2024 № 420–ФЗ), вводящие многомиллионные штрафы за инциденты с персональными данными, включая оборотные штрафы. Как это отразится на требованиях к защите персональных данных и что это значит для бизнеса? Рассказываем в этой статье.
Уголовная ответственность за инцидент с персональными данными
Если действия повлекли тяжкие последствия, законом предусмотрена уголовная ответственность, включающая штрафы:
- За незаконное использование, сбор, передачу или хранение ПДн: Штраф от 300 до 400 тыс. рублей, принудительные работы до 4 лет либо лишение свободы до 4 лет.
- За действия с ПДн несовершеннолетних или биометрией: Штраф до 700 тыс. рублей, принудительные работы до 5 лет или лишение свободы до 5 лет.
- При тяжких последствиях или организованных группой: Лишение свободы до 10 лет.
- За создание сайтов для хранения и распространения незаконно полученных ПДн: Максимальное наказание – 5 лет лишения свободы.
Многомиллионные штрафы
На сегодняшний день максимальный штраф за нарушение обращения с персональными данными составляет до 100 тыс. руб. при повторном инциденте до 300 тыс. руб. С мая 2025 года сумма штрафа, зависящая от объема и характера разглашенных данных, будет составлять:
| Объем персональных данных | Размер штрафа |
|---|---|
| 1-10 тыс. субъектов ПДн и (или) 10–100 тыс. идентификаторов | 3-5 млн. руб. |
| 10–100 тыс. субъектов ПДн и (или) 100 тыс. — 1 млн. идентификаторов | 5–10 млн. руб. |
| более 100 тыс. субъектов ПДн и (или) более 1 млн. идентификаторов | 10-15 млн. руб. |
Под субъектом персональных данных понимается физическое лицо, которому принадлежат персональные данные. Идентификатором ПДн считаются сведения, позволяющие точно определить носителя персональных данных, к ним относятся паспортные данные, СНИЛС, ИНН, биометрические данные, банковские данные.
могут привести к значительным оборотным штрафам, которые составят от 1% до 3% от годовой выручки компании. При этом минимальная сумма штрафа будет 20 млн руб., а максимальная — 500 млн руб.
Если компания обнаруживает инцидент, она должна незамедлительно, в течение 24 часов, сообщить об этом в Роскомнадзор и начать внутреннее расследование. Итоговый отчет с указанием причин инцидента и виновных лиц необходимо предоставить в течение 72 часов. За нарушение этих сроков компании грозит штраф до 3 млн руб.
Теперь ответственность будут нести не только хакеры, мошенники и юридические лица, но и сотрудники компаний, допустившие утечку данных, а также руководители, которые не обеспечили должную защиту. Кроме того, под санкции попадают компании, использующие незаконно приобретенные базы данных.
Смягчающие обстоятельства
Для административных правонарушений предусмотрены смягчающие обстоятельства. В этом случае назначается штраф в размере 1/10 от минимального оборотного штрафа, но не менее 15 миллионов и не более 50 миллионов рублей. Для этого необходимо соблюдение следующих условий:
- Компания за три последних года потратила на информационную безопасность не менее 0,1% от общей суммы выручки.;
- Работы по информационной безопасности проводились лицензиатами ФСТЭК и ФСБ России;
- За последние 12 месяцев был проведен аудит информационной безопасности, которому есть документальные подтверждения;
- Отсутствуют отягчающие обстоятельства, усиливающие административную ответственность.
Как минимизировать риски?
Изменения в законодательстве, вступающие в силу в 2025 году, существенно ужесточают ответственность за утечку и неправомерное использование персональных данных. Бизнесу необходимо адаптироваться к новым требованиям, чтобы избежать крупных штрафов и обеспечить надежную защиту данных.
В первую очередь рекомендуем сделать следующее:
- Убедитесь, что уведомления об обработке персональных данных поданы в Роскомнадзор.
- Проверьте наличие нормативных документов, регулирующих работу с ПДн.
- Убедитесь, что ваши сотрудники соблюдают правила обращения и обработки персональных данных и знают порядок действий для предотвращения их утечки.
- В вашей компании внедрены сертифицированные системы защиты информации.
- Обратитесь к специалистам по информационной безопасности для проведения аудита по информационной безопасности, а также получения консультаций и помощи в приведении ваших процессов в соответствие с новыми нормами.
Время — самый критичный ресурс при утечке данных
Потраченные на поиск инструкций часы могут обернуться миллионными штрафами и репутационными потерями. Не изобретайте велосипед в момент кризиса. Мы систематизировали требования законодательства и опыт по реагированию на инциденты (IR) в готовый «Порядок действий при инциденте с ПДн». Актуально для бизнеса и госорганизаций.