30 ноября 2024 года Президент России Владимир Путин подписал законы, которые ужесточают наказание за незаконный сбор и распространение персональных данных.
Подписаны:
- Федеральный закон от 30.11.2024 № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».
Номер опубликования: 0001202411300011.
Дата опубликования: 30.11.2024.
Вступает в силу через 180 дней с момента опубликования, то есть с июня 2025 года.
Текст закона:
- Федеральный закон от 30.11.2024 № 421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации».
Номер опубликования: 0001202411300012.
Дата опубликования: 30.11.2024.
Текст закона:
В Уголовном кодексе появилась отдельная статья о таких преступлениях, а для компаний введены оборотные штрафы за неоднократные утечки личной информации.
Мы ранее много писали о подготовке закона в связи с тем, что субъекты ФЗ-115 являются структурами, обязанными собирать и обрабатывать персональные данные.
Таким образом, в случае утечки данных они могут получить значительные финансовые потери.
Основные нововведения закона.
Административная ответственность
- Введены новые штрафы. В частности, за незаконную передачу личной информации и данных:
- о здоровье — до 15 млн рублей,
- биометрии — до 20 млн рублей.
- Размер штрафа за утечку будет зависеть от числа пострадавших или от объема переданных данных.
- За повторные утечки санкции становятся строже. Наиболее суровое наказание понесут юрлица: для них введены оборотные штрафы. Размер штрафа составит:
- 1-3% от выручки, но не менее 20 млн рублей и не более 500 млн рублей.
- Если компания не уведомила Роскомнадзор об обработке персональных данных или об их утечке, это тоже будет караться штрафом. Сумма составит:
- до 300 тыс. рублей в первом случае,
- до 3 млн рублей — во втором.
- Повышается штраф за обработку персональных данных, не предусмотренную законодательством РФ или несовместимую с оговоренными целями:
- — за это придется заплатить до 300 тыс. рублей,
- повторное нарушение влечет штраф до 500 тыс. рублей.
Уголовная ответственность
- Вводится уголовная ответственность за незаконные сбор, хранение, использование и передачу личной информации.
- Ранее виновные в этом могли быть привлечены к уголовной ответственности по статье 137 «Нарушение неприкосновенности частной жизни». Но в большинстве случаев полагалось административное наказание.
- Уголовное наказание будет строже, если личная информация касалась:
- несовершеннолетних,
- биометрии,
- здоровья.
- Отягчающим обстоятельством признается совершение преступления:
- из корыстных побуждений или группой лиц по предварительному сговору,
- с причинением крупного ущерба или с использованием служебного положения,
- трансграничная передача данных.
- Наиболее суровое наказание применяется, если преступление было совершено организованной группой лиц или повлекло тяжкие последствия.
- Создание и поддержание работы сайтов и программ, предназначенных для незаконного хранения и передачи персональных данных, тоже влечет уголовную ответственность.
Глава Комитета Госдумы по информационной политике Александр Хинштейн пояснил, что административная ответственность будет зависеть от объема произошедшей утечки. В случае повтора нарушители будут платить оборотные штрафы.
Также усиливается ответственность «за утечки персональных биометрических данных и персональных данных так называемых спецкатегорий, связанных со здоровьем человека».
«Максимальная административная санкция, которую мы предлагаем, составит полмиллиарда рублей — это оборотный штраф», — подчеркнул депутат.
В случае утечки именно личных персональных данных может грозить уголовная ответственность.
В УК появляется новая статья — новый состав преступления, который будет предусматривать ответственность за незаконное хранение, сбор, распространение, передачу информации, содержащей персональные данные, полученные незаконным путем.
«В этом случае также предусматривается самая серьезная ответственность — максимальная санкция до десяти лет. Здесь речь будет идти об организованной группе, действия которой повлекли тяжкие последствия. Подчеркну еще раз — речь идет именно о преступных действиях. В специальном примечании мы оговариваем, что ответственность не касается, если такая обработка идет для семейных и личных нужд», — заявил Хинштейн.
Депутат обратил внимание, что санкции не затронут компании, занимающиеся кибербезопасностью. По его словам, эти опасения абсолютно беспочвенны, поскольку законопроект предусматривает ответственность именно за незаконное использование.
«В случае, если компания, занимающаяся кибербезопасностью, это использует в своих научных исследовательских и иных целях, никакой незаконности здесь нет и быть не может», — резюмировал председатель думского комитета.
«Цель поправок в законодательство — стимулировать бизнес развивать корпоративные системы обеспечения информационной безопасности. Причем необходимость ужесточения ответственности — это консолидированная позиция профильных регуляторов. Операторы данных любого масштаба прежде всего должны исходить из принципа сохранности информации», — пояснял профильный депутат Антон Немкин.