В России ужесточили наказание за утечку персональных данных. Что нужно знать

26 ноября Госдума приняла пакет поправок в Административный и Уголовный кодексы об усилении ответственности за утечки персональных данных. Максимальный штраф за это возрастет до 500 млн рублей, а незаконный оборот такой информации грозит тюремным сроком до пяти лет. Какая теперь предусмотрена ответственность за кражи и утечки персональных данных — в материале «Известий».

Поправки в Административный кодекс

• Первый закон о поправках в КоАП предусматривает штрафы, начисляемые в зависимости от объема утечки. За распространение данных до 10 тыс. субъектов (лиц, которым принадлежат данные и которого по ним можно определить. — Ред.) физлица будут оштрафованы на сумму от 100 тыс. до 200 тыс. рублей, должностные лица — до 400 тыс. рублей, а юрлица — от 3 млн до 5 млн рублей. За утечку до 100 тыс. субъектов персональных данных ответственные за это будут обязаны выплатить до 300 тыс. рублей, до 500 тыс. и от 5 млн до 10 млн рублей соответственно. А за массовую утечку (более 100 тыс. субъектов) санкции достигнут 400 тыс., 600 тыс. и до 15 млн рублей.

• Отдельные суммы штрафов будут введены за утечку специальных категорий данных. К ним относятся сведения о расовой и национальной принадлежности, политических взглядах, религиозных или философских убеждениях, информация о состоянии здоровья, интимной жизни, наличии судимостей. Санкции составят от 300 тыс. до 15 млн рублей для разных категорий населения.

• Административная ответственность грозит и за то, что оператор несвоевременно уведомил об утечке Роскомнадзор. За это штраф составит от 5 тыс. до 300 тыс. рублей.

• За повторную утечку данных сумма выплат увеличится. Для юридических лиц прирост будет исчисляться в процентах. Так, они заплатят от 1 до 3% от совокупного размера выручки, полученной от реализации всех товаров (работ, услуг) за календарный год, предшествующий тому, в котором было выявлено правонарушение. При этом сумма штрафа не должна превышать 500 млн рублей.

• Если действия или бездействие оператора повлекли неправомерную передачу персональных данных, штраф составит от 100 тыс. до 10 млн рублей. Также вне закона теперь отказ в заключении или расторжение договора с потребителем из-за того, что тот отказался от идентификации или аутентификации с использованием его биометрических данных.

Поправки в Уголовный кодекс

• Вторым законопроектом в УК РФ вводится положение о наказании за незаконное использование личных данных человека. За это грозит штраф до 300 тыс. рублей либо в размере годового дохода нарушителя. В отдельных случаях это грозит принудительными работами либо тюремным заключением на срок до четырех лет. Если были украдены данные несовершеннолетних, специальные категории данных либо биометрические сведения, то максимальный штраф может составить 700 тыс. рублей, а тюремное заключение — до пяти лет.

• Штраф до 1 млн рублей или шестилетний тюремный срок с таким же штрафом в качестве максимального наказания грозит лицам, которые использовали персональные данные в корыстных целях или причинили серьезный ущерб пострадавшему. Такое же наказание получит группа лиц, совершившая преступление по предварительному сговору.

• Самые жесткие последствия грозят при трансграничной утечке персональных данных, кража которых была совершена организованной группой либо причинила пострадавшему крупный ущерб, — до десяти лет тюрьмы и штраф до 3 млн рублей.

• Данные меры не будут применяться, если речь идет об обработке персональных данных для личных и семейных нужд.

Почему ужесточили ответственность за утечку

• В Госдуме заявили об участившихся случаях обращения, связанных с утечками данных. По словам политиков, на черном рынке налажена широкая сеть по торговле персональными данными. Там содержится информация примерно о 80% населения России. Лишь за 2023 год ущерб от утечек составил около 8 млрд рублей.

• По данным Роскомнадзора, за девять месяцев 2024 года было выявлено 110 случаев утечки данных. Чаще всего они происходили у компаний, работающих в сфере торговли и оказания услуг. Для того чтобы минимизировать последствия, ведомство настаивало на том, чтобы дать операторам четкие инструкции об обращении с личной информацией граждан.