Ужесточение ответственности за на рушение 152-ФЗ: разбор изменений в области защиты персональных данных

Какие санкции теперь грозят операторам персональных данных.

Фото: открытые Internet-источники

Тема утечек персональных данных (далее – ПДн) не теряет своей актуальности уже несколько лет. Так, InfoWatch в отчете «Утечки информации в мире» зарегистрировал в 2023 году рост утечек ПДн на 61,5% в сравнении с 2022 годом. При этом, значительно выросло количество утекших записей ПДн — до более чем 47,24 млрд., что на 111,5% больше, чем в 2022 году. В связи с этим вопрос ужесточения ответственности за нарушение защиты ПДн становится все более значимым. За последние годы регулирующие органы неоднократно озвучивали предложения об ужесточении ответственности за нарушение обработки и защиты ПДн и вели планомерную работу по разработке соответствующих законопроектов.

30 ноября были подписаны:

Принятые законы вводят новые составы правонарушений, а также ужесточают принятую ответственность.

Закон о внесении изменений в УК РФ распространяется на физических лиц, а Закон о внесении изменений в КоАП РФ на:

  • граждан;
  • должностных лиц;
  • юридических лиц;
  • индивидуальных предпринимателей.
Поправки поясняют, что за административные нарушения, предусмотренные ст. 13.11 КоАП РФ, индивидуальные предприниматели несут административную ответственность как юридические лица

В статье мы рассмотрим ответственность за нарушение требований:

ПДн – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

Операторами считаются любые организации, которые обрабатывают ПДн, а также определяют цели их обработки, состав необходимых для обработки ПДн и операции, совершаемые с ПДн.

Под утечкой ПДн подразумевается неправомерная передача (предоставление, распространение, доступ) ПДн лицам, не имеющим разрешения на доступ.

Изменения в КоАП РФ

1. Основные изменения

Предусмотренные изменения повлияли на размер штрафа за незаконную обработку ПДн, предусмотренную ч.1 и ч. 1.1 ст. 13.11 КоАП РФ.

Закон также вводит следующие новые составы правонарушений:

  • отсутствие уведомления в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) о намерении осуществлять обработку ПДн;
  • отсутствие уведомления в Роскомнадзор об утечке ПДн;
  • утечка иных* категорий ПДн;
  • утечка специальных или биометрических категорий ПДн;
  • повторная утечка ПДн.
*и разрешенных субъектом ПДн для распространения, если легитимность обработки таких ПДн была нарушена.

Отдельно изменения затрагивают ст. 13.11.3 КоАП РФ и вводят ответственность за нарушения, связанные с порядком обработки и защиты биометрических ПДн в Единой системе идентификации и аутентификации физических лиц с использованием биометрических ПДн (далее – ЕБС).

1.1. Незаконная обработка ПДн

В принятом Законе изменен размер административного штрафа, предусмотренный ч. 1 ст. 13.11 КоАП РФ, за нарушение обработки ПДн в случаях, не предусмотренных законодательством Российской Федерации (далее – РФ) в области ПДн, либо обработки ПДн, несовместимой с целями сбора ПДн. А также за повторное совершение указанного правонарушения, предусмотренного ч. 1.1 ст. 13.11 КоАП РФ. В таблице 1 приведена актуальная информация о размере административных штрафов.

Таблица 1 – Административная ответственность по ч. 1 и ч. 1.1 ст. 13.11 КоАП РФ

НормаСодержание нарушенияДля когоБыло (рублей)Стало (рублей)
ч. 1 ст. 13.11Обработка ПДн в случаях, не предусмотренных законодательством РФ в области ПДн, либо обработка ПДн, несовместимая с целями сбораГраждане2 тыс. – 6 тыс.10 тыс. – 15 тыс.
Должностные лица10 тыс. – 20 тыс.50 тыс. – 100 тыс.
Юридические лица60 тыс. – 100 тыс.150 тыс. – 300 тыс.
ч. 1.1 ст. 13.11Повторное совершение административного правонарушения, предусмотренного ч. 1 ст. 13.11Граждане4 тыс. – 12 тыс.15 тыс. – 30 тыс.
Должностные лица10 тыс. – 50 тыс.
50 тыс. – 100 тыс. (для ИП)
100 тыс. – 200 тыс.
Юридические лица100 тыс. – 300 тыс.300 тыс. – 500 тыс.

1.2. Отсутствие уведомления в Роскомнадзор о намерении осуществлять обработку ПДн

В соответствии с ч. 10 ст. 13.11 КоАП РФ ответственность наступает за невыполнение и (или) несвоевременное выполнение оператором обязанности по уведомлению Роскомнадзора о намерении осуществлять обработку ПДн (ч. 1 ст. 22 152-ФЗ). Наказание предусмотрено в виде административного штрафа, размер которого указан в таблице 2.

Если оператор осуществляет деятельность по обработке ПДн исключительно без использования средств автоматизации, то он вправе не уведомлять Роскомнадзор.

Таблица 2 – Административная ответственность по ч. 10 ст. 13.11 КоАП РФ

НормаСодержание нарушенияДля когоСтало (рублей)
ч. 10 ст. 13.11Невыполнение и (или) несвоевременное выполнение оператором обязанности по уведомлению Роскомнадзора о намерении осуществлять обработку ПДнГраждане5 тыс. – 10 тыс.
Должностные лица30 тыс. – 50 тыс.
Юридические лица100 тыс. – 300 тыс.

1.3. Отсутствие уведомления в Роскомнадзор об утечке ПДн

В соответствии с ч. 11 ст. 13.11 КоАП РФ ответственность наступает за невыполнение и (или) несвоевременное выполнение оператором обязанности по уведомлению Роскомнадзора в случае установления факта неправомерной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн (ч. 3.1 ст. 21 152‑ФЗ). Наказание предусмотрено в виде административного штрафа, размер которого указан в таблице 3.

Таблица 3 – Административная ответственность по ч. 11 ст. 13.11 КоАП РФ

НормаСодержание нарушенияДля когоСтало (рублей)
ч. 10 ст. 13.11Невыполнение и (или) несвоевременное выполнение оператором обязанности по уведомлению Роскомнадзора о намерении осуществлять обработку ПДнГраждане5 тыс. – 10 тыс.
Должностные лица30 тыс. – 50 тыс.
Юридические лица100 тыс. – 300 тыс.

1.4. Утечка иных категорий ПДн

В соответствии с ч. 12, 13, 14 ст. 13.11 КоАП РФ ответственность наступает за действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей ПДн. Размер штрафа зависит от объема неправомерно переданных ПДн количества субъектов и уникальных обозначений сведений о физических лицах, необходимых для определения таких лиц (далее – идентификаторы).

Под идентификатором понимается любая запись в базе данных, прямо или косвенно относящаяся к субъекту ПДн.

В таблице 4 приведена зависимость размера штрафа от объема неправомерно переданных ПДн.

Таблица 4 – Административная ответственность по ч. 12, 13, 14 ст. 13.11 КоАП РФ

НормаГрадация объемовДля когоШтраф (рублей)
ч. 12 ст. 13.11от 1 тыс. до 10 тыс.
субъектов ПДн,
от 10 тыс. до 100 тыс.
идентификаторов
Граждане100 тыс. – 200 тыс.
Должностные лица200 тыс. – 400 тыс.
Юридические лица3 млн. – 5 млн.
ч. 13 ст. 13.11от 10 тыс. до 100 тыс.
субъектов ПДн,
от 100 тыс. до 1 млн.
идентификаторов
Граждане200 тыс. – 300 тыс.
Должностные лица300 тыс. – 500 тыс.
Юридические лица5 млн. – 10 млн.
ч. 14 ст. 13.11более 100 тыс.
субъектов ПДн,
более 1 млн.
идентификаторов
Граждане300 тыс. – 400 тыс.
Должностные лица400 тыс. – 600 тыс.
Юридические лица10 млн. – 15 млн.
Отмечаем, что во всех частях есть оговорка о том, что эти действия (бездействие) не должны содержать признаков уголовно наказуемого деяния.

1.5. Утечка специальных или биометрических категорий ПДн

Законодатель отдельно выделяет ответственность за действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей:

  • специальные категории ПДн в ч. 16 ст. 13.11 КоАП РФ;
  • биометрические ПДн в ч. 17 ст.13.11 КоАП РФ.

Специальные категории ПДн – это данные касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости.

Биометрические ПДн – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн.

В таблице 5 приведены содержания норм и размеры административных штрафов, предусмотренных за указные нарушения.

Таблица 5 – Административная ответственность по ч. 16 и ч. 17 ст. 13.11 КоАП РФ

НормаСодержание нарушенияДля когоШтраф (рублей)
ч. 16 ст. 13.11Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей специальную категорию ПДнГраждане300 тыс. – 400 тыс.
Должностные лица1 млн. – 1,3 млн.
Юридические лица10 млн. – 15 млн.
ч. 17 ст. 13.11Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей биометрические ПДнГраждане400 тыс. – 500 тыс.
Должностные лица1,3 млн. – 1,5 млн.
Юридические лица15 млн. – 20 млн.

Исключением в ч. 17 ст. 13.11 КоАП РФ являются случаи, попадающие под ст. 13.11.3 КоАП РФ, которые касаются нарушения требований по обработке ПДн в государственной информационной системе «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных»).

1.6. Повторная утечка ПДн

Нововведения впервые вводят оборотные штрафы, то есть фиксированный процент от выручки оператора. Ответственность наступает, если оператор ранее уже привлекался к ответственности за утечку ПДн, о которых мы рассказали в двух пунктах выше.

Выручка оператора — совокупность размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение.

Так, в ч. 15 ст. 13.11 КоАП ответственность наступает за совершение административного правонарушения, предусмотренного ч. 12, 13, 14 ст. 13.11, лицами, которые ранее уже привлекались в соответствии с ч. 12-14, 16-18 ст. 13.11 КоАП РФ за действия (бездействие), повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей ПДн. Иными словами, штраф за повторную утечку иных категорий ПДн.

И в ч. 18 ст. 13.11 КоАП ответственность наступает за совершение административного правонарушения, предусмотренного ч. 16 или 17 ст. 13.11, лицом, которое ранее уже привлекалось в соответствии с ч. 12-18 ст. 13.11 КоАП РФ к административной ответственности. Иными словами, штраф за повторную утечку специальных категорий ПДн или биометрических ПДн.

В соответствии с п. 2 ст. 4.6 КоАП РФ утечка считается «повторной» в течение одного года с момента уплаты административного штрафа.

Таблица 6 – Административная ответственность по ч. 15 и ч. 18 ст. 13.11 КоАП РФ

НормаСодержание нарушенияДля когоШтраф (рублей)
ч. 15 ст. 13.11Совершение административного правонарушения, предусмотренного ч. 12-14 ст. 13.11, лицами, которые ранее уже привлекались в соответствии с ч. 12-15, 16-18 ст. 13.11 КоАП РФ за действия (бездействие), повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей ПДнГраждане400 тыс. – 600 тыс.
Должностные лица800 тыс. – 1,2 млн.
Юридические лицаот 1% до 3%, но не менее 20 млн. и не более 500 млн.
ч. 18 ст. 13.11Совершение административного правонарушения, предусмотренного ч. 16 или 17 ст. 13.11, лицом, которое ранее уже привлекалось в соответствии с ч. 12-18 ст. 13.11 КоАП РФ к административной ответственностиГраждане500 тыс. – 800 тыс.
Должностные лица1,5 млн. – 2 млн.
Юридические лицаот 1% до 3%, но не менее 25 млн. и не более 500 млн.

В новой редакции КоАП РФ для ч. 15 и ч. 18 ст. 13.11 предусмотрены два важных смягчающих обстоятельства, которые будут приниматься во внимание при определении ответственности за нарушения:

— ежегодные расходы оператора в течение трех календарных лет, предшествующих году, в котором было выявлено административное правонарушение, на мероприятия по обеспечению информационной безопасности, а сумма таких расходов должна составлять не менее 0,1% годовой суммы выручки. В Законе отмечается, что такие мероприятия должны проводить организации, имеющие лицензию ФСБ России или ФСТЭК России, либо операторы самостоятельно при наличии такой лицензии.

— соблюдение требований к защите ПДн при их обработке в информационных системах ПДн при условии наличия документально зафиксированных результатов за последние 12 месяцев. Что еще раз обращает внимание оператора на нормы, установленные в ч. 12 – 18 ст. 13.11, то есть оператором должны приниматься все необходимые и достаточные меры по обеспечению безопасности ПДн, установленные действующим законодательством РФ.

Фактом подтверждения соблюдения требований по защите ПДн могут являться, например, Акт оценки эффективности системы защиты ПДн или Аттестат соответствия требованиям по обеспечению безопасности ПДн.
 
2. Защита биометрических ПДн в ЕБС

Принятый Закон вводит новые административные составы за нарушения, в части обработки и защиты биометрических в ПДн в ЕБС, предусмотренные ст. 13.11.3 КоАП РФ. Так, в соответствии с ч. 2 ст. 13.11.3 КоАП РФ ответственность наступает за нарушение порядка обработки биометрических ПДн в ЕБС и в информационных системах уполномоченных органов, либо требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических ПДн, векторов ЕБС в целях проведения идентификации и (или) аутентификации.

Под уполномоченными органами понимаются государственные органы, Центральный банк РФ, организации, прошедшие аккредитацию и осуществляющие аутентификацию на основе биометрических ПДн физических лиц.

В ч. 3 ст. 13.11.3 КоАП РФ ответственность вводится за непринятие организационных и технических мер по обеспечению безопасности биометрических ПДн при их обработке в ЕБС, ее взаимодействии с иными информационными системами либо непринятие организационных и технических мер по обеспечению безопасности биометрических ПДн при их обработке в иных информационных системах, обеспечивающих аутентификацию с использованием биометрических ПДн физических лиц, в том числе в информационных системах аккредитованных государственных органов.

И в ч. 4 ст. 13.11.3 КоАП РФ ответственность вводится за обработку биометрических ПДн, векторов ЕБС для аутентификации физических лиц в информационных системах уполномоченных органов без аккредитации либо в случае, если аккредитация приостановлена или прекращена. В таблице 7 приведены содержания норм и размеры административных штрафов, предусмотренных за указные нарушения.

Таблица 7 – Административная ответственность по ч. 2-4 ст. 13.11.3 КоАП РФ

НормаСодержание нарушенияДля когоШтраф (рублей)
ч. 2 ст. 13.11.3Нарушение порядка обработки биометрических ПДн в ЕБС, порядка обработки биометрических ПДн, векторов ЕБС в информационных системах государственных органов, Центрального банка РФ, организаций, прошедших аккредитацию и осуществляющих аутентификацию на основе биометрических ПДн физических лиц, либо требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических ПДн, векторов ЕБС в целях проведения идентификации и (или) аутентификацииДолжностные лица100 тыс. – 300 тыс.
Юридические лица500 тыс. – 1 млн.
ч. 3 ст. 13.11.3Непринятие организационных и технических мер по обеспечению безопасности биометрических ПДн при их обработке в ЕБС, ее взаимодействии с иными информационными системами либо непринятие организационных и технических мер по обеспечению безопасности биометрических ПДн при их обработке в иных информационных системах, обеспечивающих аутентификацию с использованием биометрических ПДн физических лиц, в том числе в информационных системах аккредитованных государственных органовДолжностные лица300 тыс. – 500 тыс.
Юридические лица1 млн. – 1,5 млн.
ч. 4 ст. 13.11.3Обработка биометрических ПДн, векторов ЕБС для аутентификации физических лиц в информационных системах государственных органов, организаций, информационной системе Центрального банка РФ без аккредитации либо в случае, если аккредитация приостановлена или прекращенаДолжностные лица500 тыс. – 1 млн.
Юридические лица1 млн. – 2 млн.
Изменения в УК РФ

Уголовный кодекс РФ дополнен статьей 272.1 за незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей ПДн, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения. В таблице 8 приведена актуальная информация о составе частей и предусмотренном наказании.

Таблица 8 – Уголовная ответственность по ст. 272.1 Уголовного кодекса РФ

НормаСодержание правонарушенияПредусмотренное наказание
ч. 1 ст. 272.1Незаконные использование и (или) передача (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей ПДн, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо иным незаконным путемШтраф до 300 тыс. рублей или доход осужденного (заработная плата) за период до 1 года, либо принудительные работы/лишение свободы на срок до 4 лет
ч. 2 ст. 272.1Деяния ч. 1, совершенные в отношении компьютерной информации, содержащей ПДн несовершеннолетних лиц, специальные категории ПДн и (или) биометрические ПДнШтраф до 700 тыс. рублей или доход осужденного (заработная плата) за период до 2 лет (с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового), либо принудительные работы/лишение свободы на срок до 5 лет
ч. 3 ст. 272.1

Деяния, ч. 1 или ч. 2, совершенные:

  • а) из корыстной заинтересованности
  • б) с причинением крупного ущерба
  • в) группой лиц по предварительному сговору
  • г) с использованием своего служебного положения
Штраф до 1 млн. рублей или доход осужденного (заработная плата) за период до 3 лет (с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового), либо принудительные работы на срок до 5 лет + штраф до 1 млн. рублей или доход осужденного за период до 3 лет, либо лишение свободы на срок до 6 лет
ч. 4 ст. 272.1Деяния ч. 1–3 сопряженные с трансграничной передачей компьютерной информации, содержащей ПДн, и (или) трансграничным перемещением носителей информации, содержащих ПДнЛишение свободы на срок до 8 лет + штраф в размере до 2 млн. рублей или доход осужденного (заработная плата) за период до 3 лет
ч. 5 ст. 272.1Деяния ч. 1–4, если они повлекли тяжкие последствия либо совершены организованной группойЛишение свободы на срок до 10 лет + штраф в размере до 3 млн. рублей или доход осужденного (заработная плата) за период до 4 лет
ч. 6 ст. 272.1Создание и (или) обеспечение функционирования информационного ресурса (сайта в сети «Интернет» и (или) страницы сайта в сети «Интернет», информационной системы, программы для электронных вычислительных машин), заведомо предназначенного для незаконных хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей ПДн, полученной незаконным путемШтраф до 700 тыс. рублей или доход осужденного (заработная плата) за период до 2 лет, либо лишение свободы на срок до 5 лет
Что нужно сделать Операторам, чтобы снизить риски нарушения требований законодательства при обработке ПДн?

1. Провести аудит процессов организации обработки и обеспечения безопасности ПДн:

  • определить цели, перечень ПДн, состав ПДн, операции над ПДн, условия обработки и третьих лиц, кому передаются ПДн;
  • определить (и назначить) ответственного за организацию обработки ПДн;
  • провести оценку эффективности системы защиты ПДн;
  • заполнить форму уведомления о намерении осуществлять обработку ПДн и направить ее в Роскомнадзор;
  • осуществить контроль за соответствием информации, зафиксированной в уведомлении о намерении осуществлять обработку ПДн, действительности и, по мере необходимости, направить уведомление об изменениях в Роскомнадзор.

2. Выстроить процесс реагирования на инциденты:

  • регламентировать процесс реагирования на инциденты;
  • подготовить условия для мониторинга инцидентов информационной безопасности и обеспечить реагирование на них или подключиться к корпоративному центру мониторинга (например, USSC-SOC);
  • обеспечить информирование Роскомнадзора в случае утечки ПДн.

3. Повышать осведомленность пользователей в вопросах обеспечения безопасности ПДн.

Авторы:

К.А. Кузнецова, Руководитель группы Аналитического центра ООО «УЦСБ»

А.С. Остапова, Старший аналитик Аналитического центра ООО «УЦСБ»

Источник:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Переводчик »