Оборотные штрафы за утечку персональных данных с 2025 года

Принят Федеральный закон от 30.11.2024 № 420-ФЗ, который усилил меры ответственности за нарушения в сфере защиты персональных данных.

Новый закон, в частности, внес изменения в КоАП, дополнив статью 13.11 частями 10-18, связанными с увеличением размеров административных штрафов за незаконную обработку персональных данных, а также ввел административную ответственность для операторов персональных данных за невыполнение или несвоевременное выполнение оператором обязанности по уведомлению РКН о намерении осуществлять обработку персональных данных.

Так, установлена ответственность за:

• невыполнение или несвоевременное выполнение оператором обязанности по уведомлению Роскомнадзора о намерении осуществлять обработку персональных данных;
• невыполнение или несвоевременное выполнение оператором обязанности по уведомлению Роскомнадзора в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных;
• действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от субъектов персональных данных и (или) от идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния;
• действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей специальную категорию персональных данных; действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей биометрические персональные данные.

При этом предусмотрена градация размера административного штрафа при утечке информации, содержащей персональные данные, в зависимости от количества субъектов персональных данных и (или) идентификаторов.

Так, за незаконное распространение информации, включающей персональные данные от 1 тысячи до 10 тысяч субъектов персональных данных или от 10 тысяч до 100 тысяч идентификаторов установили штрафы:

• для граждан в размере от 100 тысяч до 200 тысяч рублей;
• для должностных лиц − от 200 тысяч до 400 тысяч рублей;
• для юридических лиц − от 3 миллионов до 5 миллионов рублей.

За незаконное распространение информации, включающей персональные данные от 10 тысяч до 100 тысяч субъектов персональных данных или от 100 тысяч до 1 миллиона идентификаторов предусмотрены штрафы:

• для граждан в размере от 200 тысяч до 300 тысяч рублей;
• для должностных лиц − от 300 тысяч до 500 тысяч рублей;
• для юридических лиц − от 5 миллионов до 10 миллионов рублей.

За незаконное распространение информации, включающей персональные данные более 100 тысяч субъектов персональных данных или более 1 миллиона идентификаторов установили штрафы:

• для граждан в размере от 3 300 тысяч до 400 тысяч рублей;
• для должностных лиц − от 400 тысяч до 600 тысяч рублей;
• для юридических лиц − от 10 миллионов до 15 миллионов рублей.

Помимо этого, в качестве меры ответственности в частях 15 и 18 статьи 13.11 КоАП для юрлиц предусмотрены оборотные штрафы. Они будут применяться в случае появления квалифицирующего признака правонарушения — повторности.

При повторном нарушении для юридических лиц оборотный штраф устанавливается в размере от 1 до 3 % совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, но не менее 25 миллионов рублей и не более 500 миллионов рублей.

Оборотный штраф будет рассчитываться от совокупного размера суммы выручки, полученной:

• от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение;
• либо за предшествующую дате выявления административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году.

Помимо этого, в Примечаниях к статье 13.11 КоАП оговорено что:

• индивидуальные предприниматели несут административную ответственность как юридические лица;
• под должностным лицом понимается должностное лицо государственного или муниципального органа либо некоммерческой организации;
• под юридическим лицом понимается оператор - юридическое лицо, не являющееся государственным или муниципальным органом либо некоммерческой организацией;
• под идентификатором понимается уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу;
• при назначении административного наказания за совершение административных повторных правонарушений, предусмотренных частями 15 и 18 статьи 13.11 КоАП, учитываются отягчающие обстоятельства.

В числе таковых законодатели перечислили:

• наличие отягчающего административную ответственность обстоятельства, предусмотренного пунктом 1 части 1 статьи 4.3 КоАП, а именно — продолжение противоправного поведения, несмотря на требование уполномоченных на то лиц прекратить его;
• если лицо, совершившее административное правонарушение, на момент его совершения (на момент вынесения постановления по делу об административном правонарушении) считалось (считается) подвергнутым административному наказанию за совершение административных правонарушений, предусмотренных частями 1 - 11 статьи 13.11 КоАП или статьями 13.6, 13.12 КоАП.

Однако, предусматривается возможность снизить размер штрафов за нарушения, предусмотренные частями 15 и 18 статьи 13.11 КоАП.

Штраф может быть назначен в размере 1/10 минимального размера административного штрафа, предусмотренного за совершение соответствующего административного правонарушения, но не менее 15 миллионов рублей и не более 50 миллионов рублей в случае выполнения лицом, в отношении которого ведется производство по делу об административном правонарушении, до момента вынесения постановления о наложении административного штрафа одновременно следующих условий:

• ежегодные расходы оператора в течение 3 календарных лет, предшествующих году, в котором было выявлено административное правонарушение, на мероприятия по обеспечению информационной безопасности, проведенные организациями, имеющими лицензию, предусмотренную пунктом 1 или 5 части 1 статьи 12 Федерального закона от 04.05.2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности», либо самостоятельно при условии наличия у оператора такой лицензии, составляли не менее 1/10 процента годового совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), либо размера собственных средств (капитала) кредитной организации;
• оператор соблюдал требования к защите персональных данных при их обработке в информационных системах персональных данных при условии документального подтверждения указанного факта, проведенного в течение 12-ти месяцев, предшествующих моменту выявления административного правонарушения;
• обстоятельства, отягчающие административную ответственность, предусмотренную примечанием 5 к статье 13.11 КоАП, отсутствовали.

Новые меры ответственности вводятся с 30 мая 2025 года.