Установлены новые штрафы за действия (бездействие) оператора, повлекшие неправомерную передачу информации, включающей специальные и биометрические персональные данные

Федеральный закон от 30 ноября 2024 года №420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» дополнил статью 13.11. «Нарушение законодательства Российской Федерации в области персональных данных» и установил новые штрафы, в том числе отдельные штрафы за действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей специальные и биометрические персональные данные (ч.16-18).

За утечку специальной категории персональных данных административный штраф составит (ч.16):

• ­ на граждан в размере от 300 до 400 тысяч рублей;
  
  
• ­ на должностных лиц - от 1 до 1миллиона 300 тысяч рублей;
  
  
• ­ на юридических лиц - от 10 до 15 млн. рублей.

За утечку биометрических персональных данных административный штраф составит (за исключением случаев, предусмотренных статьей 13.11.3 настоящего Кодекса) (ч.17):

• ­ на граждан в размере от 400 до 500 тысяч рублей;
  
  
• ­ на должностных лиц - от 1 до 1 миллиона 500 тысяч рублей;
  
  
• ­ на юридических лиц - от 15 до 20 млн. рублей.

Если правонарушения, предусмотренного частями 16 или 17 были совершены теми, кто ранее уже наказывался за нарушения, предусмотренные частями 12 - 17 настоящей статьи и настоящей частью влечет наложение административного штрафа (ч.18):

• ­ на граждан в размере от 500 до 800 тысяч рублей;
  
  
• ­ на должностных лиц - от 1 миллиона 500 тысяч до 2 миллионов рублей;
  
  
• ­ на юридических лиц - от 1 до 3 процентов совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявления административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, либо размера собственных средств (капитала) кредитной организации на дату совершения административного правонарушения, но не менее 25 миллионов рублей и не более 500 миллионов рублей.

Мой комментарий: Обработка специальных и биометрических персональных данных требует от организаций дополнительных усилий, а повышение штрафов за их утечку значительно повысит риски для организаций, который массово обрабатывают такие ПДн. В первую очередь, как мне кажется, в зону риска попадают медицинские организации, где в настоящее время собираются и обрабатываются в больших объёмах специальные категории персональных данных.

Источник: Консультант Плюс
https://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=491932