Документ

Федеральный закон от 30.11.2024 № 420-ФЗ

Комментарий

Президент РФ подписал закон, который существенно ужесточил ответственность в сфере персональных данных. Так, увеличены размеры штрафов, а также введены новые составы нарушений и ответственность за них. Изменения вступают в силу с 30 мая 2025 года.

Увеличены штрафы за нарушения при обработке персональных данных

За обработку персональных данных в случаях, не предусмотренных законодательством, либо обработку персональных данных, несовместимую с целями их сбора (за исключением случаев, предусмотренных ч. 2, 11 – 18 ст. 13.11 КоАП РФ и статьей 17.13 КоАП РФ), установлен штраф (ч. 1 ст. 13.11 КоАП РФ):

• для граждан – в размере от 10 000 до 15 000 руб. (ранее – от 2000 до 6000 руб.);
• для должностных лиц и ИП – от 50 000 до 100 000 руб. (ранее – от 10 000 до 20 000 руб.);
• для организаций – от 150 000 до 300 000 руб. (ранее – от 60 000 до 100 000 руб.).

За повторное совершение вышеуказанного административного правонарушения штраф составит (ч. 1.1 ст. 13.11 КоАП РФ):

• для граждан – в размере от 15 000 до 30 000 руб. (ранее – от 4000 до 12 000 руб.);
• для должностных лиц – от 100 000 до 200 000 руб. (ранее – от 20 000 до 50 000 руб.);
• для организаций и ИП – от 300 000 до 500 000 руб. (ранее для организаций – от 100 000 до 300 000 руб., для ИП – от 50 000 до 100 000 руб.).

Новые нарушения при обработке персональных данных

За невыполнение или несвоевременное выполнение оператором обязанности уведомлять Роскомнадзор о намерении осуществлять обработку персональных данных установлен штраф (ч. 10 ст. 13.11 КоАП РФ):

• для граждан – в размере от 5000 до 10 000 руб.;
• для должностных лиц государственного или муниципального органа либо некоммерческой организации (далее – НКО) – от 30 000 до 50 000 руб.;
• для организаций, которые не являются государственным или муниципальным органом или НКО, и ИП – от 100 000 до 300 000 руб.

Если такое нарушение сопровождается неправомерной или случайной передачей (предоставлением, распространением, доступом, далее – передача) персональных данных, повлекшей нарушение прав субъектов таких данных, предусмотрен штраф по ч. 11 ст. 13.11 КоАП РФ:

• для граждан – в размере от 50 000 до 100 000 руб.;
• для должностных лиц государственного или муниципального органа либо НКО – от 400 000 до 800 000 руб.;
• для организаций, которые не являются государственным или муниципальным органом или НКО, и ИП – от 1 млн до 3 млн руб.

В отдельные составы выделены нарушения, касающиеся массовой утечки персональных данных. За действия (бездействие) оператора, которые повлекли неправомерную передачу информации, включающей персональные данные от 1000 до 10 000 субъектов и (или) от 10 000 до 100 000 идентификаторов, предусмотрен штраф по ч. 12 ст. 13.11 КоАП РФ (если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния):

• для граждан – в размере от 100 000 до 200 000 руб.
• для должностных лиц государственного или муниципального органа либо НКО – от 200 000 до 400 000 руб.;
• для организаций, которые не являются государственным или муниципальным органом или НКО, и ИП – от 3 млн до 5 млн руб.

Под идентификатором понимается уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу (Примечание 4 к ст. 13.11 КоАП РФ).

Если неправомерная передача информации затронула персональные данные от 10 000 до 100 000 субъектов и (или) от 100 000 до 1 млн идентификаторов, то оператору грозит штраф по ч. 13 ст. 13.11 КоАП РФ (если нет признаков уголовно наказуемого деяния):

• для граждан – в размере от 200 000 до 300 000 руб.;
• для должностных лиц государственного или муниципального органа либо НКО – от 300 000 до 500 000 руб.;
• для организаций, которые не являются государственным или муниципальным органом или НКО, и ИП – от 5 млн до 10 млн руб.

За действия (бездействие), повлекшие неправомерную передачу информации, включающей персональные данные более 100 000 субъектов и (или) более 1 млн идентификаторов, оператору грозит штраф по ч. 14 ст. 13.11 КоАП РФ (если нет признаков уголовно наказуемого деяния):

• для граждан – в размере от 300 000 до 400 000 руб.;
• для должностных лиц государственного или муниципального органа либо НКО – от 400 000 до 600 000 руб.;
• для организаций, которые не являются государственным или муниципальным органом или НКО, и ИП – от 10 млн до 15 млн руб.

За действия (бездействие) оператора, повлекшие неправомерную передачу информации, включающей специальную категорию персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости), предусмотрен штраф (ч. 16 ст. 13.11 КоАП РФ):

• для граждан – в размере от 300 000 до 400 000 руб.;
• для должностных лиц государственного или муниципального органа либо НКО – от 1 млн до 1 300 000 руб.;
• для организаций, которые не являются государственным или муниципальным органом или НКО,  и ИП – от 10 млн до 15 млн руб.

За действия (бездействие) оператора, повлекшие неправомерную передачу информации, включающей биометрические персональные данные (за исключением случаев, указанных в ст. 13.11.3 КоАП РФ), предусмотрен штраф (ч. 17 ст. 13.11 КоАП РФ):

• для граждан – в размере от 400 000 до 500 000 руб.;
• для должностных лиц государственного или муниципального органа либо НКО – от 1 300 000 до 1 500 000 руб.;
• для организаций, которые не являются государственным или муниципальным органом или НКО, и ИП – от 15 млн до 20 млн руб.

За повторные нарушения ответственность более жесткая (ч. 15, ч. 18 ст. 13.11 КоАП РФ).

Скорректированы правила привлечения к ответственности за нарушения при обработке персональных данных

Обратите внимание, что по новым правилам за нарушения, предусмотренные ч. 1.1, 8 – 18 ст. 13.11 КоАП РФ, для индивидуальных предпринимателей предусмотрены штрафы в том же размере, что и для юридических лиц (организаций). Напомним, что сейчас ИП несут ответственность как организации только за нарушения, указанные в ч. 8 и ч. 9 ст. 13.11 КоАП РФ. За большинство нарушений для ИП последует штраф значительнее. Если организация (оператор), совершившая нарушение, предусмотренное ч. 10 – 18 ст. 13.11 КоАП РФ, не является государственным или муниципальным органом или НКО, ее оштрафуют как юридическое лицо, а если является, за нарушение оштрафуют ее должностное лицо. Это предусмотрено в новой редакции Примечания к ст. 13.11 КоАП РФ.

Отягчающие обстоятельства при нарушениях при обработке персональных данных

Установлены отягчающие обстоятельства, которые будут учитываться при назначении административного наказания за предусмотренные ч. 15 и ч. 18 ст. 13.11 КоАП РФ нарушения при обработке персональных данных.

К таким отягчающим обстоятельствам относятся:

• продолжение противоправного поведения, несмотря на требование уполномоченных на то лиц прекратить его (п. 1 ч. 1 ст. 4.3 КоАП РФ);
• лицо, которое совершило правонарушение, на момент его совершения (на момент вынесения постановления по делу о правонарушении) считалось или считается подвергнутым наказанию за совершение правонарушений, предусмотренных ч. 1 – 11 ст. 13.11 КоАП РФ и (или) ст. 13.6, 13.12 КоАП РФ, то есть в отношении лица ранее было вынесено постановление о привлечении к административной ответственности за указанные нарушения.

При этом наличие отягчающих обстоятельств повлечет привлечение нарушителя к более строгой ответственности.

Указанные изменения, внесенные в КоАП РФ, начнут действовать с 30 мая 2025 года. Поэтому нарушителей смогут привлечь к ответственности по новым правилам только с этой даты.

Смотрите также

• Защита персональных данных работников
• Согласие на обработку и распространение персональных данных работника
• Уведомление Роскомнадзора об обработке персональных данных