Ужесточение ответственности за нарушение 152-ФЗ: разбор изменений в области защиты персональных данных
11 декабря 2024
Тема утечек персональных данных (далее – ПДн) не теряет своей актуальности уже несколько лет. Так, InfoWatch в отчете «Утечки информации в мире» зарегистрировал в 2023 году рост утечек ПДн на 61,5% в сравнении с 2022 годом. При этом, значительно выросло количество утекших записей ПДн — до более чем 47,24 млрд., что на 111,5% больше, чем в 2022 году. В связи с этим вопрос ужесточения ответственности за нарушение защиты ПДн становится все более значимым.
За последние годы регулирующие органы неоднократно озвучивали предложения об ужесточении ответственности за нарушение обработки и защиты ПДн и вели планомерную работу по разработке соответствующих законопроектов.
30 ноября были подписаны:
Закон о внесении изменений в УК РФ распространяется на физических лиц, а Закон о внесении изменений в КоАП РФ на:
Тема утечек персональных данных (далее – ПДн) не теряет своей актуальности уже несколько лет. Так, InfoWatch в отчете «Утечки информации в мире» зарегистрировал в 2023 году рост утечек ПДн на 61,5% в сравнении с 2022 годом. При этом, значительно выросло количество утекших записей ПДн — до более чем 47,24 млрд., что на 111,5% больше, чем в 2022 году. В связи с этим вопрос ужесточения ответственности за нарушение защиты ПДн становится все более значимым.
За последние годы регулирующие органы неоднократно озвучивали предложения об ужесточении ответственности за нарушение обработки и защиты ПДн и вели планомерную работу по разработке соответствующих законопроектов.
30 ноября были подписаны:
- Федеральный закон от 30.11.2024 № 421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации» (далее – Закон о внесении изменений в УК РФ);
- Федеральный закон от 30.11.2024 № 420‑ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее – Закон о внесении изменений в КоАП РФ).
Закон о внесении изменений в УК РФ распространяется на физических лиц, а Закон о внесении изменений в КоАП РФ на:
- граждан;
- должностных лиц;
- юридических лиц;
- индивидуальных предпринимателей.
Поправки поясняют, что за административные нарушения, предусмотренные ст. 13.11 КоАП РФ, индивидуальные предприниматели несут административную ответственность как юридические лица
В статье мы рассмотрим ответственность за нарушение требований:
- Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152‑ФЗ) и смягчающие обстоятельства, предусмотренные новыми изменениями;
- Федерального закона от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации» (далее – 572-ФЗ).
ПДн – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
Операторами считаются любые организации, которые обрабатывают ПДн, а также определяют цели их обработки, состав необходимых для обработки ПДн и операции, совершаемые с ПДн.
Под утечкой ПДн подразумевается неправомерная передача (предоставление, распространение, доступ) ПДн лицам, не имеющим разрешения на доступ.
Операторами считаются любые организации, которые обрабатывают ПДн, а также определяют цели их обработки, состав необходимых для обработки ПДн и операции, совершаемые с ПДн.
Под утечкой ПДн подразумевается неправомерная передача (предоставление, распространение, доступ) ПДн лицам, не имеющим разрешения на доступ.
Изменения в КоАП РФ
1.Основные изменения
Предусмотренные изменения повлияли на размер штрафа за незаконную обработку ПДн, предусмотренную ч.1 и ч. 1.1 ст. 13.11 КоАП РФ.
Закон также вводит следующие новые составы правонарушений:
Отдельно изменения затрагивают ст. 13.11.3 КоАП РФ и вводят ответственность за нарушения, связанные с порядком обработки и защиты биометрических ПДн в Единой системе идентификации и аутентификации физических лиц с использованием биометрических ПДн (далее – ЕБС).
1.1.Незаконная обработка ПДн
В принятом Законе изменен размер административного штрафа, предусмотренный ч. 1 ст. 13.11 КоАП РФ, за нарушение обработки ПДн в случаях, не предусмотренных законодательством Российской Федерации (далее – РФ) в области ПДн, либо обработки ПДн, несовместимой с целями сбора ПДн. А также за повторное совершение указанного правонарушения, предусмотренного ч. 1.1 ст. 13.11 КоАП РФ. В таблице таблице 1 приведена актуальная информация о размере административных штрафов.
Предусмотренные изменения повлияли на размер штрафа за незаконную обработку ПДн, предусмотренную ч.1 и ч. 1.1 ст. 13.11 КоАП РФ.
Закон также вводит следующие новые составы правонарушений:
- отсутствие уведомления в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) о намерении осуществлять обработку ПДн;
- отсутствие уведомления в Роскомнадзор об утечке ПДн;
- утечка иных* категорий ПДн;
- утечка специальных или биометрических категорий ПДн;
- повторная утечка ПДн.
Отдельно изменения затрагивают ст. 13.11.3 КоАП РФ и вводят ответственность за нарушения, связанные с порядком обработки и защиты биометрических ПДн в Единой системе идентификации и аутентификации физических лиц с использованием биометрических ПДн (далее – ЕБС).
1.1.Незаконная обработка ПДн
В принятом Законе изменен размер административного штрафа, предусмотренный ч. 1 ст. 13.11 КоАП РФ, за нарушение обработки ПДн в случаях, не предусмотренных законодательством Российской Федерации (далее – РФ) в области ПДн, либо обработки ПДн, несовместимой с целями сбора ПДн. А также за повторное совершение указанного правонарушения, предусмотренного ч. 1.1 ст. 13.11 КоАП РФ. В таблице таблице 1 приведена актуальная информация о размере административных штрафов.
1.1.Отсутствие уведомления в Роскомнадзор о намерении осуществлять обработку ПДн
В соответствии с ч. 10 ст. 13.11 КоАП РФ ответственность наступает за невыполнение и (или) несвоевременное выполнение оператором обязанности по уведомлению Роскомнадзора о намерении осуществлять обработку ПДн (ч. 1 ст. 22 152-ФЗ). Наказание предусмотрено в виде административного штрафа, размер которого указан в таблице 2.
В соответствии с ч. 10 ст. 13.11 КоАП РФ ответственность наступает за невыполнение и (или) несвоевременное выполнение оператором обязанности по уведомлению Роскомнадзора о намерении осуществлять обработку ПДн (ч. 1 ст. 22 152-ФЗ). Наказание предусмотрено в виде административного штрафа, размер которого указан в таблице 2.
Если оператор осуществляет деятельность по обработке ПДн исключительно без использования средств автоматизации, то он вправе не уведомлять Роскомнадзор.
Таблица 2– Административная ответственность по ч. 10 ст. 13.11 КоАП РФ
1.1.Отсутствие уведомления в Роскомнадзор об утечке ПДн
В соответствии с ч. 11 ст. 13.11 КоАП РФ ответственность наступает за невыполнение и (или) несвоевременное выполнение оператором обязанности по уведомлению Роскомнадзора в случае установления факта неправомерной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн (ч. 3.1 ст. 21 152‑ФЗ). Наказание предусмотрено в виде административного штрафа, размер которого указан в таблице 3.
В соответствии с ч. 11 ст. 13.11 КоАП РФ ответственность наступает за невыполнение и (или) несвоевременное выполнение оператором обязанности по уведомлению Роскомнадзора в случае установления факта неправомерной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн (ч. 3.1 ст. 21 152‑ФЗ). Наказание предусмотрено в виде административного штрафа, размер которого указан в таблице 3.
Таблица 3 – Административная ответственность по ч. 11 ст. 13.11 КоАП РФ
1.1.Утечка иных категорий ПДн
В соответствии с ч. 12, 13, 14 ст. 13.11 КоАП РФ ответственность наступает за действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей ПДн. Размер штрафа зависит от объема неправомерно переданных ПДн количества субъектов и уникальных обозначений сведений о физических лицах, необходимых для определения таких лиц (далее – идентификаторы).
В соответствии с ч. 12, 13, 14 ст. 13.11 КоАП РФ ответственность наступает за действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей ПДн. Размер штрафа зависит от объема неправомерно переданных ПДн количества субъектов и уникальных обозначений сведений о физических лицах, необходимых для определения таких лиц (далее – идентификаторы).
Под идентификатором понимается любая запись в базе данных, прямо или косвенно относящаяся к субъекту ПДн.
В таблице 4 приведена зависимость размера штрафа от объема неправомерно переданных ПДн.
Таблица 4 – Административная ответственность по ч. 12, 13, 14 ст. 13.11 КоАП РФ
Отмечаем, что во всех частях есть оговорка о том, что эти действия (бездействие) не должны содержать признаков уголовно наказуемого деяния.
1.1.Утечка специальных или биометрических категорий ПДн
Законодатель отдельно выделяет ответственность за действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей:
1.1.Утечка специальных или биометрических категорий ПДн
Законодатель отдельно выделяет ответственность за действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей:
- специальные категории ПДн в ч. 16 ст. 13.11 КоАП РФ;
- биометрические ПДн в ч. 17 ст.13.11 КоАП РФ.
Специальные категории ПДн – это данные касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости.
Биометрические ПДн – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн.
Биометрические ПДн – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн.
В таблице 5 приведены содержания норм и размеры административных штрафов, предусмотренных за указные нарушения.
Таблица 5 – Административная ответственность по ч. 16 и ч. 17 ст. 13.11 КоАП РФ
Исключением в ч. 17 ст. 13.11 КоАП РФ являются случаи, попадающие под ст. 13.11.3 КоАП РФ, которые касаются нарушения требований по обработке ПДн в государственной информационной системе «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных»).
1.1.Повторная утечка ПДн
Нововведения впервые вводят оборотные штрафы, то есть фиксированный процент от выручки оператора. Ответственность наступает, если оператор ранее уже привлекался к ответственности за утечку ПДн, о которых мы рассказали в двух пунктах выше.
1.1.Повторная утечка ПДн
Нововведения впервые вводят оборотные штрафы, то есть фиксированный процент от выручки оператора. Ответственность наступает, если оператор ранее уже привлекался к ответственности за утечку ПДн, о которых мы рассказали в двух пунктах выше.
Выручка оператора — совокупность размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение.
Так, в ч. 15 ст. 13.11 КоАП ответственность наступает за совершение административного правонарушения, предусмотренного ч. 12, 13, 14 ст. 13.11, лицами, которые ранее уже привлекались в соответствии с ч. 12-14, 16-18 ст. 13.11 КоАП РФ за действия (бездействие), повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей ПДн. Иными словами, штраф за повторную утечку иных категорий ПДн.
И в ч. 18 ст. 13.11 КоАП ответственность наступает за совершение административного правонарушения, предусмотренного ч. 16 или 17 ст. 13.11, лицом, которое ранее уже привлекалось в соответствии с ч. 12-18 ст. 13.11 КоАП РФ к административной ответственности. Иными словами, штраф за повторную утечку специальных категорий ПДн или биометрических ПДн.
И в ч. 18 ст. 13.11 КоАП ответственность наступает за совершение административного правонарушения, предусмотренного ч. 16 или 17 ст. 13.11, лицом, которое ранее уже привлекалось в соответствии с ч. 12-18 ст. 13.11 КоАП РФ к административной ответственности. Иными словами, штраф за повторную утечку специальных категорий ПДн или биометрических ПДн.
В соответствии с п. 2 ст. 4.6 КоАП РФ утечка считается «повторной» в течение одного года с момента уплаты административного штрафа.
Таблица 6 – Административная ответственность по ч. 15 и ч. 18 ст. 13.11 КоАП РФ
В новой редакции КоАП РФ для ч. 15 и ч. 18 ст. 13.11 предусмотрены два важных смягчающих обстоятельства, которые будут приниматься во внимание при определении ответственности за нарушения:
- ежегодные расходы оператора в течение трех календарных лет, предшествующих году, в котором было выявлено административное правонарушение, на мероприятия по обеспечению информационной безопасности, а сумма таких расходов должна составлять не менее 0,1% годовой суммы выручки. В Законе отмечается, что такие мероприятия должны проводить организации, имеющие лицензию ФСБ России или ФСТЭК России, либо операторы самостоятельно при наличии такой лицензии.
- соблюдение требований к защите ПДн при их обработке в информационных системах ПДн при условии наличия документально зафиксированных результатов за последние 12 месяцев. Что еще раз обращает внимание оператора на нормы, установленные в ч. 12 – 18 ст. 13.11, то есть оператором должны приниматься все необходимые и достаточные меры по обеспечению безопасности ПДн, установленные действующим законодательством РФ.
Фактом подтверждения соблюдения требований по защите ПДн могут являться, например, Акт оценки эффективности системы защиты ПДн или Аттестат соответствия требованиям по обеспечению безопасности ПДн.
Защита биометрических ПДн в ЕБС
Принятый Закон вводит новые административные составы за нарушения, в части обработки и защиты биометрических в ПДн в ЕБС, предусмотренные ст. 13.11.3 КоАП РФ.
Так, в соответствии с ч. 2 ст. 13.11.3 КоАП РФ ответственность наступает за нарушение порядка обработки биометрических ПДн в ЕБС и в информационных системах уполномоченных органов, либо требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических ПДн, векторов ЕБС в целях проведения идентификации и (или) аутентификации.
Так, в соответствии с ч. 2 ст. 13.11.3 КоАП РФ ответственность наступает за нарушение порядка обработки биометрических ПДн в ЕБС и в информационных системах уполномоченных органов, либо требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических ПДн, векторов ЕБС в целях проведения идентификации и (или) аутентификации.
Под уполномоченными органами понимаются государственные органы, Центральный банк РФ, организации, прошедшие аккредитацию и осуществляющие аутентификацию на основе биометрических ПДн физических лиц.
В ч. 3 ст. 13.11.3 КоАП РФ ответственность вводится за непринятие организационных и технических мер по обеспечению безопасности биометрических ПДн при их обработке в ЕБС, ее взаимодействии с иными информационными системами либо непринятие организационных и технических мер по обеспечению безопасности биометрических ПДн при их обработке в иных информационных системах, обеспечивающих аутентификацию с использованием биометрических ПДн физических лиц, в том числе в информационных системах аккредитованных государственных органов.
И в ч. 4 ст. 13.11.3 КоАП РФ ответственность вводится за обработку биометрических ПДн, векторов ЕБС для аутентификации физических лиц в информационных системах уполномоченных органов без аккредитации либо в случае, если аккредитация приостановлена или прекращена.
В таблице 7 приведены содержания норм и размеры административных штрафов, предусмотренных за указные нарушения.
И в ч. 4 ст. 13.11.3 КоАП РФ ответственность вводится за обработку биометрических ПДн, векторов ЕБС для аутентификации физических лиц в информационных системах уполномоченных органов без аккредитации либо в случае, если аккредитация приостановлена или прекращена.
В таблице 7 приведены содержания норм и размеры административных штрафов, предусмотренных за указные нарушения.
Таблица 7 – Административная ответственность по ч. 2-4 ст. 13.11.3 КоАП РФ
Изменения в УК РФ
Уголовный кодекс РФ дополнен статьей 272.1 за незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей ПДн, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения.
В таблице 8 приведена актуальная информация о составе частей и предусмотренном наказании.
В таблице 8 приведена актуальная информация о составе частей и предусмотренном наказании.
Таблица 8 – Уголовная ответственность по ст. 272.1 Уголовного кодекса РФ
Что нужно сделать Операторам, чтобы снизить риски нарушения требований законодательства
при обработке ПДн?
1. Провести аудит процессов организации обработки и обеспечения безопасности ПДн:
- определить цели, перечень ПДн, состав ПДн, операции над ПДн, условия обработки и третьих лиц, кому передаются ПДн;
- определить (и назначить) ответственного за организацию обработки ПДн;
- провести оценку эффективности системы защиты ПДн;
- заполнить форму уведомления о намерении осуществлять обработку ПДн и направить ее в Роскомнадзор;
- осуществить контроль за соответствием информации, зафиксированной в уведомлении о намерении осуществлять обработку ПДн, действительности и, по мере необходимости, направить уведомление об изменениях в Роскомнадзор.
- регламентировать процесс реагирования на инциденты;
- подготовить условия для мониторинга инцидентов информационной безопасности и обеспечить реагирование на них или подключиться к корпоративному центру мониторинга (например, USSC-SOC);
- обеспечить информирование Роскомнадзора в случае утечки ПДн.
Авторы:
Ксения Кузнецова, руководитель группы Аналитического центра УЦСБ
Александра Остапова, старший аналитик Аналитического центра УЦСБ
Ксения Кузнецова, руководитель группы Аналитического центра УЦСБ
Александра Остапова, старший аналитик Аналитического центра УЦСБ
Нажимая кнопку «Подписаться», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
Подпишитесь на нашу рассылку
Вы будете получать только полезную информацию о кибербезопасности — никакого спама и рекламы