Какие штрафы грозят за утечку персональных данных?

В течение всего 2024 года законодатели работали над поправками в нормативные правовые акты, касающиеся вопросов ответственности в сфере персональных данных (с текстом документа, рассматриваемого и корректируемого Государственной Думой в 2023-2024 годах, можно ознакомиться здесь). Итогом их деятельности стал Федеральный закон № 420, серьезно модифицировавший административное законодательство в рассматриваемой сфере с 30 мая 2025 года.

Какие изменения были внесены в КоАП РФ?

Статья 13.11 Кодекса дополнилась сразу несколькими пунктами.

Если оператор (компания или ИП) не сообщил Роскомнадзору о своем желании обрабатывать сведения подобного толка, то его оштрафуют за это на сумму от 100 до 300 тысяч рублей. Должностным лицам полагается штраф от 30 до 50 тысяч (часть 10).

Если субъект не сообщил уполномоченному органу о том, что внутри фирмы произошло ЧП и персональные данные были неправомерно или случайно переданы, то за это оштрафуют юрлиц и ИП в размахе от 1 до 3 млн рублей. Должностные лица заплатят от 400 до 800 тысяч. 

Административное наказание за утечку персональных данных варьируется в зависимости от объема скомпрометированной информации: 

• Сведения об 1-10 тысячах субъектов и (или) 10-100 тысяч идентификаторов — 3-5 млн рублей (юрлица и ИП), 200-400 тысяч (должностные лица);
• Сведения о 10-100 тысячах субъектов и (или) 100 тысяч - миллион идентификаторов — 5-10 млн рублей (юрлица и ИП), 300-500 тысяч (должностные лица);
• Сведения о 100 тысячах субъектов и более, более миллиона идентификаторов — 10-15 млн рублей (юрлица и ИП), 400-600 тысяч (должностные лица).

При повторном нарушении — суммы санкций возрастают в разы. ИП и юрлица заплатят от 1 до 3% от выручки, зафиксированной в предыдущем от нарушения году. Здесь есть и вариативность:

• Если в предшествующий год нарушитель не работал, то учитывается часть календарного года до момента фиксации факта несоблюдения требований законодательства;
• Также возможно вести отсчет (при назначении санкции) от размера имеющихся по факту средств кредитной организации в размахе от 20 до 500 млн рублей.

Если позиция субъекта привела к утечке данных, относимых к категории «специальных», то здесь предусматриваются штрафы для юрлиц и ИП от 10 до 15 млн рублей, для должностных лиц — от 1 млн до 1 млн 300 тысяч.

Неправомерная передача сданных биометрических данных предусматривает штраф для юрлиц от 15 млн до 20 млн рублей, для должностных лиц — от 1 млн 300 тысяч до 1,5 млн рублей.

В последних двух случаях — если правонарушение совершено повторно, то сумма санкции увеличивается: юрлица и ИП могут заплатить процент от размера выручки, должностные — от 1,5 до 2 млн рублей.

Отметим, что к административной ответственности также привлекаются по указанным составам и обычные граждане. Размер штрафов для них — от 5 до 800 тысяч рублей в зависимости от тяжести совершенного нарушения.

Следует отметить, что в упоминаемых частях статьи КоАП РФ: 

• юрлица — это не госорганы и не некоммерческие организации;
• должностные лица — это сотрудники государственных, муниципальных органов, а также НКО. 

На что обратить внимание при анализе указанных позиций?

1. Законодатель, как мы видим, использует две категории, определяя размер штрафов при утечке персональных данных: здесь не только субъекты, но и некие «идентификаторы». В контексте КоАП РФ идентификатор — это уникальное обозначение информации о гражданине, содержащееся в информационной системе персональных данных и прямо относящееся к этому субъекту. Указанная формулировка (пункт 4 Примечания к статье) — имеет достаточно неконкретизированный характер, так как повторяет определенным образом законодательную категорию «персональных данных». Видимо, вопрос конкретизации этих дефиниций будет определен в правоприменении, когда назначат первые штрафы.

2. Предусматривается серьезное смягчение санкции для нарушителя (1/10 от минимального размера оборотного штрафа от 15 млн и до 50 млн), если субъект выполнил ряд условий:

• За последние три года фирма тратила по статье «Информационная безопасность» от 0,1% размера выручки;
• При этом для подобных работ привлекались такие специалисты компаний, которые имеют лицензии ФСБ или ФСТЭК (второй вариант — у самой фирмы имеются подобные разрешительные документы);
• В корпорации проводился аудит информационной безопасности;
• В действиях правонарушителя нет отягчающих обстоятельств (они заданы пунктом 5 Примечания).

Что нужно сделать компаниям, чтобы не получить эти штрафы?

Во-первых, не забыть подать (при необходимости) в Роскомнадзор соответствующее уведомление об обработке персональных данных.

Во-вторых, составить и утвердить правильно базовую внутреннюю документацию, касающуюся данного вопроса.

В-третьих, назначить ответственных лиц внутри подразделения.

В-четвертых, внутри корпорации нужно поставить сертифицированные системы защиты.

В-пятых, проводите постоянный мониторинг ситуации, улучшайте свое программное обеспечение.

В-шестых, если утечка произошла, то проинформируйте об этом Роскомнадзор. Несоблюдение порядка информирования — тоже предусматривает штраф.

Также можно задепонировать собранные базы данных в Роспатенте и получить дополнительную защиту.