СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Статьи
Компания «Актив»
17.03.2025
#Dev#ИБ

Ужесточение ответственности за правонарушения в сфере законодательства РФ о ПДн

Ужесточение ответственности за правонарушения в сфере законодательства РФ о ПДн

30 ноября 2024 года был принят Федеральный закон № 420-ФЗ, а 11 декабря 2024 года был принят Федеральный закон № 421-ФЗ. Положения этих Федеральных законов касаются ужесточения ответственности за административные и уголовные правонарушения в сфере законодательства РФ о персональных данных (далее – ПДн).

Сегодня мы рассмотрим подробнее эти изменения, разберем общие вопросы и смягчающие обстоятельства, позволяющие уменьшить наказание.

Ранее операторы ПДн (далее – Операторы) в случае нарушения законодательства о ПДн привлекались к административной ответственности в соответствии с ч. 1 ст. 13.11 КоАП РФ. В указанной статье говорится об обработке ПДн, несовместимой с целями сбора ПДн. Согласно ч. 2 ст. 2.1 КоАП РФ юридическое лицо (далее – ЮЛ) признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых КоАП РФ или законами субъекта РФ предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению. Именно за непринятие всех зависящих от ЮЛ мер по указанной статье Операторы привлекались к ответственности.

С 30 мая 2025 года начнут действовать поправки в КоАП РФ.

Поправки в УК РФ начали действовать 11 декабря 2024 года.

Новые положения КоАП РФ предполагают следующее:

– увеличение размеров штрафов за нарушения (в т. ч. повторные) при обработке ПДн;

– за административные правонарушения, предусмотренные ч. 1.1, 8-18 ст. 13.11, ст. 13.31, 13.35-13.37, 13.39, 13.40 и 13.46 КоАП РФ, индивидуальные предприниматели (далее – ИП) несут административную ответственность как ЮЛ;

– введение ответственности за неуведомление/несвоевременное уведомление Роскомнадзора (далее – РКН) о намерении осуществлять обработку ПДн, если такое нарушение сопровождается неправомерной или случайной передачей ПДн, то размер штрафа выше;

– предусматривается ответственность за массовую утечку ПДн с учетом количества пострадавших субъектов и количества идентификаторов;

– отдельно предусмотрена ответственность за неправомерную передачу специальной категории ПДн и биометрических ПДн (далее – БПДн).

Таблица 1. Изменения в КоАП РФ в соответствии с 420-ФЗ

Новая статья УК РФ устанавливает уголовную ответственность за:

– незаконное использование, передачу (распространение, предоставление, доступ), сбор ПДн, полученных незаконным путем (за такие же деяния в отношении ПДн несовершеннолетних лиц/специальных категорий ПДн/биометрических ПДн предусмотрено отдельное наказание), с учетом отягчающих обстоятельств (в т. ч. трансграничной передачи ПДн);

– создание сайтов, ИС, ПО, предназначенных для незаконных хранения, передачи (распространения, предоставления, доступа) ПДн, полученных незаконным путем (речь идет, например, о сервисах, через которые можно «пробить» человека по номеру телефона или номеру автомобиля).

Таблица 2. Изменения в УК РФ в соответствии с 421-ФЗ

Смягчающие обстоятельства – насколько реально выполнить?

Также поправки в КоАП РФ устанавливают смягчающие обстоятельства, при одновременном выполнении которых до момента вынесения постановления о наложении административного штрафа по ч. 15 и ч. 18 ст. 13.11 КоАП РФ позволяют существенно его снизить:

– в течение 3 лет до совершения административного правонарушения расходы Оператора на мероприятия по ИБ составляли не менее 0,1% годового совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), либо размера собственных средств (капитала), если речь идет о кредитной организации;

– вышеуказанные мероприятия проводились организациями, имеющими лицензию на выполнение работ/оказание услуг в области шифрования информации или на деятельность по технической защите конфиденциальной информации, либо самим Оператором при наличии этих лицензий;

! Исходя из вышеуказанных формулировок, в качестве смягчающих обстоятельств учитываются либо расходы строго на привлечение сторонних организаций с соответствующей лицензией, либо расходы самой организации при таком же условии. Здесь актуален вопрос – в случае расходов самой организации-лицензиата, учитываются ли расходы на зарплату ИБ- и/или ИТ-специалистов?

– в течение года до выявления факта совершения административного правонарушения Оператор соблюдал требования по защите ПДн в ИСПДн и он может подтвердить это документально;

! Подразумевается оценка эффективности мер в соответствии с приказом ФСТЭК России от 18 февраля 2013 года № 21? И если да, то в приказе ФСТЭК России указано, что данная оценка должна проводиться не реже одного раза в три года. Следует ли, что данной поправкой регуляторы подталкивают Операторов на проведение оценки эффективности не реже, чем 1 раз в год? И если подразумевается не оценка эффективности, то какими именно документами необходимо подтверждать соблюдение требований по защите ПДн?

– отсутствие отягчающих обстоятельств, предусмотренных примечанием 5 к ст. 13.11 КоАП РФ, а именно:

  • продолжение противоправного поведения, несмотря на требование уполномоченных на то лиц прекратить его;
  • лицо, совершившее административное правонарушение, на момент его совершения (на момент вынесения постановления по делу об административном правонарушении) считалось (считается) подвергнутым административному наказанию за совершение административных правонарушений, предусмотренных ч. 1-11 ст. 13.11 и (или) ст. 13.6, 13.12 КоАП РФ.

Резюмируя поправки, ужесточающие ответственность за административные и уголовные правонарушения в сфере законодательства РФ о ПДн возникает вопрос, насколько реально выполнить все смягчающие обстоятельства, перечисленные выше?

Как РКН проверяет утечки и реагирует на них

За 2024 год РКН зафиксировал 135 случаев утечки баз данных, в которых содержались более 710 млн записей о россиянах. Подробно рассмотрим механизм реагирования РКН на правонарушения в сфере законодательства о ПДн, закрепленный в нормативных документах:

– РКН является уполномоченным органом по защите прав субъектов ПДн, на который возлагается обеспечение контроля и надзора за соответствием обработки ПДн требованиям 152-ФЗ;

– существует перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой ПДн (приказ Минцифры от 15 ноября 2021 г. № 1187), согласно которому при установлении определенных фактов РКН относит поднадзорную организацию к соответствующей категории риска. К таким фактам относятся: несовпадение сведений, предоставленных Оператором по запросу РКН и информации, поступившей от граждан, о факте наличия в деятельности Оператора признаков неправомерной обработки их ПДн; предоставление неограниченному кругу лиц доступа к базам ПДн или публикация их в интернете; несоответствие данных из уведомления Оператора об обработке ПДн и информации на сайте Оператора;

– после отнесения организации к категории риска, РКН может проводить ряд профилактических мероприятий, в т. ч. объявление предостережения или профилактический визит;

– РКН может проводить контрольные мероприятия как планово, так и внепланово, но для внеплановых контрольных мероприятий установлены следующие основания: в РКН поступила информация о нарушении Оператором требований или об угрозе нарушения требований в сфере законодательства РФ о ПДн; наличие сведений о выявлении индикаторов риска; поручение Президента РФ, поручение Правительства РФ; проверка факта устранения Оператором нарушений, выявленных в ходе плановой проверки.

До сих в законодательстве не закреплен механизм проверки РКН уникальности утекшей базы данных. Новые поправки вводят такое понятие как «идентификатор», от количества утекших идентификаторов в т. ч. зависит размер административного штрафа. Таким образом, если в открытом доступе появится база ПДн, включающая в себя не только реальные ПДн, но и сгенерированные значения, используемые разработчиками Оператора для тестирования ПО ИСПДн, как будет считаться количество идентификаторов? Необходим ли правовой механизм подтверждения достоверности утекших идентификаторов?

Как сказано выше, в тексте КоАП предусматриваются новые критерии, от которых зависит размер штрафа, два из них — это количество пострадавших субъектов ПДн и количество «идентификаторов». Что понимается под идентификаторами? В примечаниях к статье 13.11 говорится, что это уникальное обозначение сведений о ФЛ, содержащееся в ИСПДн Оператора и относящееся к такому лицу. Во всех новых частях ст. 13.11, наряду с количеством субъектов ПДн упоминаются идентификаторы и всегда количество идентификаторов кратно больше, чем количество субъектов. Мы можем сделать вывод, что одному субъекту может принадлежать несколько идентификаторов. Может ли это означать, что под идентификатором подразумевается категория ПДн?

Несмотря на озвученные выше вопросы, в сфере защиты ПДн в РФ начался новый период, ведь теперь перед Операторами реже будет вставать вопрос выбора, что выгоднее для их компании – платить штраф или совершенствовать защитные меры обрабатываемых ими ПДн.

Автор: Анастасия Калиничева, специалист по информационной безопасности AKTIV.CONSULTING (Компания «Актив»).

Компания «Актив»
Автор: Компания «Актив»
Компания «Актив» — крупнейший российский производитель и разработчик программно-аппаратных средств защиты информации. Компания предлагает продукты и решения под брендом Рутокен для аутентификации, электронной подписи и обеспечения безопасности киберфизических систем, решения для лицензирования, защиты и управления продажами программных продуктов под брендом Guardant, оказывает услуги по консалтингу и аудиту в области информационной безопасности в рамках направления AKTIV.CONSULTING. На сегодняшний день подавляющее большинство российских государственных организаций и частных компаний используют решения и продукты Компании.
Комментарии: