Изменения в Уголовном кодексе РФ и Кодексе Российской Федерации об административных правонарушениях от декабря 2024 г.

Используемые сокращения:

Единая биометрическая система – государственная информационная система «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных».
ИБ – информационная безопасность.
ИС – информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
ИСПДн – информационная система персональных данных.
КоАП РФ – Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ.
ПДн – персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн).
УК РФ – Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63-ФЗ.

30 ноября 2024 г. принят Федеральный закон № 421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации». Данные изменения вступили в силу с 11 декабря 2024 г. В Уголовном кодексе появилась новая статья 272.1, связанная с незаконной обработкой компьютерной информации, содержащей ПДн, а также с созданием информационных ресурсов, предназначенных для незаконного хранения и распространения ПДн.

Обратите внимание! Действие настоящей статьи не распространяется на случаи обработки ПДн физическими лицами исключительно для личных и семейных нужд.

Согласно данной статье за незаконное использование, передачу, сбор и хранение ПДн, полученных незаконным путем, возлагается ответственность на лицо, совершившее преступление, в виде:

штрафа до 300 000 р. или в размере заработной платы или иного дохода осужденного за период до 1 года,
либо принудительных работ на срок до 4 лет,
либо лишения свободы на срок до 4 лет.

Если вышеописанное преступление совершено в отношении ПДн несовершеннолетних лиц, специальных категорий ПДн и (или) биометрических ПДн:

штраф	принудительные работы	лишение свободы
до 700 000 р. или в размере заработной платы или иного дохода осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового	на срок до 5 лет	на срок до 5 лет

Если ПДн получены незаконным путем и осуществляется незаконная обработка ПДн несовершеннолетних лиц, специальных категорий ПДн и (или) биометрических ПДн из корыстных побуждений, с причинением крупного ущерба, группой лиц по предварительному сговору, с использованием своего служебного положения наказывается лицо, совершившее преступление:

штраф	принудительные работы	лишение свободы
до 1 000 000 р. или в размере заработной платы или иного дохода осужденного за период до 3 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового	на срок до 5 лет со штрафом до 1 000 000 р. или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового	на срок до 6 лет со штрафом до 1 000 000 р. или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового

Если вышеописанные правонарушения сопровождаются трансграничной передачей ПДн и (или) трансграничным перемещением носителей информации, содержащих ПДн лицо, совершившее преступление, наказывается лишением свободы на срок до 8 лет со штрафом в размере до 2 000 000 р. или в размере заработной платы или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 4 лет или без такового.

Обратите внимание! Под трансграничным перемещением носителей информации, содержащих ПДн, понимается совершение действий по ввозу на территорию Российской Федерации и (или) вывозу с территории Российской Федерации машиночитаемого носителя информации (в том числе магнитного и электронного), на который осуществлены запись и хранение такой информации.

Если вышеописанные противоправные действия повлекли тяжкие последствия либо совершены организованной группой, предусмотрено лишение свободы на срок до 10 лет со штрафом в размере до 3 000 000 р. или в размере заработной платы или иного дохода осужденного за период до 4 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового.

Обратите внимание! Под тяжкими последствиями следует понимать, в частности, длительную приостановку или нарушение работы предприятия, учреждения или организации, получение доступа к информации, составляющей охраняемую законом тайну, предоставление к ней доступа неограниченному кругу лиц, причинение по неосторожности смерти, тяжкого вреда здоровью хотя бы одному человеку и т.п.

За создание сайтов или страниц сайтов в Интернете, ИС, программ для электронных вычислительных машин, предназначенных для незаконной обработки компьютерной информации, содержащей ПДн, полученных незаконным путем, наказывается лицо, совершившее преступление:

штраф	принудительные работы	лишение свободы
до 700 000 р. или в размере заработной платы или иного дохода осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового	на срок до 5 лет со штрафом до 700 000 р. или иного дохода осужденного за период до 2 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового	на срок до 5 лет со штрафом до 700 000 р. или иного дохода осужденного за период до 2 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового

30 ноября 2024 г. принят Федеральный закон № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Изменения, которые произошли в КоАП РФ, вступят в силу 30 мая 2025 г. Они вносятся в статью 13.11 в части нарушения законодательства РФ в области ПДн.

Таким образом, ужесточаются штрафы за нарушение обработки ПДн в случаях, не предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», либо при обработке ПДн, несовместимой с целями сбора ПДн (часть 1 статьи 13.11 КоАП РФ), если эти действия не содержат уголовно наказуемого деяния:

	было	стало
на граждан	2 000-6 000 р.	10 000-15 000 р.
на должностных лиц	10 000-20 000 р.	50 000-100 000 р.
на юридических лиц	60 000-100 000 р.	150 000-300 000 р.
за повторное нарушение
на граждан	4 000-12 000 р.	15 000-30 000 р.
на должностных лиц	20 000-50 000 р.	100 000-200 000 р.
на юридических лиц	100 000-300 000 р.	300 000-500 000 р.

Исходя из таблицы видим, что штраф на должностных лиц за правонарушение увеличится в 5 раз, а на юридических лиц в 2,5-3 раза.

Также статья 13.11 КоАП РФ дополнится новыми частями.

Если ранее за неподачу или несвоевременную подачу уведомления о намерении осуществлять обработку ПДн в Роскомандзор штраф налагался в соответствии со статьей 19.7 КоАП РФ, то с 30 мая 2025 г. штраф будет налагаться согласно части 10 статьи 13.11 КоАП РФ и суммы штрафов сильно возрастут:

	было (статья 19.7)	стало (часть 10 статьи 13.11)
на должностных лиц	300-500 р.	30 000-50 000 р.
на юридических лиц	3 000-5 000 р.	100 000-300 000 р.

Обратите внимание! В новых частях (части 10-18) статьи 13.11 КоАП РФ под должностным лицом понимается должностное лицо государственного или муниципального органа либо некоммерческой организации. Под юридическим лицом понимается оператор - юридическое лицо, не являющееся государственным или муниципальным органом либо некоммерческой организацией. Лица, осуществляющие предпринимательскую деятельность без образования юридического лица, несут административную ответственность как юридические лица.

С 1 сентября 2022 г. вступили в силу изменения в Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных», связанные с уведомлениями, которые оператору необходимо направлять в адрес Роскомнадзора. Одним из таких уведомлений является Уведомление о факте неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн. За неподачу данного уведомления предусмотрена ответственность в размере от 400 000 до 800 000 р. на должностных лиц, и от 1 000 000 до 3 000 000 р. на юридических лиц. Порядок подачи данного уведомления описан в методическом материале «О чем нужно уведомлять Роскомнадзор операторам, осуществляющим обработку персональных данных».

Следующие меры ответственности предусмотрены за действия/бездействия оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей ПДн, в зависимости от их объема:

		должностное лицо	юридическое лицо
часть 12 статьи 13.11	1 000-10 000 субъектов ПДн	200 000-400 000 р.	3 000 000-5 000 000 р.
часть 12 статьи 13.11	10 000-100 000 идентификаторов	200 000-400 000 р.	3 000 000-5 000 000 р.
часть 13 статьи 13.11	10 000-100 000 субъектов ПДн	300 000-500 000 р	5 000 000-10 000 000 р.
часть 13 статьи 13.11	100 000-1 000 000 идентификаторов	300 000-500 000 р	5 000 000-10 000 000 р.
часть 14 статьи 13.11	>100 000 субъектов ПДн	400 000-600 000 р.	10 000 000-15 000 000 р.
часть 14 статьи 13.11	>1 000 000 идентификаторов	400 000-600 000 р.	10 000 000-15 000 000 р.

Под идентификатором понимается уникальное обозначение сведений о физическом лице, содержащееся в ИСПДн оператора и относящееся к такому лицу.

Обратите внимание! В данных статьях говорится о действиях/бездействиях оператора, которые не содержат признака уголовно наказуемого деяния.

Отдельная ответственность вводится за действия/бездействия оператора, которые повлекли неправомерную передачу (предоставление, распространение, доступ) специальной категории ПДн, например, сведений о судимости, о состоянии здоровья и биометрических ПДн:

	должностное лицо	юридическое лицо
специальные категории ПДн	1 000 000-1 300 000 р.	10 000 000-15 000 000 р.
биометрические ПДн	1 500 000-2 000 000 р.	15 000 000-20 000 000 р.

Впервые за нарушения обработки ПДн для юридических лиц вводятся оборотные штрафы.

Так, если произошла повторная утечка ПДн субъектов ПДн или идентификаторов независимо от их объемов (части 12-14 статьи 13.11) и правонарушитель ранее был наказан за подобные утечки и (или) наказан за утечки специальных категорий ПДн и биометрических ПДн (части 16-18 статьи 13.11) налагается штраф от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг) за календарный год, предшествующий году, в котором было выявлено административное правонарушение, но не менее 20 000 000 р. и не более 500 000 000 р.

Если произошла повторная утечка специальных категорий ПДн и биометрических ПДн и правонарушитель ранее был наказан за подобные утечки или утечки ПДн субъектов ПДн и (или) идентификаторов независимости от объема утечек (части 12-14 статьи 13.11) налагается штраф от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг) за календарный год, предшествующий году, в котором было выявлено административное правонарушение, но не менее 25 000 000 р. и не более 500 000 000 р.

Обратите внимание! Специалистами ООО «НПЦ «КСБ» разработан методический материал «Ответственность за несоблюдение требований законодательства в сфере защиты персональных данных», где в табличной форме описаны все виды наказаний в части обработки ПДн.

При назначении оборотных штрафов будут учитываться смягчающие и отягчающие обстоятельства. К смягчающим относятся (часть 3.4-2 статьи 4.1 КоАП РФ):

в течение 3х календарных лет до возникновения утечки ПДн ежегодные расходы организации на мероприятия по обеспечению ИБ, с привлечением лицензиатов ФСТЭК России либо самостоятельно (при наличии лицензии на данный вид деятельности) составляли не менее 0,1% годового совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), либо размера собственных средств (капитала) кредитной организации;
оператор в течение 12 месяцев до возникновения инцидента соблюдал требования к защите ПДн при их обработке в ИСПДн и данный факт возможно документально подтвердить;
отсутствуют обстоятельства, отягчающие административную ответственность, предусмотренные примечанием 5 к статье 13.11 КоАП РФ.

Обратите внимание! Только при одновременном соблюдении данных смягчающих условий административное наказание в виде административного штрафа назначается в размере 0,1 минимального размера штрафа, предусмотренного за совершение соответствующего правонарушения, но не менее 15 000 000 р. и не более 50 000 000 р.

Также обратите внимание, что смягчающие обстоятельства учитываются только при повторных правонарушениях и наложении оборотных штрафов по частям 15 и 18 статьи 13.11 КоАП РФ.

При назначении административного штрафа при повторных правонарушениях, предусмотренных частями 15 и 18 статьи 13.11 КоАП РФ учитываются и обстоятельства, отягчающие наказание:

продолжение противоправного поведения, несмотря на требование уполномоченных на то лиц прекратить его (пункт 1 части 1 статьи 4.3 КоАП РФ);
лицо, совершившее административное правонарушение, на момент его совершения считалось (считается) подвергнутым административному наказанию за совершение административных правонарушений, предусмотренных частями 1-11 статьи 13.11 и (или) статьями 13.6, 13.12 КоАП РФ.

В КоАП РФ также добавятся новые части в статью 13.11.3 в сфере нарушения требований в области размещения и обработки биометрических ПДн в единой биометрической системе.

При нарушении порядка обработки биометрических ПДн в единой биометрической системе, порядка обработки биометрических ПДн в ИС государственных органов, Центрального банка Российской Федерации, организаций, прошедших аккредитацию и осуществляющих аутентификацию на основе биометрических ПДн физических лиц, либо требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических ПДн, векторов единой биометрической системы в целях проведения идентификации и (или) аутентификации предписывается административный штраф:

на должностных лиц в размере от 100 000 до 300 000 р.;
на юридических лиц в размере от 500 000 до 1 000 000 р.

В случае непринятия организационных и технических мер по обеспечению безопасности биометрических ПДн на должностных лиц накладывается штраф в размере от 300 000 до 500 000 р., на юридических лиц – от 1 000 000 до 1 500 000 р.

Обработка биометрических персональных данных, векторов единой биометрической системы для аутентификации физических лиц в ИС государственных органов, организаций, ИС Центрального банка Российской Федерации без аккредитации либо в случае, если аккредитация приостановлена или прекращена, влечет наложение административного штрафа:

на должностных лиц в размере от 500 000 до 1 000 000 р.;
на юридических лиц от 1 000 000 до 2 000 000 р.

Ужесточение существующих штрафов и введение новых статей в КоАП РФ и УК РФ предназначено для побуждения операторов соблюдать принципы и основы обработки ПДн, соблюдать правовые, организационные и технические меры защиты ПДн, бережно относиться к ПДн субъектов ПДн, особенно к чувствительным данным, а также соблюдать права субъектов ПДн.

Изменения в Уголовном кодексе РФ и Кодексе Российской Федерации об административных правонарушениях от декабря 2024 г.

Ошибка