Берлова Юлия Юрист
119

Оборотные штрафы за утечку персональных данных

Ответственность за утечку персональных данных будет вновь ужесточаться: в Госдуму внесены два законопроекта. В качестве самой жесткой меры в КоАП РФ — оборотный штраф для компаний. Поправки вносят и в Уголовный кодекс РФ.

Содержание

НПА, регулирующие штрафы за утечку персональных данных

В декабре 2023 г. в Государственную думу внесены два законопроекта: ответственность за утечку персональных данных увеличена. Поправки планируется принять в КоАП и Уголовный кодекс РФ.

Сейчас максимальный размер санкции для компании, допустившей незаконное распространение личных данных, несущественен и составляет 100 000 руб.

ВАЖНО!
В 2022 г. в сеть попали данные 6,8 млн пользователей сервиса Яндекс.Еда. Суд оштрафовал компанию на 60 000 руб. по части 1 статьи 13.11 КоАП РФ, были возбуждены уголовные дела по трём статьям УК РФ.

Авторы законопроекта приводят статистику: за 2022 г. оценочный ущерб от утечек превысил 8 млрд руб. — и убеждены, что оборотные санкции будет стимулировать компании вкладываться в информационную безопасность.

Советуем прочитать: о защите персональных данных

Что считается утечкой персональных данных

«Утечкой» будет считаться неправомерная передача информации с персональными данными, т.е.:

  • предоставление;
  • распространение;
  • доступ.

Иными словами, любые действия, в т.ч. бездействие оператора, в результате которых третьи лица на незаконном основании получают доступ к персональным данным.

Вам будет полезно узнать: какие есть виды персональных данных

Оборотные штрафы за утечку персональных данных

Штрафы зависят от объема утекшей информации — от количества пострадавших граждан и (или) уникальных данных (идентификаторов):

ст. 13.11 КоАП в ред. законопроекта № 502104-8
Количество субъектов ПД Количество идентификаторов Размер штрафа (руб).
От 1000 до 10 000 От 10 000 до 100 000
  • на граждан — от 100 000 до 200 000;
  • на ДЛ — от 800 000 до 1 000 000;
  • на ЮЛ/ИП — 3 до 5 млн
От 10 000 до 100 000 От 100 000 до 1 000 000
  • на граждан — от 200 000 до 300 000;
  • на ДЛ — от 1 до 1,5 млн;
  • на ЮЛ/ИП — от 5 до 10 млн
Более 100 000 1 000 000
  • на граждан - от 300 000 до 400 000
  • на ДЛ - от 1,5 до 2 млн
  • на ЮЛ/ИП - от 10 до 15 млн
В любом объеме специальные категории данных В любом объеме специальные категории данных Аналогичный размер штрафа

Оборотный штраф налагается при совершении повторного нарушения и только на юридические лица и ИП.

ВАЖНО!
Чтобы правонарушение считалось «повторным», оно должно быть совершено в течение срока, когда лицо еще считается подвергнутым административному наказанию. Например, по правилам части 2 статьи 4.6 КоАП: если ранее компании был назначен административный штраф и она его уплатила, то ещё в течение года она будет считаться совершившей нарушение. Далее история компании считается «очищенной».

Размеры санкций:

  • от 0,1 до 3 % от суммы выручки компании за календарный год, предшествующий правонарушению, или за текущий год, когда произошел инцидент, если ранее деятельность не велась;
  • не менее 20 и не более 500 млн руб.

Особым отягчающим обстоятельством при расчете штрафа будет, если компания ранее была привлечена к ответственности за неуведомление Роскомнадзора о незаконном инциденте с личными данными и еще считается подвергнутым наказанию.

Читайте также: судебная практика по спорам о защите персданных