Борьбу с утечкой персональных данных усилили

Уголовная ответственность

В декабре 2024 года начала действовать статья 272.1 Уголовного кодекса РФ (далее – УК РФ). Она предусматривает ответственность за незаконное использование, передачу, сбор и хранение компьютерной информации, полученной противоправным путем и содержащей персональные данные (далее – ПД) (Федеральный закон от 30 ноября 2024 г. № 421-ФЗ).

Это преступление наказывается штрафом до 300 000 рублей или в размере дохода осужденного за период до года, либо принудительными работами на срок до 4 лет, либо лишением свободы на тот же срок (ч. 1 ст. 272.1 УК РФ).

Более суровые наказания предусмотрены в следующих случаях:

• незаконно обрабатываются ПД несовершеннолетних, биометрические или специальные категории ПД – лишение свободы до 5 лет (ч. 2 ст. 272.1 УК РФ);
• создан ресурс для оборота незаконно полученных ПД – лишение свободы до 5 лет со штрафом (ч. 6 ст. 272.1 УК РФ);
• действия совершены из корыстной заинтересованности, с причинением крупного ущерба, группой лиц по предварительному сговору или с использованием служебного положения – лишение свободы до 6 лет со штрафом (ч. 3 ст. 272.1 УК РФ);
• ПД утекли в иностранные государства – лишение свободы до 8 лет со штрафом (ч. 4 ст. 272.1 УК РФ);
• действия повлекли тяжкие последствия или совершены организованной группой – лишение свободы до 10 лет со штрафом (ч. 5 ст. 272.1 УК РФ).

Административная ответственность

С 30 мая 2025 года действуют поправки в статью 13.11 Кодекса РФ об административных правонарушениях (далее – КоАП РФ), предусматривающую ответственность за нарушения в области обработки ПД (Федеральный закон от 30 ноября 2024 г. № 420-ФЗ).

Во-первых, выросли штрафы за обработку ПД в не предусмотренных законом случаях. Граждане заплатят от 10 000 до 15 000 рублей, должностные лица – от 50 000 до 100 000 рублей, компании – от 150 000 до 300 000 рублей (ч. 1 ст. 13.11 КоАП РФ). За повторное нарушение придется перечислить в бюджет в несколько раз больше (ч. 1.1 ст. 13.11 КоАП РФ).

Во-вторых, за утечку ПД ввели штрафы, размеры которых зависят от количества пострадавших:

• от 1000 до 10 000 субъектов ПД – от 100 000 до 200 000 рублей для граждан, от 200 000 до 400 000 рублей для должностных лиц, от 3 000 000 до 5 000 000 рублей для компаний (ч. 12 ст. 13.11 КоАП РФ);
• от 10 000 до 100 000 субъектов ПД – от 200 000 до 300 000 рублей для граждан, от 300 000 до 500 000 рублей для должностных лиц, от 5 000 000 до 10 000 000 рублей для компаний (ч. 13 ст. 13.11 КоАП РФ);
• более 100 000 субъектов ПД – от 300 000 до 400 000 рублей для граждан, от 400 000 до 600 000 рублей для должностных лиц, от 10 000 000 до 15 000 000 рублей для компаний (ч. 14 ст. 13.11 КоАП РФ).

За повторное нарушение для компаний предусмотрен «оборотный» штраф – от 1% до 3% годовой выручки, но не менее 20 000 000 рублей и не более 500 000 000 рублей (ч. 15 ст. 13.11 КоАП РФ).

При утечке специальных категорий ПД грозит штраф до 15 000 000 рублей, биометрических ПД – до 20 000 000 рублей (ч. 16 и 17 ст. 13.11 КоАП РФ).

В-третьих, установили штрафы за неуведомление Роскомнадзора о намерении обрабатывать ПД или об их утечке (ч. 10 и 11 ст. 13.11 КоАП РФ). Например, компанию могут наказать на 3 000 000 рублей, если она не сообщит ведомству о случайной передаче ПД, повлекшей нарушение прав граждан (ч. 11 ст. 13.11 КоАП РФ).