Лицам, нарушившим требования Закона № 152-ФЗ, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная.
Предупреждение или административный штраф:
- для граждан в размере от 100 до 300 руб.;
- для должностных лиц – от 300 до 500 руб.;
- для юрлиц – от 3000 до 5000 руб.
- для граждан – в размере от 2000 до 6000 руб.;
- для должностных лиц – от 10 тыс. до 20 тыс. руб.;
- для юрлиц — от 60 тыс. до 100 тыс. руб.
За повторное совершение данного административного правонарушения, административный штраф:
- для граждан в размере от 4000 до 12 000 руб.;
- для должностных лиц – от 20 тыс. до 50 тыс1 руб.;
- для ИП – от 50 тыс. до 100 тыс. руб.;
- для юрлиц – от 100 тыс. до 300 тыс. руб.
Административный штраф:
- для граждан в размере от 6000 до 10 000 руб.;
- для должностных лиц – от 20 тыс. до 40 тыс. руб.;
- для юрлиц – от 30 тыс. до 150 тыс. руб.
За повторное совершение данного административного правонарушения, административный штраф:
- для граждан в размере от 10 тыс. до 20 тыс. руб.;
- для должностных лиц – от 40 тыс. до 100 тыс. руб.;
- для ИП – от 100 тыс. до 300 тыс. руб.;
- для юрлиц – от 300 тыс. до 500 тыс. руб.
- для граждан в размере от 1500 до 3000 руб.;
- для должностных лиц – от 6000 до 12 000 руб.;
- для ИП – от 10 тыс. до 20 тыс. руб.;
- для юрлиц – от 30 тыс. до 60 тыс. руб.
- для граждан – в размере от 2000 до 4000 руб.;
- ;
- для ИП – от 20 тыс. до 30 тыс. руб.;
- для юрлиц – от 40 тыс. до 80 тыс. руб.
- для граждан в размере от 2000 до 4000 руб.;
- ;
- для ИП – от 20 тыс. до 40 тыс. руб.;
- для юрлиц – от 50 тыс. до 90 тыс. руб.
За повторное совершение данного административного правонарушения, административный штраф:
- для граждан в размере от 20 тыс. до 30 тыс. руб.;
- для должностных лиц – от 30 тыс. до 50 тыс. руб.;
- для ИП – от 50 тыс. до 100 тыс. руб.;
- для юрлиц – от 300 тыс. до 500 тыс. руб.
- для граждан в размере от 1500 до 4000 руб.;
- ;
- для ИП – от 20 тыс. до 40 тыс. руб.;
- для юрлиц – от 50 тыс. до 100 тыс. руб.
Административный штраф для должностных лиц в размере от 6000 до 12 000 руб.
- для граждан в размере от 30 тыс. до 50 тыс. руб.;
- для должностных лиц – от 100 тыс. до 200 тыс. руб.;
- для юрлиц – от 1 млн до 6 млн руб.
За повторное совершение данного административного правонарушения, административный штраф:
- для граждан в размере от 50 тыс. до 100 тыс. руб.;
- для должностных лиц – от 500 тыс. до 800 тыс. руб.;
- для юрлиц – от 6 млн до 18 млн руб.
- Нарушение правил защиты информации (Статья 13.12 КоАП РФ);
- Незаконная деятельность в области защиты информации (Статья 13.13 КоАП РФ);
- Разглашение информации с ограниченным доступом (Статья 13.14 КоАП РФ).
- Незаконное использование документов для образования (создания, реорганизации) юридического лица (Статья 173.2 УК РФ);
- Разглашение тайны усыновления (удочерения) (Статья 155 УК РФ);
- Нарушение неприкосновенности частной жизни (Статья 137 УК РФ).
Последняя актуализация: 23 июня 2024 г.
Получите полный доступ к системе ГАРАНТ бесплатно на 3 дня!
Все права на материалы сайта ГАРАНТ. Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя. Правила использования портала.
Портал ГАРАНТ.РУ зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 года.
ООО «НПП «ГАРАНТ-СЕРВИС», 119234, г. Москва, ул. Ленинские горы, д. 1, стр. 77, [email protected].
Разработчик ЭПС Система ГАРАНТ – ООО «НПП «Гарант-Сервис-Университет»
3145), [email protected]
Если вы заметили опечатку в тексте,
выделите ее и нажмите Ctrl+Enter
С 27 марта вырастут штрафы за нарушения в области персональных данных: ТАБЛИЦА
В КоАП РФ внесены поправки в ст. 13.11, предусматривающее ужесточение ответственности за нарушения в области персональных данных (Федеральный закон от 24 февраля 2021 г. № 19-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»). Санкции по таким нарушениям больше не предусматривают возможность применения предупреждения, а размеры штрафов увеличились в два раза.
Все важные документы и новости о коронавирусе COVID-19– в ежедневной рассылке Подписаться
Повторное совершение некоторых нарушений выделено в отдельные составы правонарушений.
Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо обработка персональных данных, несовместимая с целями сбора персональных данных
предупреждение или штраф:
- на граждан в размере от 1 тыс. до 3 тыс. руб.;
- на должностных лиц – от 5 тыс. до 10 тыс. руб.;
- на юрлиц – от 30 тыс. до 50 тыс. руб.
- на граждан в размере от 2 тыс. до 6 тыс. руб.;
- на должностных лиц – от 10 тыс. до 20 тыс. руб.;
- на юрлиц – от 60 тыс. до 100 тыс. руб.
не выделяется в качестве самостоятельного состава правонарушения
- на граждан в размере от 4 тыс. до 12 тыс. руб.;
- на должностных лиц – от 20 тыс. до 50 тыс. руб.;
- на ИП – от 50 тыс. до 100 тыс. руб.;
- на юрлиц – от 100 тыс. до 300 тыс. руб.
Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, либо обработка персональных данных с нарушением требований к составу сведений, включаемых в такое согласие
- на граждан в размере от 3 тыс. до 5 тыс. руб.;
- на должностных лиц – от 10 тыс. до 20 тыс. руб.;
- на юрлиц – от 15 тыс. до 75 тыс. руб.
- на граждан в размере от 6 тыс. до 10 тыс. руб.;
- на должностных лиц – от 20 тыс. до 40 тыс. руб.;
- на юрлиц – от 30 тыс. до 150 тыс. руб.
не выделяется в качестве самостоятельного состава правонарушения
- на граждан в размере от 10 тыс. до 20 тыс. руб.;
- на должностных лиц – от 40 тыс. до 100 тыс. руб.;
- на ИП – от 100 тыс. до 300 тыс. руб.;
- на юрлиц – от 300 тыс. до 500 тыс. руб.
Невыполнение оператором предусмотренной законодательством РФ обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных
- на граждан в размере от 700 до 1 500 руб.;
- на должностных лиц – от 3 тыс. до 6 тыс. руб.;
- на ИП – от 5 тыс. до 10 тыс. руб.;
- на юрлиц – от 15 тыс. до 30 тыс. руб.
- на граждан в размере от 1 500 до 3 тыс. руб.;
- на должностных лиц – от 6 тыс. до 12 тыс. руб.;
- на ИП – от 10 тыс. до 20 тыс. руб.;
- на юрлиц – от 30 тыс. до 60 тыс. руб.
Невыполнение оператором предусмотренной законодательством РФ обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных
- на граждан в размере от 1 тыс. до 2 тыс. руб.;
- на должностных лиц – от 4 тыс. до 6 тыс. руб.;
- на ИП – от 10 тыс. до 15 тыс. руб.;
- на юрлиц – от 20 тыс. до 40 тыс. руб.
- на граждан в размере от 2 тыс. до 4 тыс. руб.;
- на должностных лиц – от 8 тыс. до 12 тыс. руб.;
- на ИП – от 20 тыс. до 30 тыс. руб.;
- на юрлиц – от 40 тыс. до 80 тыс. руб.
Невыполнение оператором в сроки, установленные законодательством РФ, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки
- на граждан – от 1 тыс. до 2 тыс. руб.;
- на должностных лиц – от 4 тыс. до 10 тыс. руб.;
- на ИП – от 10 тыс. до 20 тыс. руб.;
- на юрлиц – от 25 тыс. до 45 тыс. руб.
- на граждан – от 2 тыс. до 4 тыс. руб.;
- на должностных лиц – от 8 тыс. до 20 тыс. руб.;
- на ИП – от 20 тыс. до 40 тыс. руб.;
- на юрлиц – от 50 тыс. до 90 тыс. руб.
Не выделяется в качестве самостоятельного состава правонарушения
- на граждан – от 20 тыс. до 30 тыс. руб.;
- на должностных лиц – от 30 тыс. до 50 тыс. руб.;
- на ИП – от 50 тыс. до 100 тыс. руб.;
- на юрлиц – от 300 тыс. до 500 тыс. руб.
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных
- на граждан – от 700 до 2 тыс. руб.;
- на должностных лиц – от 4 тыс. до 10 тыс. руб.;
- на ИП – от 10 тыс. до 20 тыс. руб.;
- на юрлиц – от 25 тыс. до 50 тыс. руб.
- на граждан – от 1 500 до 4 тыс. руб.;
- на должностных лиц – от 8 тыс. до 20 тыс. руб.;
- на ИП – от 20 тыс. до 40 тыс. руб.;
- на юрлиц – от 50 тыс. до 100 тыс. руб.
Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных
или штраф на должностных лиц в размере от 3 тыс. до 6 тыс. руб.
штраф на должностных лиц в размере от 6 тыс. до 12 тыс. руб.
Кроме того, увеличился и срок давности привлечения к административной ответственности за нарушения в области персональных данных. Вместо нынешних трех месяцев он составит один год. Соответствующие поправки внесены в ч. 1 ст.
4.5 КоАП.
Изменения вступают в силу 27 марта 2021 года.
Утечка персональных данных – что грозит компании и к чему готовиться в суде?
Регулирование отношений, связанных с обработкой персональных данных, несмотря на актуальность проблематики, остается для многих представителей бизнеса (операторов персональных данных) не вполне понятным и транспарентным, что порождает трудности в обеспечении надлежащего уровня безопасности этой чувствительной информации. Для соблюдения многочисленных требований законодательства в данной сфере требуется симбиоз правовых и технических инструментов. Угрозы безопасности персональных данных растут, однако, ни законодательство, ни правоприменение не дают на них соразмерный ответ.
Уязвимость технических устройств и программного обеспечения – проблема, которую невозможно решить исключительно правовыми методами.
Государство, ощущая беспомощность в борьбе с постоянными утечками персональных данных, расширяет полномочия регулятора, вводит новые составы правонарушений, ужесточает ответственность за их совершение и тянется за излюбленным уголовно – правовым инструментом.
Сейчас за утечку персональных данных компании грозит фиксированный и относительно небольшой штраф (для юридических лиц от 60 тыс. до 100 тыс. руб. – ч. 1 ст. 13.11 КоАП). Более существенными оказываются репутационные риски, так как подобные инциденты могут привести к снижению доверия к компании.
Но в ближайшем будущем материальная ответственность может быть значительна ужесточена – Правительство РФ готовит законопроект о введении оборотных штрафов за допущение утечки персональных данных.
Как правило, персональные данные клиентов или сотрудников компании становятся достоянием общественности в результате неправомерного доступа со стороны третьих лиц (хакерские атаки) или злоупотреблений со стороны недобросовестных работников. Мишенью для злоумышленников становятся базы данных учебных заведений, образовательных платформ, медицинских организаций, клиентские базы крупных магазинов и т. д.
Административная ответственность за нарушение требований о защите персональных данных
В случае утечки данных оператор обязан направить в Роскомнадзор уведомление о факте неправомерной или случайной передачи данных (ч. 3.1. ст. 21 Федерального закона «О персональных данных» от 27 июля 2006 г. № 152-ФЗ, далее – Закон № 152-ФЗ).
Результатом такого уведомления, скорее всего, станет проверка со стороны Роскомнадзора и, как следствие, возбуждение дела об административном правонарушении в отношении компании по ч. 1 ст. 13.11 КоАП РФ.
Данная норма предусматривает ответственность за обработку персональных данных в случаях, не предусмотренных законодательством в области персональных данных, либо обработку, несовместимую с целями сбора персональных данных.
Анализ судебной практики показывает крайне низкий стандарт доказывания по данным делам. Формула, заложенная в основу большинства судебных решений, заключается в следующем: сам факт утечки персональных данных является обработкой персональных данных в не предусмотренных законом случаях, что образует состав административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ.
Компания должна нести ответственность за недостаточные меры по защите персональных данных, на практике же она несет ответственность за сам факт их утечки.
Такой подход приводит к объективному вменению, то есть привлечению юридического лица к ответственности без установления вины.
Юридическое лицо признается виновным в совершении административного правонарушения, если у него имелась возможность для соблюдения правил и норм, но им не были приняты все зависящие от него меры по их соблюдению (ч. 2 ст. 2.1 КоАП РФ).
Таким образом, Роскомнадзор обязан доказать, что у юридического лица имелась возможность обеспечить конфиденциальность данных и не допустить их утечку. Суд должен установить, какие меры защиты персональных данных организация обязана была предпринять, но не сделала этого. Однако на практике суды удовлетворяются формальным подходом и приходят к немотивированному выводу о том, что у компании имелась «реальная возможность обеспечить выполнение требований закона, то есть не допустить утечку данных» (Решение Замоскворецкого районного суда г. Москвы от 16 июня 2024 г. по делу № 12-2028/22).
Справедливости ради стоит отметить, что и привлекаемые лица не торопятся сообщать о принятых мерах, и о том, принимались ли они вообще. Довольно мягкое наказание зачастую приводит к пассивной позиции привлекаемого лица, которое признает вину и просит лишь о смягчении ответственности.
Требования по защите персональных данных закреплены в Законе № 152-ФЗ и ряде подзаконных нормативно-правовых актов.
Согласно требованиям федерального закона, оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных (ч. 1 ст. 19 Закона № 152-ФЗ).
При определении состава мер по обеспечению безопасности персональных данных компания должна ориентироваться на ст. 19 Федерального закона № 152-ФЗ, Постановление Правительства РФ от 1 ноября 2012 г. № 1119, Приказ ФСТЭК России от 18 февраля 2013 г. № 21, Приказ ФСБ России от 10 июля 2014 г. № 378 (для операторов, использующих средства криптографической защиты). Безопасность критической информационной инфраструктуры регулируется отдельными актами.
Постановление Правительства РФ от 1 ноября 2012 г. № 1119 определяет типы угроз безопасности персональных данных и уровни их защищенности. Типы угроз определяет сам оператор. Исходя из типов угроз, а также категории персональных данных и количества субъектов персональных данных, компания должна поддерживать определенный уровень защищенности – от самого минимального 4-го до самого строгого 1-го.
Приложение к Приказу ФСТЭК России от 18 февраля 2013 г. № 21 устанавливает состав и содержание мер, необходимых для обеспечения каждого из уровней защищенности персональных данных.
Невыполнение предусмотренных данными актами мер должно быть необходимым условием для привлечения компании к ответственности в случае утечки персональных данных. Имеющаяся практика ограничивается констатацией вывода о том, что оператор «не предпринял всех зависящих от него мер» и «не обеспечил конфиденциальность персональных данных» (Постановление мирового судьи судебного участка № 374 Таганского района г. Москвы от 17 марта 2024 года по делу № 05-0240/374/2023).
В ряде случаев компании, привлекаемые к административной ответственности, указывали, что вина организации отсутствует, так как причиной утечки персональных данных стали неправомерные действия третьих лиц, которые получили доступ к информации незаконно с использованием вредоносных компьютерных программ.
Данный аргумент не находит отклика у судей, в многочисленных судебных решениях можно найти повторяющуюся формулировку: «То обстоятельство, что обработка (распространение) персональных данных связана с несанкционированным доступом к информации, не имеет значения для квалификации содеянного по ч. 1 ст. 13.11 КоАП РФ» (Постановление мирового судьи судебного участка № 387 Басманного района г. Москвы от 10 мая 2024 года по делу № 5-463/2023, Постановление мирового судьи судебного участка № 374 Таганского района г. Москвы от 1 марта 2024 года по делу № 05-0195/374/2023).
В этом плане показательно дело о привлечении к ответственности медицинской лаборатории «Гемотест». Мировой судья, рассматривавший дело в первой инстанции, указал, что факт несанкционированного доступа к персональным данным, который подтвержден материалами служебной проверки и отчетом IT-компании, не влияет на квалификацию действий самой лаборатории. При этом суд указывает, что организация «самостоятельно и намеренно» предоставила неправомерный доступ к информационной системе персональных данных, что, однако, из самого судебного решения не следует (Постановление мирового судьи судебного участка № 281 района Вешняки г. Москвы от 8 июля 2022 года по делу № 5-564/2022). Суд апелляционной инстанции оставил решение без изменения, не ответив на доводы защиты об отсутствии вины со стороны юридического лица и не указании ни Роскомнадзором, ни судом конкретных действий, которые общество должно было совершить для предотвращения правонарушения (Решение Перовского районного суда г. Москвы от 8 сентября 2022 года по делу № 12-2741/2022).
Аргумент компании о подаче в правоохранительные органы заявления в отношении неустановленного лица, получившего неправомерный доступ к персональным данным, также не повлиял на выводы суда.
Административная ответственность за нарушение требований о защите информации
Интересно сопоставление административного состава, предусмотренного ч. 1 ст. 13.11 КоАП РФ, с составом ч. 6 ст. 13.12 КоАП РФ.
Последний предусматривает ответственность за нарушение требований законодательства о защите информации (в том числе персональных данных).
В отличие от практики по ч. 1 ст. 13.11 КоАП РФ практика привлечения к ответственности по ч. 6 ст. 13.12 КоАП РФ крайне немногочисленна.
Однако изучение доступных судебных решений позволяет сделать вывод об их существенно большей обоснованности и мотивированности, нежели решений по ч. 1 ст. 13.11 КоАП РФ.
В судебном решении указываются допущенные компанией нарушения со ссылкой на конкретные положения Закона № 153-ФЗ и подзаконных нормативно-правовых актов, которые закрепляют ту или иную обязанность по защите персональных данных, не выполненную организацией (например, Решение Магаданского областного суда от 28 июля 2017 г. по делу № 12-176/2017). Аналогичный подход должен использоваться и в делах по ст. 13.11 КоАП РФ.
Установление требований, не выполненных юридическим лицом, должно предшествовать выводу о его виновности в утечке персональных данных.
Уголовная ответственность за утечку и кражу персональных данных
Физические лица, умышленно распространившие персональные данные гражданина без его согласия, подлежат уголовной ответственности за нарушение неприкосновенности частной жизни (ст. 137 Уголовного кодекса). Предметом данного преступления является личная и семейная тайна, поэтому ответственность может наступить только в случае собирания и распространения персональных данных, которые сам гражданин не разглашает неопределенному кругу лиц (например, гражданин может не скрывать дату, место своего рождения, образование и т. д.).
Так как в большинстве случаев персональные данные хранятся в информационных системах, помимо ст. 137 УК РФ, действия лица, «укравшего» персональные данные, подлежат квалификации по ст. 272 УК РФ – неправомерный доступ к охраняемой законом компьютерной информации.
При использовании в целях получения персональных данных вредоносных компьютерных программ подлежит вменению также ст. 273 УК РФ.
Сотрудник организации, нарушивший правила эксплуатации средств хранения, обработки или передачи персональных данных либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правила доступа к информационно – телекоммуникационным сетям, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование персональных данных, может нести ответственность по ст. 274 УК РФ. Нарушение правил эксплуатации может выражаться, например, в отказе от использования антивирусного программного обеспечения, обработке конфиденциальной информации вне рабочего места и т. д. Данное преступление может быть совершенно как умышленно, так и по неосторожности.
В случае привлечения к ст. 274 УК РФ необходимо установить, какие именно правила эксплуатации, закрепленные в законе, подзаконных или локальных нормативных актах, были нарушены. Кроме того, субъектом преступления может быть только лицо, до сведения которого была доведена обязанность соблюдения этих правил – в трудовом договоре, отдельным актом об ознакомлении и т. д. (п.
12 Постановления Пленума Верховного Суда РФ от 15 декабря 2022 г. № 37 «О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно – телекоммуникационных сетей, включая сеть «Интернет»).
На практике ст. 274 УК РФ применяется крайне редко, так как состав требует причинение крупного ущерба (1 млн руб.). В связи с этим, правоохранительные органы квалифицируют действия сотрудников, злоупотребивших своим доступом к охраняемой законом информации, по ст. 272 УК РФ (неправомерный доступ к охраняемой законом информации).
Такой подход отвечает определению «неправомерного доступа», которое сформулировано в п. 5 Постановления Пленума Верховного суда РФ от 15 декабря 2022 г. № 37.