С 30 мая 2025 года вступил в силу федеральный закон, ужесточающий наказание за утечку личных данных и другие нарушения при работе с ними. Операторам персональных данных грозят крупные штрафы за действия (бездействие), из-за которых произошла незаконная передача персональных сведений граждан, также вводится более строгое наказание за непредставление Роскомнадзору некоторых уведомлений.
В пресс-службе Роскомнадзора пояснили, закон призван стимулировать к принятию адекватных мер по защите информации.
«Оценить эффективность новых норм можно будет лишь после значительного периода их применения — примерно через 1,5-2 года», — добавили в ведомстве.
В РКН уверены, что в дальнейшем необходимо совершенствовать законодательство в сфере защиты персональных данных.
«В рамках этой работы Роскомнадзор выступал с предложением, озвученным, в частности, на ПМЮФ, суть которого в том, чтобы крупные компании, обладающие значительными ресурсами и экспертизой в кибербезопасности, предоставляли малым и средним предприятиям услуги облачного хранения и защиты данных, фактически выступая сервис-провайдерами в этой области. Это позволило бы снизить риски утечек персональных данных, поскольку многие небольшие компании сегодня не уделяют должного внимания вопросам защиты информации, что делает их уязвимыми», — отметили в ведомстве и добавили, что такой подход мог бы стать проявлением ответственного поведения крупного бизнеса и способствовать повышению общего уровня кибербезопасности в стране.
Напомним, что закон, ужесточающий наказание за утечку личных данных, подписал Президент РФ Владимир Путин 30 ноября 2024 года.
Этот закон повышает штрафы за обработку персональных данных, не предусмотренную законодательством: за это правонарушение гражданам придется заплатить 10-15 тыс. рублей вместо 2-6 тыс. рублей, должностным лицам — 50-100 тыс. рублей вместо 10-20 тыс. рублей, юрлицам — 150-300 тыс. вместо 60-100 тыс. рублей.
За повторные нарушения — до 30 тыс. рублей для граждан, до 200 тыс. рублей для должностных лиц и до 500 тыс. рублей для организаций. Прежде размер наказания составлял до 12 тыс. рублей, до 50 тыс. рублей и до 300 тыс. рублей соответственно.
Вводятся и новые административные наказания, в частности, штраф за незаконную передачу личных данных, сумма которого будет зависеть от количества пострадавших или от объема переданной информации. За утечку данных 1-10 тыс. человек или 10-100 тыс. идентификаторов гражданам будет грозить штраф до 200 тыс. рублей, госслужащим — до 400 тыс. рублей, организациям — до 5 млн рублей. Если переданная информация включает данные 10-100 тыс. человек или от 100 тыс. до 1 млн идентификаторов, физлиц будут штрафовать на сумму до 300 тыс. рублей, должностных лиц — до 500 тыс. рублей, а юрлиц — до 10 млн рублей. Если утечка будет еще больше, штраф составит до 400 тыс. рублей, 600 тыс. рублей и 15 млн рублей соответственно.
Отдельные санкции предусмотрены за повторную утечку. Наиболее суровое наказание в этом случае понесут юрлица — для них устанавливаются оборотные штрафы в размере от 1 до 3% суммы выручки, но не менее 20 млн рублей и не более 500 млн рублей. Штраф для физлиц составит до 600 тыс. рублей, для должностных лиц — до 1,2 млн рублей.
Устанавливается штраф за несвоевременное уведомление Роскомнадзора об обработке персональных данных или за отсутствие такого уведомления: для граждан — до 10 тыс. рублей, для госслужащих — до 50 тыс. рублей, а для организаций — до 300 тыс. рублей. Если Роскомнадзор не уведомляют или несвоевременно уведомляют о неправомерной или случайной утечке, назначается штраф до 100 тыс. рублей для физлиц, до 800 тыс. рублей для должностных лиц и до 3 млн рублей — для юрлиц.
