Какие штрафы грозят за нарушение закона о персональных данных в 2024 году?

Содержание: 

• Кого могут оштрафовать?
• Кто следит за исполнением закона 152-ФЗ
• За что оштрафуют
• Возможна ли уголовная ответственность?
• Ужесточение штрафов за нарушение закона 152-ФЗ (закон о персональных данных) от 23.12.2023

В последние годы утечки персональных данных происходили довольно часто, при этом виновные компании отделывались скромными суммами.

Более 1,5 млрд единиц личной информации россиян попали в сеть только за 2022 год. Одни из самых резонансных случаев — утечка данных пользователей Яндекса из-за ошибки системного администратора. О нарушениях ПД сообщали такие крупные компании и сервисы как DNS, Rabota.ru, Delivery Club, Почта России.

Требовалось усилить защиту граждан и гарантировать неприкосновенность частной жизни. Поэтому законодатели ужесточили наказания.

После изменений в законе ФЗ 152, которые вступили в силу 1 сентября 2022 года, санкции стали намного суровее:

• размеры штрафов увеличились более чем в два раза;
• ужесточили наказание за повторные нарушения;
• продлили срок давности привлечения к ответственности от трех месяцев до года.

Если раньше за правонарушения по этому закону сначала выносили предупреждение, то сейчас чаще сразу штрафуют. Самый большой штраф за обработку персональных данных без согласия владельца теперь составляет полмиллиона рублей.

Кого могут оштрафовать?

Операторов персональных данных. К ним относятся компании, физические лица, государственные органы, которые собирают ПД. Это в том числе и любой, кто размещает на сайте формы регистрации и обратной связи. Требования законодательства должны соблюдать все: автосалоны с заявками на кредит, владельцы клиники, где на сайте есть онлайн-записи к врачу и даже создатели тематических форумов. Требования и правила обработки этих сведений прописаны в законе 152-ФЗ «О персональных данных». Любой владелец сайта с формой обратной связи обязан его соблюдать. Нарушителям грозит гражданская, уголовная и административная ответственность. Они могут быть оштрафованы или даже приговорены к реальным срокам в колонии.

Оштрафовать могут как руководителя компании так и должностное лицо, ответственное за обработку ПД. Например, работника отдела кадров, который распространил личные данные сотрудников, могут заставить выплачивать штраф полностью или частично.

Кто следит за исполнением 152-ФЗ

Роскомнадзор — основной орган, контролирующий выполнение требований предусмотренных законодательством РФ. Он периодически проверяет организации разного уровня, причем как планово, так и внепланово. Последние начинают после заявлений граждан. Любой посетитель онлайн-ресурсов имеет право отправить жалобу.

Проверка бывает:

• документарной. Проходит удаленно, Роскомнадзор просит прислать документы, связанные с обработкой ПД.
• выездной. К ней прибегают, когда достоверность сведений не выяснили после осмотра документов.

Проверяют:

• как оператор получает, хранит, уничтожает, передает ПД;
• программу и технику, с помощью которых обрабатывают ПД.

В технические меры защиты персональных данных Роскомнадзор обычно не углубляется. За это отвечает Федеральная служба по техническому и экспортному контролю (ФСТЭК). Но она проверяет только те организации, которые используют государственные информационные системы.

За что оштрафуют

В таблице указаны основные виды административной ответственности.

	Гражданин	Должностное лицо	Индивидуальный предприниматель	Юридическое лицо
Обработка ПД в ситуациях, не предусмотренных законодательством РФ. Например, если сайт при регистрации запрашивал паспортные данные. (ч. 1 ст. 13.11 КоАП)	2 000 - 6 000 руб.	10 000 - 20 000 руб.	—	60 000 - 100 000 руб.
Оператор не сообщил гражданину о том, как используются его ПД. Любой человек вправе знать, как хранят его пресональные данные и кто в ответе за обработку. (ч. 2 ст. 13.11 КоАП)	2 000 - 4 000 руб.	8 000 - 12 000 руб.	20 000 - 30 000 руб.	40 000 - 80 000 руб.
Оператор опубликовал или передал ПД без письменного согласия. Например, сотовый оператор слил персональную информацию абонентов предусмотренных законодательством РФ спамерам без предупреждения. (ч. 3 ст. 13.11 КоАП)	6 000 - 10 000 руб.	20 000 - 40 000 руб.	50 000 - 100 000 руб. (при повторном нарушении)	30 000 - 150 000 руб.
Оператор не предоставил надзорному органу информацию об обработке ПД. Или же предоставил в урезанном и искаженном формате. (ч. 4 ст. 13.11 КоАП)	100 - 300 руб.	300 - 500 руб.	—	3 000 - 5 000 руб.
В свободном доступе нет документа, в котором указаны цели, условия, сроки и другая информация по обработке персональных данных. Документ о политике обработки нужно опубликовать на сайте компании. (ч. 5 ст. 13.11 КоАП)	1 500 - 3 000 руб.	6 000 - 12 000 руб.	10 000 - 20 000 руб.	30 000 - 60 000 руб.
Оператор не изменил, не заблокировал или не удалил персональную информацию по требованию гражданина. Пример — у сотрудника поменялась фамилия или место регистрации. Он попросил изменить информацию, но этого не сделали. (ч. 6 ст. 13.11 КоАП)	2 000 - 4 000 руб.	8 000 - 20 000 руб.	20 000 - 40 000 руб.	50 000 - 90 000 руб.
ПД попали постороннему, после чего были распространены или скопированы. Пример — бумаги с персональной информацией сотрудников компании оставили на столе в бухгалтерии, и к ним получил доступ другой сотрудник. (ч. 8 ст. 13.11 КоАП)	1 500 - 4 000 руб.	8 000 - 20 000 руб.	20 000 - 40 000 руб.	50 000 - 100 000 руб.

Это штрафы, которые действуют осенью 2023 года, но зимой некоторые суммы изменили. Еще летом в первом чтении одобрили проект поправок, а в ноябре комиссия дала добро ужесточению КоАП.
Изменения вступают в силу 23 декабря 2023 года. Должностные лица и компании будут наказывать за несогласованную (неразрешенную) обработку сведений. Это понятие включает в себя согласие, которое нужно получить у человека еще до начала сбора и обработки. Закон говорит, что это не просто одобрение, а сознательное и обдуманное решение. Принять его можно ознакомившись со всеми целями и способами сбора. Эти и другие сведения оператор или обработчик доносит до человека так, чтобы у него не оставалось вопросов.

Важно: считается только письменное согласие. Электронная подпись равнозначна обычной «ручной» подписи. А еще человек должен иметь право в любой момент передумать и отозвать согласие. В этом случае оператор сразу же прекращает обработку и уничтожает данные, которые успел собрать.

Если же компания или должностное лицо собирает данные без согласия их владельца или после того, как он его отозвал, это повод для разбирательств. До декабря 2023 года это грозило штрафами до 150 тысяч рублей, а за повторное нарушение – до 500 тысяч. С 23 декабря штрафы за обработку без согласия выросли так:
граждане будут платить 10 - 15 тысяч рублей и столько же за повторное,
должностные лица и ИП – 100 - 300 тысяч рублей (повторно 300 - 500 для должностных, 500 тысяч - 1 млн для ИП),
компании-операторы – 300 - 700 тысяч (повторно 1-1,5 млн).

Изменили и наказания в области биометрических данных. Специально для них с 23 декабря 2023 года ввели новую статью КоаП. В ней речь идет о сборе таких данных как фотография человека, отпечатки пальцев, запись голоса, рисунок сетчатки. Ими оперируют банки и МФЦ, а размещают их в Единой биометрической системе. Главная цель в том, чтобы человек мог дистанционно управлять банковскими или государственными услугами, когда не может посетить ведомство лично.

Для их сбора, помещения и изменения в Единой системе тоже нужно согласие. Если его нет, грозят такие штрафы:
100 - 300 тысяч рублей для сотрудников банков и МФЦ,
500 тысяч - 1 млн для самих учреждений.

Возможна ли уголовная ответственность?

Возможна. В УК РФ есть требования по защите личных или семейных тайн человека от неправомерного сбора и распространения.

За раскрытие любых личных сведений есть риск получить штраф. Российские суды трактуют понятия «личной» и «семейной» тайны широко. Под этим понимают любые сведения, которые человек хотел бы скрыть:

• личная тайна — это факт биографии, например, материальное положение, религия, наличие заболеваний;
• семейная тайна — информация о семейных отношениях, образе жизни семьи.

Уголовное наказание за распространение личной тайны установлено статьей 137 УК РФ. В таком случае за нарушения виновного может ждать не только штраф, но и лишение свободы:

• Нарушена неприкосновенность частной жизни. Например, если сведения о человеке, которые составляют его семейную или личную тайну собрали и распространили незаконно. За это правонарушение предусмотрен размер взыскания до 200 000 рублей или лишение свободы до двух лет.
• То же самое, но со злоупотреблением должностных полномочий. Пример — сотрудник клиники разгласил врачебную тайну пациента (любые сведения о нем, полученные во время обследования и лечения). Лишение свободы до 4 лет. Максимальный размер взыскания — 300 000 или лишение права занимать должность на срок от двух до пяти лет.

Конечно, уголовная ответственность – крайняя мера и ждет только самых злостных нарушителей. Но контроль со стороны РКН заметно усилился и станет еще жестче с весны 2023 года. Так что операторам стоит быть бдительными и изучать правила.

Читайте по теме: 

• Суть требования законодательства о персональных данных