Оборотные штрафы по персональным данным теперь реальность: какие выводы нужно сделать бизнесу?
Оборотные штрафы для бизнеса теперь реальность: законодатели приняли новые меры ответственности за утечку персональных данных (ПД). Максимальный штраф — 3% от выручки, или до 500 млн рублей. Что нужно сделать предпринимателям сейчас, чтобы избежать уплаты миллионных штрафов?
30 ноября президент подписал законы, ужесточающие ответственность как за утечку персональных данных, так и за нарушение ФЗ-152 «О персональных данных».
В Кодексе об административных правонарушениях повышены штрафы за имеющиеся нарушения, а также введены новые статьи. Например:
- максимальный штраф за обработку ПД в случаях, не предусмотренных законодательством, либо обработку ПД, несовместимую с целями сбора (ч. 1, 1.1 ст. 13.11 КоАП РФ) подняли в 3 раза — со 100 тысяч рублей до 300 тысяч рублей для юрлиц;
- штраф за неуведомление или несвоевременное уведомление РКН о незаконной передаче ПД (ч. 11 ст. 13.11 КоАП РФ) составит 1-3 млн рублей для юрлиц;
- штрафы за утечку персональных данных разнятся от 3 до 15 млн рублей в зависимости от количества субъектов, чьи данные попали в сеть, а при наличии предыдущих правонарушений в части защиты данных считаются в процентах от выручки.
Также есть изменения и в Уголовном кодексе. Введена новая специальная статья 272 — раньше уголовной ответственности за нарушение закона о персональных данных не было:
незаконные использование, передача, сбор или хранение компьютерной информации, содержащей ПД, полученной путем неправомерного доступа (ч. 1 ст. 272) наказываются штрафом до
до 300 тыс. руб. или в размере зарплаты за период до 1 года, либо принудительными работами до 4 лет, либо лишением свободы до 4 лет;
а вот если те же нарушения совершены с отягчающими обстоятельствами — например, в отношении несовершеннолетних, по предварительному сговору или с трансграничной передачей ПД — то наказание будет суровее. Срок лишения свободы может составить до 10 лет, сумма штрафа — до 3 млн рублей.
Какие выводы и прогнозы можно сделать на основе штрафов?
Уголовная ответственность не касается утечек персональных данных
Наказать могут любое должностное лицо, которое не соблюдает правила ответственного хранения и обработки персональных данных
Что же касается утечек, то от них не застрахован ни один работодатель
Данные 90% взрослых россиян уже находятся в открытом доступе, по информации Сбербанка. У компаний сохраняется риск публикации хакерами старых баз данных уже после вступления в силу новых штрафов, в том числе с целью шантажа.Меры, принимаемые компанией для защиты персональных данных, играют весомую роль в определении виновности или невиновности в утечке, а также ответственности за неё
Так, в КоАП РФ предусмотрены смягчающие обстоятельства для компаний, например, соблюдение требований к защите персональных данных в ИСПДн с обязательным ежегодным документальным подтверждением этого факта в течение 12 месяцев до утечки.У работодателей есть всего 180 дней, чтобы исправить нарушения или разработать документальный фонд с нуля
Государство дало время работодателям до 30 мая 2025 года, чтобы привести процессы и документы в порядок
Государство заинтересовано в применении принятых штрафов
У России есть пример юрисдикций Евросоюза и США, где наказания за утечку персональных данных очень суровы. Вспомнить, например, рекордный штраф Европейского союза в размере 1,2 млрд евро в отношении компании Meta (признана экстремистской в России)
Законодательство о персональных данных — одно из самых тяжелых для исполнения: 180 дней едва хватит, чтобы провести аудит и выстроить процессы обработки персональных данных в соответствии с законом. Бизнесу нужно использовать отведенное время с умом, чтобы не попасть под волну проверок Роскомнадзора в 2025 году.