whatsapp
telegram
+7 495 155 78 75
Главная / Медиа-центр / Юридическое сопровождение / Обзор последних изменений в законодательство о персональных данных – к чему готовиться бизнесу?

Обзор последних изменений в законодательство о персональных данных – к чему готовиться бизнесу?

30 ноября 2024 г. был принят Федеральный закон от 30.11.2024 N 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее «420-ФЗ»), в рамках которого серьезно ужесточаются санкции за нарушение законодательства в сфере перс. данных.

Изменения вступают в силу 30.05.2025

В данной статье юристы Sol­id Case подготовили краткий обзор – что ждет бизнес и к чему готовиться в свете последних поправок в законы.

1. Потребитель вправе отказаться от прохождения идентификации с использованием его биометрии

При этом компания или предприятие, которое заключают договор с таким потребителем, не вправе будут отказать ему в заключении договора лишь на этом основании.

За нарушение данного условия предусмотрен штраф для юридических лиц до 500 000 рублей, для должностных лиц – до 100 000 рублей (ч. 8 ст. 14.8 КоАП РФ).

2. Увеличили штрафы за нарушение Закона о персональных данных

Так за первичной нарушение обработки данных теперь предусмотрен штраф для организаций до 300 000 рублей, для должностных лиц – до 100 000 рублей.

За повторное нарушение по ст. 13.11 КоАП РФ штраф для организаций может составить 500 000 рублей, а для должностных лиц – 200 000 рублей.

3. Повышена ответственность за уведомление Роскомнадзора о намерении осуществлять обработку

За неуведомление Роскомнадзора в нарушение ч. 10 ст. 13.11 КоАП РФ теперь штраф для юридических лиц может составить 300 000 рублей.

4. Штрафы за неуведомление об утечке ПД

Сам факт неуведомления Роскомнадзора об утечке данных теперь будет караться штрафом для организаций до 3 млн рублей, для должностных лиц – до 800 000 рублей.

5. Оборотные штрафы за утечку

Если произошла утечка ПД от 1000 до 10000 субъектов, штраф для юридических лиц может составить 5 млн рублей, для должностных лиц – 400 000 рублей.

Утечка данных свыше 100 000 субъектов грозит организации штрафом до 15 млн рублей.

Важно отметить, что теперь по новому законодательству в случае повторной утечки данных организации будет грозить оборотный штраф – до 3% выручки за календарный год, но не менее 25 млн и не более 500 млн рублей. Для должностных лиц – штраф в размере 1,2 млн рублей.

Следует отметить, что оборотные штрафы – это серьезный финансовый риск для компании. Как правило, помимо штрафа в отношении компании в рамках административного дела также назначается штраф и на должностной лицо – работника компании, ответственного за соблюдение законодательства в сфере персональных данных.

Отдельно обращаем внимание, что по ст. 13.11 КоАП РФ индивидуальные предприниматели несут ответственность как юридические лица.

6. Отдельная ответственность в сфере биометрии

Штраф за нарушение порядка обработки биометрических ПД для компаний составит до 1 млн рублей, а для должностных лиц – до 300 000 рублей.
Непринятие организационных и технических мер по обеспечению безопасности данных будет трактоваться как отдельное нарушение и влечет ответственность в размере до 1,5 млн рублей для юридических лиц, 500 000 рублей – для должностных лиц.

Штраф за обработку биометрических данных без аккредитации составит до 2 млн рублей для компаний, 1 млн рублей – для должностных лиц.

Несколько слов об уголовной ответственности

В дополнение 30 ноября 2024 был принят Федеральный закон от 30.11.2024 N 421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации». Поправки вступают в силу с 11 декабря 2024.

Ранее в УК РФ не существовало специальной статьи об уголовной ответственности за нарушение закона о перс.данных, к ответственности могли привлечь по статьям 137 и 272 УК РФ.

Пунктами 1 и 2 421-ФЗ прямо предусмотрено, что теперь ст. 137 и 272 УК РФ неприменимы к нарушителям Закона о ПД.

Вместо данных норм введена статья 272.1 УК РФ:

«Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения».

В соответствии с указанной статьей вводятся следующие составы:

1) Ч. 1: Незаконные использование и (или) передача (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование

  • Штраф в размере до 300 000 рублей или в размере заработной платы или иного дохода осужденного за период до 1 г., либо принудительными работами на срок до 4 лет, либо лишением свободы на тот же срок.

2) Ч.2: Те же деяния, но с персональными данными несовершеннолетних лиц, специальными категориями данных и (или) биометрическими персональные данные

  • Штраф в размере до 700 000 рублей или в размере заработной платы с лишением права занимать определенные должности или заниматься определенной деятельностью, либо принудительными работами, либо лишением свободы.

3) Ч. 3: Деяния, предусмотренные ч. 1 или ч. 2, совершенные из корыстной заинтересованности, с причинением крупного ущерба, группой лиц по предварительному сговору и (или) с использованием служебного положения

  • Штраф в размере до 1 000 000 рублей или в размере заработной платы или иного дохода осужденного за определенный период с лишением права занимать определенные должности или заниматься определенной деятельностью на определенный срок, либо
  • Принудительные работы со штрафом в размере до 1 000 000 рублей или иного дохода осужденного и с лишением права занимать определенные должности или заниматься определенной деятельностью, либо
  • Лишение свободы на срок до 6 лет со штрафом в размере до 1 000 000 миллиона рублей или иного дохода осужденного с лишением права занимать определенные должности или заниматься определенной деятельностью.

4) Ч. 4: Деяния, предусмотренные ч. 1, 2 или 3, сопряженные с трансграничной передачей компьютерной информации, содержащей персональные данные, и (или) трансграничным перемещением носителей информации, содержащих персональные данные

  • Лишение свободы на срок до 8 лет со штрафом в размере до 2 000 000 рублей или в размере заработной платы или иного дохода осужденного и с лишением права занимать определенные должности или заниматься определенной деятельностью.

5) Ч. 5: Деяния, предусмотренные ч. 1, 2, 3, 4 или 5, если они повлекли тяжкие последствия либо совершены организованной группой

  • Лишение свободы на срок до 10 лет со штрафом в размере до 3 000 000 рублей или в размере заработной платы или иного дохода осужденного и с лишением права занимать определенные должности или заниматься определенной деятельностью.

6) Ч. 6: Создание и (или) обеспечение функционирования информационного ресурса, заведомо предназначенного для незаконных хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей персональные данные, полученной незаконным путем

  • Штраф в размере до 700 000 рублей или в размере заработной платы или иного дохода осужденного с лишением права занимать определенные должности или заниматься определенной деятельностью, либо
  • Принудительные работы со штрафом в размере до 700 000 рублей или иного дохода осужденного и с лишением права занимать определенные должности или заниматься определенной деятельностью
  • Лишение свободы на срок до 5 лет со штрафом в размере до 700 000 рублей или иного дохода осужденного и с лишением права занимать определенные должности или заниматься определенной деятельностью.

Действие данной статьи не распространяется на случаи обработки персональных данных физическими лицами исключительно для личных и семейных нужд.

К уголовной ответственности могут привлечь только физическое лицо (ст. 19 УК РФ). Однако привлечение виновного физического лица к уголовной ответственности не освобождает от административной ответственности организацию (ч. 3 ст. 2.1 КоАП РФ).

Рекомендации для бизнеса

Учитывая ужесточение штрафных санкций в области ПД, введение оборотных штрафов за утечку данных, а также риски привлечения к уголовной ответственности, мы подготовили несколько рекомендация для бизнеса – как обезопасить свою компанию от юридических рисков.

1. Правовой аудит деятельности на предмет возможных нарушений

Особенно актуально это для компаний и бизнесов, которые занимаются торговлей товаров и услуг в режиме онлайн, осуществляют сбор данных на своих платформах, мобильных приложениях, интернет-сайтах. Такие компании сразу попадают в зону риска.

Мы рекомендуем провести аудит текущей ситуации в области данных, чтобы выявить слабые места и принять меры, направленные на минимизацию рисков.

Законодатель в рамках новых поправок в закон теперь явно дает сигнал, что теперь мало принять и повесить на сайте типовую Политику обработки персональных данных. Важно обеспечить реальное соблюдение закона в процессе сбора, обработки, хранения данных.

Юристы Sol­id Case проводят аудит деятельности компаний на предмет возможных нарушений в рамках отдельной юридической услуги.

В рамках аудита необходимо выработать перечень действий и мероприятий, направленных на минимизацию рисков.

  1. Технический аудит

Пожалуй, это один из главных аспектов. Теперь основной риск для компаний – это штрафы за утечку данных. А с учетом риска наложения оборотных штрафов, теперь недостаточно просто разместить на сайте Политику обработки персональных данных. Важно обеспечить реальную информационную безопасность и защищенность от уязвимостей.

В рамках технического аудита важно провести оценку защищенности ИТ-инфраструктуры, анализ уязвимостей исходного кода, оценку эффективности реагирования SOS, внешние и внутренние тестирования на проникновения, анализ защищенности беспроводных сетей, тестирование сетевых сервисов и многое другое.

  1. Сокращение объема собираемых данных

Часто в своей практике мы видим, что многие компании собирают излишние объемы данных, не задумываясь о целесообразности. При этом далеко не всегда соблюдаются правила хранения и обработки такого объема данных.

В рамках работы с клиентами мы придерживаемся подхода максимально сократить объем собираемых данных, если это возможно. Чем меньше объем собираемых данных, тем ниже риски.

  1. Наличие ответственное лицо

Для эффективности стоит задуматься о назначении отдельного работника, ответственного за соблюдение законодательства в сфере персональных данных. Это так называемый Data pro­tec­tion man­ag­er или Com­pli­ance man­ag­er.
Задачей данного лица является выстраивание бизнес-процессов таким образом, чтобы обеспечить полное соблюдение законодательства в сфере ПД. А также рассмотрение инцидентов внутри компании.

  1. Пересмотр договорной базы

Следует более внимательно и серьезно отнестись к условиям договоров, предусматривающих обязательства в сфере перс. данных. Ведь теперь штрафы будут гораздо выше и любой контрагент может «перевыставить» вам свои убытки, если виновником нарушения станет ваша компания.

  1. Пересмотр внутренних политик и процедур

Следует внимательно пересмотреть внутренние локальные нормативные акты, а также процедуры, с учетом новых поправок в законодательство.

  1. Тренинги для персонала

Человеческий фактор – одна из причин возможных нарушений. Мы рекомендуем на регулярной основе обучать персонал компании на предмет знания законов и ограничений в сфере перс. данных. Особенно в ситуации, когда теперь существенно увеличены штрафы для должностных лиц – работников компании.

По результатам аудита персональных данных мы готовим индивидуальные рекомендации для своих клиентов с тем, чтобы минимизировать риски привлечения к уголовной и административной ответственности. Кроме этого, юристы Sol­id Case готовят детальный план внедрения рекомендаций и следят за его реализацией и соблюдением в компании.

Юридическая фирма Sol­id Case оказывает комплексную услугу по правовому и техническому аудиту в сфере персональных данных под ключ.