Коротко и ясно с Трудовой практикой. HR & DIGITAL (Выпуск №24)

Ужесточение ответственности в отношении обработки персональных данных («ПДн»): законы подписаны Президентом

****30 ноября 2024 года**** были подписаны и опубликованы федеральные законы, вносящие изменения в КоАП РФ и УК РФ и ужесточающие ответственность в отношении обработки ПДн:

• Федеральный закон от 30.11.2024 № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»;

• Федеральный закон от 30.11.2024 № 421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации».

Административная ответственность за утечки ПДн и неуведомление Роскомнадзора

****Изменения в КоАП РФ вступят в силу 30 мая 2025 года**** – спустя 180 дней после официального опубликования закона.

Размер налагаемых штрафов будет зависеть от ****количества субъектов ПДн**** и ****идентификаторов**** (т.е. уникальных обозначений сведений о физическом лице, содержащихся в информационной системе ПДн оператора и относящееся к такому лицу), затронутых такой утечкой:

• от 1 000 до 10 000 человек и/или от 10 000 до 100 000 идентификаторов – от 3 до 5 млн рублей;

• от 10 000 до 100 000 человек и/или от 100 000 до 1 млн идентификаторов – от 5 до 10 млн рублей;

• более 100 000 человек и/или более 1 млн идентификаторов – от 10 до 15 млн рублей.

Если нет смягчающих обстоятельств, при ****повторной утечке**** компании будут вынуждены заплатить ****оборотные штрафы**** в размере от ****1**** до ****3% выручки**** за календарный год, предшествующий нарушению, но не менее ****20 млн**** и не более ****500 млн**** рублей.

****Утечка специальных категорий ПДн****, независимо от количества пострадавших субъектов, грозит для компаний штрафом в размере от ****10**** до ****15 млн**** рублей. Напомним, что к специальным категориям ПДн относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Аналогично ****утечка биометрических ПДн**** грозит штрафом в размере от ****15**** до ****20 млн**** рублей.

На компании также может быть наложен штраф от ****1**** до ****3 млн**** рублей за ****неуведомление**** или ****несвоевременное уведомление Роскомнадзора**** в случае установления ****факта утечки ПДн****.

В свою очередь, ****неуведомление**** или ****несвоевременное уведомление Роскомнадзора**** о намерении ****осуществлять обработку ПДн**** может повлечь наложение штрафа от ****100 000**** до ****300 000**** рублей.

Смягчающие обстоятельства

Для повторных нарушений вводится возможность снижения административного штрафа ниже нижнего порога за составы по утечкам ПДн – ****до 0,1%**** от валовой выручки/собственных средств, но ****не менее 15**** и ****не более 50 млн**** рублей при ****одновременном**** выполнении следующих условий:

• Ежегодные ****расходы**** на мероприятия по ****обеспечению ИБ**** на протяжении 3 лет составляли не менее 0,1% от валовой выручки / собственных средств;

• Проведение ****аудита****, подтверждающего факт соблюдения требований к защите данных при обработке в информационных системах, в течение 12 месяцев до утечки;

• Отсутствие ****отягчающих обстоятельств****.

Отягчающие обстоятельства

****Отягчать**** ответственность будут следующие обстоятельства:

• Продолжение ****противоправного поведения****, несмотря на требования гос. органов по его прекращению;

• Лицо ****ранее привлекалось**** к ответственности по ч. 1–11 ст. 13.11 и/или ст. 13.6, ст. 13.12 КоАП РФ и на момент вынесения постановления по утечкам считается подвергнутым административному наказанию по прошлым правонарушениям (ст. 4.6 КоАП РФ).

Несмотря на то, что вышеуказанные смягчающие обстоятельства предусмотрены для повторных нарушений, ожидается, что они будут рассматриваться в качестве лучших практик, подтверждающих добросовестность и законопослушность операторов ПДн, и учитываться и при первичных нарушениях.

Уголовная ответственность

****Изменения в УК РФ вступят в силу 11 декабря 2024 года**** – через 10 дней со дня официального опубликования закона.

В УК РФ вводится новая ****статья 272.1**** с двумя составами.

Так, за незаконные ****использование**** и/или ****передачу**** (распространение, предоставление, доступ), ****сбор**** и/или ****хранение компьютерной информации****, содержащей ****ПДн****, полученной путем ****неправомерного доступа**** к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путём предусматривается:

• ****штраф**** до ****300 000**** рублей или в размере иного дохода за период до 1 года;

• либо ****принудительные работы**** на срок до 4 лет;

• либо ****лишение свободы на срок до 4 лет****.

Если указанные нарушения сопряжены с трансграничной передачей ПДн или носителей с ПДн, то санкция включает ****лишение свободы**** на срок до 8 лет, ****штраф**** до ****2 млн**** руб. / иного дохода за период до 3 лет, возможность лишения права занимать ****определенные должности**** / заниматься ****определенной деятельностью**** на срок до 4 лет.

Также вводится уголовная ответственность за ****создание**** и/или ****обеспечение функционирования информационного ресурса**** (в сети Интернет, информационной системы или ПО) для заведомо ****незаконного хранения****, ****передачи**** (распространения, предоставления, доступа) ****компьютерной информации**** с ****ПДн****, полученной ****незаконным путем**** в виде ****штрафа**** до ****700 000**** рублей или в размере иного дохода за период до 2 лет с возможностью лишения права занимать ****определенные должности**** / заниматься ****определенной деятельностью****, либо ****принудительных работ**** на срок до 5 лет; либо ****лишения свободы**** на срок до 5 лет.

Обращаем внимание, что действие новой статьи ****не распространяется**** на случаи обработки ПДн физическими лицами исключительно для ****личных**** и ****семейных**** нужд.

Как снизить риски наступления ответственности?

Мы понимаем, что новые составы в КоАП РФ и УК РФ являются особо чувствительными и критическими для операторов ПДн (работодателей) и их работников. Мы рекомендуем:

• Проработать вопросы распределения ****ответственности среди менеджмента**** и должностных лиц компании, а также внедрить инструменты по снижению их ответственности;

• Провести ****аудит процессов обработки ПДн, уделяя пристальное внимание своим ИСПДн****, и осуществить необходимые мероприятия в сфере информационной безопасности. Обязательно ****задокументировать**** результаты ****аудита****, разработать ****план**** проведения ежегодных аудитов ИСПДн, регулярно проводить и документировать ****тренинги**** для работников по работе с ПДн;

• ****Разработать**** механизмы и ****внедрить**** ЛНА, регулирующие вопросы предупреждения, своевременного выявления, предотвращения и реагирования на утечки;

• ****Актуализировать ЛНА**** в сфере обеспечения информационной безопасности и проинформировать об этом работников;

• Назначить ****ответственных лиц****;

• Пересмотреть ****договоры**** с организациями, ****привлекаемыми при обработке ПДн**** (как с операторами, так и с обработчиками), на наличие ****обязанности об уведомлении**** оператора об утечках ПДн, а также обязанности о принятии мер по ИБ;

• ****Направить**** в Роскомнадзор ****уведомление об обработке ПДн****, если ранее это не было сделано, и компания обрабатывает ПДн;

• Легализовать осуществляемую ****трансграничную передачу**** ПДн.

Специалисты АЛРУД готовы оказать комплексную юридическую поддержку по всем указанным выше направлениям.