Федеральный закон от 30 ноября 2024 года №420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» дополнил статью КоАП 13.11 «Нарушение законодательства Российской Федерации в области персональных данных» и установил новые штрафы в частях 10-18.
Установлены отдельные штрафы за действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные (ч.12-15).
Теперь штрафы за утечки информации, включающей персональные данные, будут зависеть от объёмов этих утечек, при условии, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния.
Выделены три группы утечек.
- от 1 до 10 тысяч субъектов персональных данных и (или) от 10 до 100 тысяч идентификаторов (ч.12) административный штраф:
- на граждан в размере от 100 до 200 тысяч рублей;
- на должностных лиц - от 200 до 400 тысяч рублей;
- на юридических лиц - от 3 до 5 млн. рублей.
- от 10 до 100 тысяч субъектов персональных данных и (или) от 100 тысяч до 1 млн. идентификаторов (Ч.13) административный штраф:
- на граждан в размере от 200 до 300 тысяч рублей;
- на должностных лиц - от 300 до 500 тысяч рублей;
- на юридических лиц - от 5 до 10 млн. рублей.
- более 100 тысяч субъектов персональных данных и (или) более 1 миллиона идентификаторов (ч.14) административный штраф:
- на граждан в размере от 300 до 400 тысяч рублей;
- на должностных лиц - от 400 до 600 тысяч рублей;
- на юридических лиц - от 10 до 15 млн. рублей.
Для справки: В примечании 4 к статье 13.11 уточняется:
4. В целях настоящей статьи под идентификатором понимается уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу.
Если правонарушения, предусмотренного частями 12-14, лицом, были совершены теми, кто ранее уже наказывался за нарушения, предусмотренные частями 12-14, 16-18 данной статьи, то это влечет наложение административного штрафа (ч.15):
- на граждан - в размере от 400 до 600 тысяч рублей;
- на должностных лиц - от 800 тысяч до 1,2 миллиона рублей;
- на юридических лиц - от 1 до 3 процентов совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявления административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, либо размера собственных средств (капитала) кредитной организации на дату совершения административного правонарушения, но не менее 20 миллионов рублей и не более 500 миллионов рублей.
Одновременно в законе статья 4.1 «Общие правила назначения административного наказания» дополнена частью 3.4-2, которой установлено, что за административные правонарушения, предусмотренные частями 15 и 18 статьи 13.1, штраф может быть назначен в размере одной десятой его предусмотренного минимального размера, но не менее 15 миллионов рублей и не более 50 миллионов рублей в случае выполнения одновременно следующих условий:
- Ежегодные расходы оператора в течение трех календарных лет, предшествующих году, в котором было выявлено административное правонарушение, на мероприятия по обеспечению информационной безопасности, проведенные организациями, имеющими лицензию, предусмотренную пунктом 1 или 5 части 1 статьи 12 Федерального закона от 4 мая 2011 года № 99-ФЗ "О лицензировании отдельных видов деятельности", либо самостоятельно при условии наличия у оператора такой лицензии, составляли не менее одной десятой процента годового совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), либо размера собственных средств (капитала) кредитной организации;
- Оператор соблюдал требования к защите персональных данных при их обработке в информационных системах персональных данных при условии документального подтверждения указанного факта, проведенного в течение двенадцати месяцев, предшествующих моменту выявления административного правонарушения;
- Обстоятельства, отягчающие административную ответственность, предусмотренную примечанием 5 к статье 13.11 настоящего Кодекса, отсутствовали.
Для справки: В примечании 5 к статье 13.11 5. установлено, что «при назначении административного наказания за совершение административных правонарушений, предусмотренных частями 15 и 18 настоящей статьи, учитывается обстоятельство, отягчающее административную ответственность, предусмотренное пунктом 1 части 1 статьи 4.3 настоящего Кодекса (продолжение противоправного поведения, несмотря на требование уполномоченных на то лиц прекратить его - Н.Х.), а также следующее обстоятельство, отягчающее административную ответственность: лицо, совершившее административное правонарушение, на момент его совершения (на момент вынесения постановления по делу об административном правонарушении) считалось (считается) подвергнутым административному наказанию за совершение административных правонарушений, предусмотренных частями 1-11 настоящей статьи и (или) статьями 13.6, 13.12 настоящего Кодекса.
Мой комментарий: К сожалению, утечки информации, и в том числе персональных данных, случаются достаточно часто, поэтому организациям стоит провести оценку своих информационных ресурсов на предмет наличия в них персональных данных и организации их надлежащей защиты.
Источник: Консультант Плюс
https://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=491932
Комментариев нет:
Отправить комментарий