Новые штрафы за нарушения в сфере ПДн
30 ноября 2024 года Президент России подписал два федеральных закона — № 420-ФЗ и № 421-ФЗ — утвержающих поправки, которые ужесточают ответственность за нарушения законодательства в сфере ПДн.
О самых распространенных ошибках, и что делать прямо сейчас — рассказывали здесь.
А сегодня — полный перечень нововведений в административный и уголовный кодекс, о том, какая ответственность ждёт нарушителей.
Административная ответственность
Размеры административных штрафов за правонарушения, связанные с обработкой персональных данных и защитой информации:
| Статья | Суть нарушения | Размер штрафа | Примечание | ||
| Было | Стало | ||||
| 1 | ч. 1 ст. 13.11 | 1. Обработка ПДн в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных. 2. Обработка ПДн, несовместимая с целями сбора ПДн. | для граждан: 2000 – 6000 руб. для должностных лиц: 10 000 – 20 000 руб. для юридических лиц: 60 000 – 100 000 руб. | для граждан: 10 000 – 15 000 руб. для должностных лиц: 50 000 – 100 000 руб. для юридических лиц: 150 000 – 300 000 руб | |
| 2 | ч. 1.1 ст. 13.11 | Повторное совершение ч. 1 ст. 13.11. | для граждан: 4000 – 12 000 руб. для должностных лиц: 20 000 – 50 000 руб. для индивидуальных предпринимателей: 50 000 – 100 000 руб. для юридических лиц: 100 000 – 300 000 руб. | для граждан: 15 000 – 30 000 руб. для должностных лиц: 100 000 – 200 000 руб. для юридических лиц: 300 000 – 500 000 руб | |
| 3 | ч. 2 ст. 13.11 | 1. Обработка ПДн без согласия в письменной форме субъекта ПДн на обработку его ПДн в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области ПДн. 2. Обработка ПДн с нарушением установленных законодательством Российской Федерации в области ПДн требований к составу сведений, включаемых в согласие в письменной форме субъекта ПДн на обработку его ПДн. | для граждан: 10 000 – 15 000 руб. для должностных лиц: 100 000 – 300 000 руб. для юридических лиц: 300 000 – 700 000 руб. | Доп. см. ст. 88 ТК РФ. | |
| 4 | ч. 2.1 ст. 13.11 | Повторное совершение ч. 2 ст. 13.11. | для граждан: 15 000 – 30 000 руб. для должностных лиц: 300 000 – 500 000 руб. для индивидуальных предпринимателей: 500 000 – 1 000 000 руб. для юридических лиц: 1 000 000 – 1 500 000 руб. | ||
| 5 | ч. 3 ст. 13.11 | Неопубликование или необеспечение иным образом неограниченного доступа к документу, определяющему политику в отношении обработки ПДн, или сведениям о реализуемых требованиях к защите ПДн. | для граждан: 1500 – 3000 руб. для должностных лиц: 6000 – 12 000 руб. для индивидуальных предпринимателей: 10 000 – 20 000 руб. для юридических лиц: 30 000 – 60 000 руб. | ||
| 6 | ч. 4 ст. 13.11 | Непредставление субъекту ПДн информации, касающейся обработки его ПДн. | для граждан: 2000 – 4000 руб. для должностных лиц: 8000 – 12 000 руб. для индивидуальных предпринимателей: 20 000 – 30 000 руб. для юридических лиц: 40 000 – 80 000 руб. | ||
| 7 | ч. 5 ст. 13.11 | Нарушение сроков уточнения ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. | для граждан: 2000 – 4000 руб. для должностных лиц: 8000 – 20 000 руб. для индивидуальных предпринимателей: 20 000 – 40 000 руб. для юридических лиц: 50 000 – 90 000 руб. | ||
| 8 | ч. 5.1 ст. 13.11 | Повторное совершение ч. 5 ст. 13.11. | для граждан: 20 000 – 30 000 руб. для должностных лиц: 30 000 – 50 000 руб. для индивидуальных предпринимателей: 50 000 – 100 000 руб. для юридических лиц: 300 000 – 500 000 руб. | ||
| 9 | ч. 6 ст. 13.11 | Невыполнение при обработке ПДн без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области ПДн сохранность ПДн при хранении материальных носителей ПДн и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к ПДн, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении ПДн. | для граждан: 1500 – 4000 руб. для должностных лиц: 8000 – 20 000 руб. для индивидуальных предпринимателей: 20 000 – 40 000 руб. для юридических лиц: 50 000 – 100 000 руб. | См. постановление Правительства Российской Федерации от 15.09.2008 № 687. |
|
| 10 | ч. 7 ст. 13.11 | Невыполнение обязанности по обезличиванию ПДн либо несоблюдение установленных требований или методов по обезличиванию ПДн. | для должностных лиц: 6000 – 12 000 руб. | Только для операторов, являющихся государственным или муниципальным органом, а также см. приказ РКН от 05.09.2013 № 996 и «Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» (утв. РКН 13.12.2013). |
|
| 11 | ч. 8 ст. 13.11 | Необеспечение локализации (размещения) баз данных граждан Российской Федерации на территории Российской Федерации. | для граждан: 30 000 – 50 000 руб. для должностных лиц: 100 000 – 200 000 руб. для юридических лиц: 1 000 000 – 6 000 000 руб. | См. п. 7 ч. 4 ст. 16 Федерального закона от 27.07.2006 № 149-ФЗ. |
|
| 12 | ч. 9 ст. 13.11 | Повторное совершение ч. 8 ст. 13.11. | для граждан: 50 000 – 100 000 руб. для должностных лиц: 500 000 – 800 000 руб. для юридических лиц: 6 000 000 – 18 000 000 руб. | ||
| 13 | ч. 10 ст. 13.11 | Неуведомление или несвоевременное уведомление РКН о намерении осуществлять обработку персональных данных. | — | для граждан: 5000 – 10 000 руб. для должностных лиц: 30 000 – 50 000 руб. для юридических лиц: 100 000 – 300 000 руб. | См. приказ РКН от 28.10.2022 № 180 и формы на сайте РКН: |
| 14 | ч. 11 ст. 13.11 | Неуведомление или несвоевременное (24 часа — об инциденте, 72 часа — о результатах внутреннего расследования) уведомление РКН в случае установления факта неправомерной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов ПДн. | — | для граждан: 50 000 – 100 000 руб. для должностных лиц: 400 000 – 800 000 руб. для юридических лиц: 1 000 000 – 3 000 000 руб. | См. приказ РКН от 14.11.2022 № 187 и формы на сайте РКН: |
| 15 | ч. 12 ст. 13.11 | Утечка ПДн 1 000 — 10 000 субъектов или от 10 000 до 100 000 уникальных обозначений сведений о физических лицах, необходимых для определения таких лиц (далее – идентификаторы). (Действие (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступа) информации, включающей ПДн от 1 000 до 10 000 субъектов ПДн, и (или) от 10 000 до 100 000 идентификаторов). | — | для граждан: 100 000 – 200 000 руб. для должностных лиц: 200 000 – 400 000 руб. для юридических лиц: 3 000 000 – 5 000 000 руб. | |
| 16 | ч. 13 ст. 13.11 | Утечка ПДн 10 000 — 100 000 субъектов или от 100 000 до 1 000 000 идентификаторов. (Действие (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступа) информации, включающей ПДн от 10 000 до 100 000 субъектов ПДн, и (или) от 100 000 до 1 000 000 идентификаторов). | — | для граждан: 200 000 – 300 000 руб. для должностных лиц: 300 000 – 500 000 руб. для юридических лиц: 5 000 000 — 10 000 000 руб. | |
| 17 | ч. 14 ст. 13.11 | Утечка ПДн более 100 000 субъектов или более 1 000 000 идентификаторов. (Действие (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступа) информации, включающей ПДн от 10 000 до 100 000 субъектов ПДн, и (или) от 100 000 до 1 000 000 идентификаторов). | — | для граждан: 300 000 – 400 000 руб.для должностных лиц: 400 000 – 600 000 руб. для юридических лиц: 10 000 000 – 15 000 000 руб. | |
| 18 | ч. 15 ст. 13.11 | Совершение ч. 12 — 14 ст. 13.11 лицом, подвергнутым наказанию за совершение ч. 12 – 14, 16 – 18 ст. 13.11. | — | для граждан: 400 000 – 600 000 руб. для должностных лиц: 800 000 – 1 000 000 руб. для юридических лиц: от 1% до 3% выручки, но не менее 20 000 000 и не более 500 000 000 руб | Доп. см. ч. 3 4-2 ст. 4.1 КОАП (смягчающие обстоятельства). |
| 19 | ч. 16 ст. 13.11 | Утечка ПДн специальной категории. (Действие (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступа) информации, включающей специальную категорию ПДн). | — | для граждан: 300 000 – 400 000 руб. для должностных лиц: 1 000 000 – 1 300 000 руб. для юридических лиц: 10 000 000 – 15 000 000 руб. | |
| 20 | ч. 17 ст. 13.11 | Утечка биометрических ПДн. (Действие (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступа) информации, включающей биометрические ПДн). | — | для граждан: 400 000 – 500 000 руб. для должностных лиц: 1 000 000 – 1 500 000 руб. для юридических лиц: 15 000 000 – 20 000 000 руб. | |
| 21 | ч. 18 ст. 13.11 | Совершение ч. 16 или ч. 17 ст. 13.11 лицом, подвергнутым наказанию за совершение ч. 12 — 18 ст. 13.11. | — | для граждан: 500 000 – 800 000 руб. для должностных лиц: 1 000 000 – 2 000 000 руб. для юридических лиц: от 1% до 3% выручки, но не менее 25 000 000 и не более 500 000 000 руб. | Доп. см. ч. 3 4-2 ст. 4.1 КОАП (смягчающие обстоятельства). |
| 22 | ч. 1 ст. 13.11.3 | Размещение и обновление в случаях, определенных федеральными законами, биометрических персональных данных субъекта ПДн в ЕБС с нарушением установленных законодательством Российской Федерации требований. | для должностных лиц: 100 000 – 300 000 руб. для юридических лиц: 500 000 – 1 000 000 руб. | См. Федеральный закон от 29.12.2022 № 572-ФЗ |
|
| 23 | ч. 2 ст. 13.11.3 | 1. Нарушение порядка обработки биометрических ПДн в ЕБС, биометрических ПДн и векторов ЕБС в информационных системах аккредитованных организаций, осуществляющих аутентификацию на основе биометрических ПДн. 2. Нарушение требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических ПДн, векторов ЕБС в целях проведения идентификации и (или) аутентификации | — | для должностных лиц: 100 000 – 300 000 руб. для юридических лиц: 500 000 – 1 000 000 руб. | См.: 1. Федеральный закон от 29.12.2022 № 572-ФЗ. 2. Приказ Минцифры России от 29.11.2023 № 1024. |
| 24 | ч. 3 ст. 13.11.3 | Непринятие организационных и технических мер по обеспечению безопасности биометрических ПДн при их обработке в: ЕБС; иных информационных системах, обеспечивающих аутентификацию с использованием биометрических ПДн. | — | для должностных лиц: 300 000 – 500 000 руб. для юридических лиц: 1 000 000 – 1 500 000 руб. | |
| 25 | ч. 4 ст. 13.11.3 | 1. Обработка биометрических ПДн, векторов ЕБС для аутентификации в информационных системах организаций без аккредитации. 2. Обработка биометрических ПДн, векторов ЕБС для аутентификации в информационных системах организаций с приостановленной или прекращённой аккредитацией. | — | для должностных лиц: 500 000 – 1 000 000 руб. для юридических лиц: 1 000 000 – 2 000 000 руб. | См. Федеральный закон от 29.12.2022 № 572-ФЗ. |
| 26 | ч. 2 ст. 13.12 | Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну). | для граждан: 1500 – 2500 руб. (возможна конфискация несертифицированных средств защиты информации). для должностных лиц: 2500 – 3000 руб. для юридических лиц: 20 000 – 25 000 руб. (возможна конфискация несертифицированных средств защиты информации). | См.: 1. Приказ ФСТЭК России от 11.02.2013 № 17 (если ИСПДн – ГИС). 2. Приказ ФСБ России от 10.07.2014 № 378. |
|
| 27 | ч. 6 ст. 13.12 | Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации. | для граждан: 500 – 1000 руб. для должностных лиц: 1000 – 2000 руб. для юридических лиц: 10 000 – 15 000 руб. | См. (например, но не ограничиваясь): 1. Приказ ФАПСИ от 13.06.2001 № 152 (если для защиты ПДн используются СКЗИ). 2. Приказ ФСТЭК России от 18.02.2013 № 21. 3. Приказ ФСТЭК России от 11.02.2013 № 17 (если ИСПДн – ГИС). 4. Приказ ФСБ России от 10.07.2014 № 378. 5. Приказ ФСТЭК России от 25.12.2017 № 239 (если ИСПДн – значимый объект КИИ (ч. 1 ст. 13.12.1)). 6. Приказ ФСБ России от 24.10.2022 № 524 (если ИСПДн – ГИС и для защиты ПДн используются СКЗИ) |
|
| 28 | ст. 13.14 | Разглашение ПДн | для граждан: 5000 – 10 000 руб. для должностных лиц: 40 000 – 50 000 руб. (либо дисквалификация до 3-х лет). для юридических лиц: 100 000 – 200 000 руб | ||
| 29 | ч. 1 ст. 19.4.1 | Препятствование должностным лицам РКН, осуществляющим федеральный государственный контроль (надзор) за обработкой ПДн. | для граждан: 500 – 1000 руб. для должностных лиц: 2000 – 4000 руб. для юридических лиц: 5000 – 10 000 руб. | ||
| 30 | ч. 2 ст. 19.4.1 | ч. 1 ст. 19.4.1, если повлекло невозможность проведения или завершение федерального государственного контроля (надзора) за обработкой ПДн. | для должностных лиц: 5000 – 10 000 руб. для юридических лиц: 20 000 – 50 000 руб. | ||
| 31 | ч. 3 ст. 19.4.1 | Повторное совершение ч. 2 ст. 19.4.1. | для должностных лиц: 10 000 – 20 000 руб. (либо дисквалификация от 6 мес. до 1 года). для юридических лиц: 50 000 – 100 000 руб. | ||
| 32 | ст. 19.5 | Невыполнение в срок законного предписания РКН об устранении нарушения. | для граждан: 300 – 500 руб. для должностных лиц: 1000 – 2000 руб. (либо дисквалификация до 3-х лет). для юридических лиц: 10 000 – 20 000 руб. | ||
| 33 | ст. 19.7. | Непредставление: 1. В РКН информации, запрошенной в порядке п. 1 ч. 3 ст. 23 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». 2. В РКН информации о трансграничной передаче ПДн. 3. В ФСБ России информации о компьютерных инцидентах с ПДн. | для граждан: 100 – 300 руб. для должностных лиц: 300 – 500 руб. (либо дисквалификация до 3-х лет). для юридических лиц: 3000 – 5000 руб | См.: 1. Формы на сайте РКН 2. Постановление Правительства Российской Федерации от 29.12.2022 № 2526. 3. Приказ ФСБ России от 13.02.2023 № 77. 4. Приказ ФСБ России от 24.07.2018 № 367, приказ ФСБ России от 19.06.2019 № 282 (если ИСПДн – объект КИИ и (или) компьютерный инцидент с ПДн происходит у субъекта КИИ (ч. 2 ст. 13.12.1 и ч. 2 ст. 19.7.15)). |
|
| Если оператор – субъект КИИ или ИСПДн – значимый объект КИИ, или компьютерный инцидент с ПДн происходит у оператора, являющегося субъектом КИИ | |||||
| 34 | ч. 1 ст.13.12.1 | Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов КИИ, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ | для должностных лиц: 10 000 – 50 000 руб. для юридических лиц: 50 000 – 100 000 руб. | См.: 1. Приказ ФСТЭК России от 21.12.2017 № 235. 2. Приказ ФСТЭК России от 25.12.2017 № 239. |
|
| 35 | ч. 2 ст.13.12.1 | Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ. | для должностных лиц: 10 000 – 50 000 руб. для юридических лиц: 100 000 – 500 000 руб | См. приказ ФСБ России от 19.06.2019 № 282. |
|
| 36 | ч. 3 ст.13.12.1 | Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты. | для должностных лиц: 20 000 – 50 000 руб. для юридических лиц: 100 000 – 500 000 руб. | См. приказ ФСБ России от 24.07.2018 № 368. |
|
| 37 | ч. 1 ст. 19.7.15 | Непредставление или нарушение сроков предоставления в ФСТЭК России сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий. | для должностных лиц: 10 000 – 50 000 руб. для юридических лиц: 50 000 – 100 000 руб. | См. постановление Правительства Российской Федерации от 08.02.2018 № 127. |
|
| 38 | ч. 2 ст. 19.7.15 | Непредставление или нарушение порядка либо сроков представления в ГосСОПКА информации, предусмотренной законодательством в области обеспечения безопасности КИИ, за исключением случаев, предусмотренных ч. 2 ст. 13.12. | для должностных лиц: 10 000 – 50 000 руб. для юридических лиц: 100 000 – 500 000 руб. | См. приказ ФСБ России от 24.07.2018 № 367 |
|
| 39 | ч. 3 ст. 19.7.15 | Повторное совершение ч. 1 ст. 19.7.15. | для должностных лиц: 50 000 – 100 000 руб. для юридических лиц: 100 000 – 200 000 руб. | ||
Уголовная ответственность
Федеральный закон от 30 ноября 2024 г. N 421-ФЗ вносит в Уголовный Кодекс статью 272.1, содержание которой вводит ряд санкций за незаконную обработку (использование и (или) передача (распространение, предоставление, доступ), сбор и (или) хранение) неправомерно полученных, в том числе, утекших ПДн.
С 30 ноября 2024 года операторам грозит:
В общем:
Штраф до 300 тыс руб, принудительные работы либо лишение свободы на срок до 4 лет
Если незаконно обрабатываются неправомерно полученные ПДн несовершеннолетних, специальные категории ПДн, биометрия:
Штраф до 700 тыс рублей и лишение права занимать должности до двух лет, либо принудительные работы/лишение свободы на срок до 5 лет.
Если есть одно или несколько условий при незаконной обработке ПДн:
а) из корыстной заинтересованности;
б) с причинением крупного ущерба;
в) группой лиц по предварительному сговору;
г) с использованием своего служебного положения
- штраф до 1 млн руб + лишение права занимать определенные должности до 3 лет
- принудительные работы до 5 лет + штраф до 1 млн руб + лишение права занимать определенные должности до 3 лет
- лишение свободы до 6 лет + штраф до 1 млн руб + лишение права занимать определенные должности до 3 лет
Незаконная обработка + трансграничная передача или трансграничный перенос носителей с ПДн
лишение свободы на срок до 8 лет + штраф до 2 млн руб + лишение права занимать определенные должности до 4 лет
Незаконная обработка с тяжкими последствиями или организованной группой
лишение свободы до 10 лет + штраф до 3 млн руб + лишение права занимать определенные должности до 5 лет
Создание и (или) обеспечение функционирования ресурса для незаконной обработки, хранения и распространения ПДн
- штраф до 700 тыс руб + лишение права занимать определенные должности до 2 лет
- принудительные работы на срок до 5 лет + штраф до 700 тыс руб + лишение права занимать определенные должности до 2 лет
- лишение свободы до 5 лет + штраф до 700 тыс руб + лишение права занимать определенные должности до 2 лет
10 самых популярных вопросов по теме нововведений разбирали здесь.
Если у вас остались вопросы, и вы хотели бы получить бесплатную консультацию по вопросам обработки и защиты персональных конкретно в вашей организации — заполните форму, и наш отдел информационной безопасности свяжется с вами.