Усиливается административная ответственность за утечки. Закон вступит в силу через 180 дней после официального опубликования.
Федеральным законом от 30.11.2024 № 420-ФЗ вносятся изменения в КоАП – усиливается административная ответственность за незаконное распространение персональных данных.
Утечки обойдутся недешево
Имеющуюся статью 13.11 КоАП дополняют новыми пунктами. Это, в частности, будут наказания за действия или бездействие оператора, повлекшие утечку персональных данных. При этом штрафы будут варьироваться в зависимости от объёма утекшей информации. За сведения об 1-10 тысячах граждан, или за утечку 10-100 тысяч идентификаторов будут штрафовать должностных лиц на суммы от 200 до 400 тысяч рублей, юрлиц и ИП – от 3 до 5 млн рублей.
Если утекли сведения 10-100 тысяч граждан либо от 100 тысяч до 1 млн идентификаторов, то штраф составит для организаций и ИП от 5 до 10 млн рублей, для должностных лиц – от 300 до 500 тысяч. Если распространены сведения о более чем 100 тысячах граждан или более 1 млн идентификаторов, то для организаций и ИП уготован штраф от 10 до 15 млн рублей, должностным лицам – 400-600 тысяч.
При повторных нарушениях штрафы для бизнеса становятся оборотными, то есть, зависящими от выручки соответствующего субъекта – организации и ИП рискуют потерять от 1% до 3% полной годовой выручки от реализации за предшествующий год. Если за предыдущий год выручки не было, то в расчёт может быть взята выручка за текущий год до момента выявления правонарушения. Для банков такой же процент будет браться от размера собственных средств (капитала) на дату совершения правонарушения. При этом такие штрафы могут быть не менее 20 млн рублей и не более 500 млн рублей.
Также штраф от 10 до 15 млн рублей установят за утечку информации, включающей специальную категорию персональных данных, а за биометрические данные – 15-20 млн. За повторное такое нарушение вводится оборотный штраф – такой же, как указан выше (но с нижним пределом в 25 млн).
Без уведомления – еще дороже
Кроме того, если в случае утечки обнаружится, что оператор в своё время не уведомил Роскомнадзор об обработке персональных данных, то будет грозить еще дополнительный штраф. Потолок – до 3 млн рублей для юрлиц и ИП.
За все упомянутые нарушения ИП будут нести ответственность такую же, как юрлица. Также в примечаниях указано, что к юрлицам-операторам в целях этих штрафов не относятся госорганы, государственные или муниципальные учреждения, а также НКО. Для госструктур существуют свои штрафы, в том числе, за нарушения в сфере обращения биометрических данных. Кстати, статья об этом существенно корректируется принятым законом.
Новый закон вступит в силу через 180 дней после официального опубликования. А пока что – согласно действующей редакции норм КоАП – обработка персданных в случаях, не предусмотренных законодательством, либо обработка, несовместимая с целями сбора таких данных, организациям обходится в суммы от 60 до 100 тысяч рублей, должностным лицам – от 10 до 20 тысяч. В случае повторного совершения таких нарушений установлены штрафы в среднем в два-три раза выше.
Также подписан закон об уголовной ответственности за утечки (подробнее).