Президент увеличил штрафы за утечку персональных данных

И ввел уголовную ответственность за незаконный сбор персональных данных в интернете
41
Президент увеличил штрафы за утечку персональных данных
Аватар автора

Артём Мазанов

следит за новостями

Страница автора

30 ноября президент РФ подписал поправки в кодекс об административных правонарушениях и уголовный кодекс, ужесточающие ответственность за утечки персональных данных.

Поправки в КоАП РФ вступят в силу через 180 дней после опубликования документа, изменения в УК РФ — через десять дней.

Расскажу, что изменится.

Как сейчас

Компании, допустившие утечки персональных данных на бумаге, привлекают к административной ответственности со штрафом до 100 000 ₽, повторная утечка грозит штрафом до 300 000 ₽. А вот за утечку через интернет специальной ответственности не было. Авторы поправок посчитали, что это больше неприемлемо.

Что изменилось

Увеличили штрафы за обработку персональных данных без согласия пользователя либо если такая обработка несовместима с целями их сбора. За нарушение требований руководителю компании или ИП грозит штраф в размере 50 000—100 000 ₽, малым предприятиям — 75 000—150 000 ₽, остальным компаниям — 150 000—300 000 ₽.

За повторное нарушение руководителя компании или ИП могут оштрафовать на 100 000—200 000 ₽, малые предприятия — на 150 000—250 000 ₽, остальные компании — на 300 000—500 000 ₽.

Появилась ответственность за неуведомление Роскомнадзора о намерении обрабатывать персональные данные. Если этого не сделать, компаниям и ИП грозит штраф — от 100 000 до 300 000 ₽.

Появилась ответственность по уведомлению Роскомнадзора о неправомерной или случайной передаче персональных данных. За несоблюдение этого требования компаниям и ИП грозит штраф от 1 до 3 млн рублей.

Усилили ответственность за утечку персональных данных. Она наступит за действия или бездействие, из-за которых персональные данные утекли, при этом ситуация не должна содержать признаков уголовно наказуемого деяния.

Размер штрафа зависит от масштаба утечки — ее будут оценивать будут по количеству пострадавших и по идентификаторам  .

Суммы штрафов для ИП и компаний, кроме НКО, за утечку персональных данных

Число людей, чьи данные скомпрометированы / число утекших уникальных идентификаторовСумма
1000—10 000 / 10 000—100 0003—5 млн рублей
10 000—100 000 / 100 000—1 000 0005—10 млн рублей
Более 100 000 / более 1 000 00010—15 млн рублей

Суммы штрафов для ИП и компаний, кроме НКО, за утечку персональных данных

Число людей, чьи данные скомпрометированы / число утекших уникальных идентификаторовСумма
1000—10 000 / 10 000—100 0003—5 млн рублей
10 000—100 000 / 100 000—1 000 0005—10 млн рублей
Более 100 000 / более 1 000 00010—15 млн рублей

За повторную утечку персональных данных штрафы еще выше. Для ИП и компаний, кроме НКО, — от 1 до 3% от выручки, полученной за год, предшествующий году, в котором выявили нарушения. Но не менее 20 млн и не более 500 млн рублей.

Штраф могут снизить, если нет отягчающих обстоятельств, а инвестиции бизнеса в информационную безопасность на протяжении трех лет были не менее 0,1% от выручки. При этом компания либо ИП должны соблюдать требования к защите данных.

Есть отдельная ответственность за утечку персональных данных с биометрией. Юрлицам и ИП грозит штраф от 15 до 20 млн рублей.

Появилась уголовная ответственность за незаконное использование и передачу, сбор и хранение компьютерной информации, содержащей персональные данные. Наказание — штраф в размере 300 000—400 000 ₽ или принудительные работы на срок до четырех лет, либо лишение свободы на срок до четырех лет.

Если речь о компьютерной информации, содержащей персональные данные несовершеннолетних или биометрию, наказание строже — штраф до 700 000 ₽ или принудительные работы на срок до пяти лет, либо лишение свободы на срок до пяти лет.

Если указанные выше действия повлекли тяжкие последствия либо совершены организованной группой, наказанием может стать лишение свободы на срок до десяти лет.

Ввели уголовную ответственность за создание сайта, предназначенного для хранения и распространения персональных данных, полученных незаконным путем. Это касается и отдельных страниц, например тем на форумах.

Максимальное наказание за это правонарушение — лишение свободы на срок до пяти лет. Действие этой статьи не будет распространяться на случаи обработки персональных данных физлицами для семейных нужд.

Новости, которые касаются бизнеса, — в нашем телеграм-канале. Подписывайтесь, чтобы быть в курсе происходящего: @t_biznes

  • Василий ЩТех, чьи данные вдруг утекут, это не коснётся, никакой компенсации17
  • Забаненый за правдуНу хоть что-то полезное2
  • Мамин_абьюзер10-15 млн рублей для какого-нибудь яндекса, озона, мейла, сбера, мегафона? Серьезно? Они этих сумм даже не почувствуют.10
  • Максим ЯщукЕсли поможет, будет очень удобно. А то я уже устал от непонятного спама на телефон7
  • AlexanderОжидание: бигтехи будут лучше защищать ПД Реальность: бигтехи сольют (сымитируют утечку) ПД до вступления в силу закона чтобы потом при случае рассказать "а это ... ну вон тот слив 2024 года"13
  • АлёнаХорошо, если хоть немного поможет уменьшить утечки данных. Задолбали спамеры! 👹0
  • AlexanderХочется верить, но на деле всё не так однозначно. это не единственный вектор, увы. ИБ: IDS, DLP Коррумпированный оператор колцентра или менеджер по втюхиванию инвестиционных продуктов: фоткает БД в CRM (и подобных) на телефон, затем отдаёт на фриланс на оцифровку. Сильно много не вынесет, но по нижней границе -- вполне. (основано на реальных событиях, а конкретно на фотках данных обо мне в оригинале, реально заказ через интернет примерно через 4 часа попал к оцифровщику который увидел знакомое ФИО и поделился) еще с приходом микросервисного мира IDOR-уязвимости (в терминах owasp) возвращаются (и продолжают допускать массовые выборки), думал что эту остановку интернет проехал после массового перехода (костылями) к mobile first, но нет.9
  • Алексейнадо жестче. слили данные? компания лишается половины годовой выручки. На второй раз компания уходит в росимущество. Не поймите меня не так, но нет ничего важнее персональных данных. не можете обеспечить? пусть штат безопасников будет 5000 человек0
  • Henry BroncoА, ну если штрафы увеличили, то больше никаких утечек данных не будет, можно спать спокойно.4
  • НиколайМамин_абьюзер, ну дык это только по первой утечке. Вторая и последующие до 500 млн.2
  • МирославаВасилий, а то, что утекло раз, второй раз утечь уже не может7
  • МирославаAlexander, звучит интересно1
  • Владимир ЧастоедовАлексей, Вы хотите жестко наказать, но оторвано от реальности. 1. 5000 человек не поможет в сохранении данных. Вы думаете, что там будут серьезные специалисты, с высшим математическим образованием, которые будут продумывать алгоритмы шифрования и т.д. На деле те же безответственные работники, которые месяц назад закончили курсы на скиллбоксе или другом похожем интернет-ресурсе. 2. Представьте, Вы 10 лет строите компанию, с нуля поднимаете и только начали чувствовать себя комфортно и даже летать в отпуск, проводить время с семьей. Какой-то работник допускает ошибки или серьезная хакерская атака - нет половины годового дохода. Чем зарплату платить и операционные расходы? Все, компания банкрот? Это ни собственнику не интересно, ни государству, так как исчезает налогоплательщик и работодатель. 3. Ну перейдет в росимущество и что? Если на них упадет сотни компаний, как они будут ими управлять? Это ведь не реально вникнуть в каждую, управлять и быть эффективными.6
  • Мамин_абьюзерНиколай, 20 заплатят и все1
  • Дмитрий ГубскийСДЭК уже ранее сливал персональные данные. Сейчас нужно быть осторожнее.3
  • НиколайМамин_абьюзер, там оборотный если я правильно понял, но с учётом вилки не менее 20 и не более 500. 20 только при ничтожных (относительно) оборотах заплатят.1
  • Марк КрикунМирослава, невозможное возможно3
  • Анна Даниловаа, ну всё. Теперь данные не будут утекать.1
  • Анна ДаниловаТуча, а и точно. Теперь нужно делать `select * from users where allow_access=TRUE`3
  • Анна ДаниловаВладимир, соображения справедливые. Но и в сливах пд ничего хорошего нет. А они чаще всего по злому умыслу отдельных сотрудников, имеющих прикорм со стороны. Может вот для таких отдельных сотрудников нужна жёсткость, сравнимая с наказаниями за наркоторговлю например?1
  • Анна ДаниловаДмитрий, от уж да. Про сдэк ходили слухи. И тут мне надо получить заказ от мастера, который отправляет только сдэком, и никак больше. Думаю - дай-ка проверю. Называюсь Анной Алексеевной (в реале у меня другое отчество). На следующий день после получения заказа звонок на телефон: - Анна Алексеевна, у нас для вас персональное предложение!5
  • Анна ДаниловаВладимир, а ещё персональная ответственность для конкретного сотрудника, кто допустил слив.1
  • ТучаAlexander, ну я не про такие мелкие сливы, когда фоткают экран. А про "были слиты данные всех пользователей Яндекс Еды за всю ее историю".2
  • ВитаминМамин_абьюзер, не так, за штрафы заплатят все, и мы с вами.2
  • Владимир ЧастоедовАнна, согласен, для сотрудников, кто сознательно или по неосторожности сливает данные - жесткая (может быть даже уголовная) ответственность. Есть ответственность за врачебную ошибку или за халатную работу, так же нужно с IT специалистами, чтобы профессия медом не казалась. Я сам программист, поэтому много «специалистов» повидал.2
  • Анна ДаниловаВладимир, так при чём тут программисты? Они занимаются разработкой систем, и реальных данных как правило и не видят. А вот потом операторы во всяких пунктах выдачи сидят с зарплатой 19к, да и фоткают таблички, продавая эти данные на вес интересующимся.1
  • Владимир ЧастоедовАнна, программисты и сис. админы тоже сливают данные.0
  • Анна ДаниловаВладимир, да хорошо-хорошо. Просто расскажите, как это технически реализуется.2
  • Владимир ЧастоедовАнна, у них есть доступы к базам данных. Понятно, что у рядового программиста, который кнопочки на странице меняет этого нет, но кто занимается бекэндом и оптимизацией - скорей всего есть)0
  • Анна ДаниловаВладимир, ну то есть это догадки. И вы с такой прям уверенностью выдаёте их за истину человеку, кто занимается разработкой систем, занимающихся в том числе обработкой персональных данных. Ок. Нет. Никто не даст разработчику реальных данных. У тех, кто на бэкенде оптимизацией занимается будет триста миллионов Ивановых Иванов Ивановичей с телефоном +7 (777) 123-45-67. Хотя скорее будут встречаться Константины Константиновичи Константинопольские. Но это для фронтенда более полезно. Когда работа над производительностью идёт, там вообще неважно содержание. Хоть произвольный набор букв. Важно другое. Большое количество одновременных запросов. А что именно будет в этих запросах - неважно. Лишь бы по формату соответствовало. При этом риск утечки ПД в этом месте достаточно велик. И светить эти данные там, где в них нет необходимости, разумеется никто не будет. Ну отвечать же потом.2
  • Фан-клуб Валентина СтрыкалоВладимир, а гейство тут при чем?1
  • Елена СолнцеваМне кажется сливают и гос.стуруктуры..и яндекс, и мобильные операторы... и банки... в законе не поняла, только коммерческим компаниям штрафы?! Как обычному ИП обрабатывать ПД? Ах да... сейчас наберут компании за 100500 млн. Скажут какую программу или что там купить надо чтобы защитить ПД, трех сотрудников... только я вот думаю сливы происходят в болен крупных компаниях и гос.структурах...а бедный ИПшник ещё раз подумает стоит ли начинать своё дело и нанимать сотрудников..чтобы на лишние штрафы не попасть0
  • Анна ДаниловаФан-клуб, а при том! Чего очень-очень хочется, но нельзя, о том и говорят постоянно и кругом.1
  • Владимир ЧастоедовАнна, я занимаюсь онлайн разработкой почти 10 лет. Видел как выдается доступ к данным, как модерируется и так далее. Базы реальных людей не маленькие (200 тысяч и более). Слить их было очень просто, так как никакой политики выдачи доступа или контроля не было. Поэтому «мои догадки» основаны на моем же опыте. Более того, за все это время ни разу вопрос о защите ПД не поднимался. Может быть это только у меня такой опыт, но какой есть.1
  • Анна ДаниловаВладимир, очень у вас странно. Мой опыт ровно противоположный. Может у вас так лет десять назад было? Я разработкой занимаюсь несколько меньше, но тоже не первый день. И за всё время просто ни разу подобного безобразия не было.0
  • Владимир ЧастоедовАнна, даже в настоящее время это вижу. Может быть в разных сферах работаем, поэтому такой разных опыт))0
  • Анна ДаниловаВладимир, может и такое. Я в фармацевтической компании. Над внутренними продуктами работаю. Вполне немалые базы сотрудников и клиентов. Но даже если придёт в голову мысль их слить, то не будет возможности. Теоретически есть возможность запросить реальные данные, но нужно обосновать для службы безопасности. Но и если я таки запрошу для себя, то это не даёт автоматом права делиться ими с сотрудниками. Вообще, как мне кажется, естественный подход.1
  • НеxтоТ.е. все кто использует Google Analytics получается подпадают под все эти блоки вплоть до уголовки? Как специалисты по маркетингу, их руководители и собственники. Тк гугл хранит за бугром, эти данные хранятся вне территории нашей страны. Вот это попадос.0
  • Mars"...либо если такая обработка несовместима с целями их сбора..." - так она в 99,99 процентов несовместима с целями сбора. Накой собирают все перс.данные всякие конторки и конторушки типа частных стоматологий, клиник, лабораторий анализов? Что, кариес без паспортных данных не вылечить? Анализ мочи без домашнего адреса не сделать? А все эти ЖЭУ, УК, ТСЖ, энергосбыты - зачем им дата рождения, данные паспорта, свидетельство о праве собственности на недвижку? Что, без этих данных наши деньги за услуги на их расчетный счет не поступают? В подавляющем (да что там, почти в 100-процентном) большинстве случаев никаким сборщикам наших перс.данных эти данные не нужны ни для чего, кроме перепродажи. Ни для чего больше.0