Закон об усилении ответственности за нарушения в сфере персональных данных вступает в силу

Москва. 30 мая. INTERFAX.RU - Федеральный закон, усиливающий административную ответственность за утечки персональных данных и нарушения требований к их обороту, в том числе вводящий оборотные штрафы для бизнеса, вступает в силу в пятницу.

Президент РФ Владимир Путин 30 ноября 2024 года подписал федеральный закон, вносящий изменения в Кодекс об административных правонарушениях в виде увеличения штрафов и введения новых административных составов.

Теперь величина штрафа за утечку персональных данных зависит от того, сколько этих данных "утекло". Так, за незаконное распространение данных от 1 тыс. до 10 тыс. субъектов персональных данных или от 10 тыс. до 100 тыс. идентификаторов (по закону - уникальное обозначение сведений о физическом лице, содержащееся в информсистеме персональных данных оператора и относящееся к такому лицу - ИФ) устанавливаются штрафы: для граждан в размере от 100 тыс. до 200 тыс. рублей; для должностных лиц - от 200 тыс. до 400 тыс. рублей; для юрлиц - от 3 млн до 5 млн руб.

За утечку данных от 10 тыс. до 100 тыс. субъектов или от 100 тыс. до 1 млн идентификаторов закон предусматривает штраф для граждан в размере от 200 тыс. до 300 тыс. руб.; для должностных лиц - от 300 тыс. до 500 тыс. руб.; для юридических лиц - от 5 млн до 10 млн руб.

Согласно закону, за массовую утечку данных (более чем 100 тыс. субъектов или более 1 млн идентификаторов) штрафы вырастают для граждан - до 400 тыс., для должностных лиц - до 600 тыс. и до 15 млн рублей для юрлиц.

При повторных нарушениях штрафы увеличатся до 600 тыс. рублей для граждан и до 1,2 млн для должностных лиц, а для компаний вводятся оборотные штрафы - от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, но не менее 20 млн руб. и не более 500 млн руб.

Предусматривается также административная ответственность за утечку специальной категории персональных данных в виде штрафа для граждан в размере от 300 тыс. до 400 тыс. руб.; для должностных лиц - от 1 млн до 1,3 млн руб.; для юридических лиц - от 10 млн до 15 млн руб. Согласно ст.10 ФЗ "О персональных данных", к специальной категории относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

За утечку у оператора биометрических персональных данных предусмотрело наложение штрафа: на граждан - от 400 тыс. до 500 тыс. руб., на должностных лиц - от 1,3 млн до 1,5 млн руб., на юрлиц - от 15 млн до 20 млн руб.

За повторные утечки специальных данных и биометрии предусмотрены штрафы: для граждан - в размере от 500 тыс. до 800 тыс. руб., для должностных лиц - от 1,5 млн до 2 млн руб. В отношении юрлиц в этом случае предусматривается оборотный штраф - от 1% до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено правонарушение, либо размера собственных средств кредитной организации на дату совершения правонарушения, но не менее 25 млн руб. и не более 500 млн руб.

Новые составы правонарушений

Вводится также административная ответственность и за невыполнение или несвоевременное выполнение оператором обязанности по уведомлению Роскомнадзора (РКН) о намерении осуществлять обработку персональных данных - наложение штрафа на граждан в размере от 5 тыс. до 10 тыс. руб.; на должностных лиц - от 30 тыс. до 50 тыс. руб.; на юрлиц - от 100 тыс. до 300 тыс. руб.

Между тем, за неуведомление Роскомнадзора о случае установления факта утечки персональных данных предусмотрены кратно большие штрафы: для граждан - от 50 тыс. до 100 тыс. руб., для должностных лиц - от 400 тыс. до 800 тыс. руб., для юрлиц - от 1 млн до 3 млн руб.

Кроме этого, устанавливается административная ответственность за отказ в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя от прохождения идентификации или аутентификации с использованием его биометрических персональных данных.

За такое правонарушение должностным лицам органов госвласти, органов местного самоуправления грозит штраф от 20 тыс. до 25 тыс. руб. либо дисквалификация сроком на шесть месяцев, а работникам МФЦ и Роскадастра - штраф от от 5 тыс. до 10 тыс. руб. либо дисквалификация сроком на шесть месяцев.

В конце апреля замглавы РКН Милош Вагнер рекомендовал бизнесу сообщить об утечках данных до 30 мая, чтобы в случае привлечения их к ответственности рассчитывать на меньшие штрафы. Он также напомнил о введении штрафов за отсутствие уведомления о начале обработки персональных данных, это требование было введено ещё в 2022 году.

Накануне, 29 мая, пресс-служба РКН сообщила, что в связи с большим количеством одновременных обращений операторов по подаче уведомлений об обработке персональных данных возможны временные замедления в работе сервиса по их приёму. "Роскомнадзор фиксирует рост общего числа уведомлений об обработке персональных данных: если обычно ведомство регистрировало от 500 до 800 уведомлений в сутки, то 23 мая это число достигло 70 тыс., 26 мая - 101 тыс., а 27 мая - 150 тыс.", - отметили в РКН.