Актуальные изменения законодательства о персональных данных

Актуальные изменения законодательства о персональных данных

Эльвира Данилова

Ассоциированный директор
Юридическое консультирование

Рассказываем о последних наиболее важных и значимых для бизнеса изменениях законодательства об обработке персональных данных.

Изменения в части ответственности за отдельные нарушения в области обработки персональных данных (вступают в силу 30.05.2025)

Усиление ответственности за отдельные нарушения в области обработки персональных данных

Норма

Правонарушение

Действующая ответственность

Новая ответственность

ч. 1 и 1.1.  ст. 13.11. КоАП РФ

Обработка ПД в не предусмотренных законом случаях, либо обработка ПД, несовместимая с целями сбора ПД, за исключением случаев, предусмотренных ч. 2, 11-18 ст. 13.11 и ст. 17.13, если эти действия не содержат уголовно наказуемого деяния.

Административный штраф:

  • для ДЛ: от 10 тыс. руб. до 20 тыс. руб.
  • для ЮЛ: от 60 тыс. до 100 тыс. руб.

За повторное нарушение:

  • для ДЛ: от 20 тыс. до 50 тыс. руб.
  • для ИП: от 50 тыс. до 100 тыс. руб.
  • для ЮЛ: от 100 тыс. до 300 тыс. руб.

Административный штраф:

  • для ДЛ: от 50 тыс. до 100 тыс. руб.
  • для ЮЛ: от 150 тыс. до 300 тыс. руб.

За повторное нарушение

  • для ДЛ: от 100 тыс. до 200 тыс. руб.
  • для ИП и ЮЛ: от 300 тыс. до 500 тыс. руб.

 

ч. 10 ст. 13.11. КоАП РФ

Неуведомление или несвоевременное уведомление Роскомнадзора о намерении осуществлять обработку ПД.

Отдельного состава нет.

На практике могла применяться ответственность по ст. 19.7 КоАП РФ «Непредоставление информации» (административный штраф для ДЛ от 300 до 500 руб., для ЮЛ от 3 тыс. до 5 тыс. руб.).

Административный штраф:

  • для ДЛ: от 30 тыс. до 50 тыс. руб.
  • для ИП и ЮЛ: от 100 тыс. до 300 тыс. руб.

Новые составы ответственности за нарушения, связанные с утечкой персональных данных

Норма

Правонарушение

Ответственность

ч. 11 ст. 13.11. КоАП РФ

Неуведомление или несвоевременное уведомление Роскомнадзора в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД (далее по тексту – «утечка ПД»).

Административный штраф:

  • для ДЛ: от 400 тыс. до 800 тыс. руб.
  • для ИП и ЮЛ: от 1 млн до 3 млн руб.

ч. 12 ст. 13.11. КоАП РФ

Действия (бездействие) оператора, повлекшие утечку ПД от 1 000 до 10 000 субъектов ПД и (или) от 10 000 до 100 000 идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния.

Под идентификатором понимается уникальное обозначение сведений р физическом лице, содержащееся в информационной системе ПД (далее – «ИСПДН») оператора и относящееся к такому лицу (прим. 4 к ст. 13.11 КоАП РФ).

Административный штраф:

  • для ДЛ: от 200 тыс. до 400 тыс. руб.
  • для ИП и ЮЛ: от 3 млн до 5 млн руб.

ч. 13 ст. 13.11. КоАП РФ

Действия (бездействие) оператора, повлекшие утечку ПД от 10 000 до 100 000 субъектов ПД и (или) от 100 000 до 1 млн идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния.

Административный штраф:

  • для ДЛ: от 300 тыс. до 500 тыс. руб.
  • для ИП и ЮЛ: от 5 млн до 10 млн руб.

ч. 14 ст. 13.11. КоАП РФ

Действия (бездействие) оператора, повлекшие утечку ПД более 100 000 субъектов ПД и (или) более 1 млн идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния.

Административный штраф:

  • для ДЛ: от 400 тыс. до 600 тыс. руб.
  • для ИП и ЮЛ: от 10 млн до 15 млн руб.

ч. 15 ст. 13.11. КоАП РФ

Повторная утечка ПД, предусмотренная ч. 12-14 ст. 13.11. КоАП РФ совершенная лицом, подвергнутым административному наказанию по ч. 12-16, 18 ст. 13.11. КоАП РФ.

Административный штраф:

  • для ДЛ: от 800 тыс. до 1.2 млн руб.
  • для ИП и ЮЛ: от 1% до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено нарушение, либо размера собственных средств (капитала) кредитной организации на дату совершения нарушения, но не менее 20 млн руб. и не более 500 млн руб.

ч. 16 ст. 13.11. КоАП РФ

Действия (бездействие) оператора, повлекшие утечку специальных категорий ПД.

Административный штраф:

  • для ДЛ: от 1 млн до 1.3 млн руб.
  • для ИП и ЮЛ: от 10 млн до 15 млн руб.

ч. 17 ст. 13.11. КоАП РФ

Действия (бездействие) оператора, повлекшие утечку биометрических ПД, за исключением случаев, предусмотренных ст. 13.113 КоАП РФ.

Административный штраф:

  • для ДЛ: от 1.3 млн до 1.5 млн руб.
  • для ИП и ЮЛ: от 15 млн до 20 млн руб.

ч. 18 ст. 13.11. КоАП РФ

Повторная утечка специальных категорий ПД или биометрических ПД, совершенная лицом, подвергнутым административному наказанию по ч. 12-18 ст. 13.11. КоАП РФ.

Административный штраф:

  • для ДЛ: от 1.5 млн до 2 млн руб.
  • для ИП и ЮЛ: от 1% до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено нарушение, либо размера собственных средств (капитала) кредитной организации на дату совершения нарушения, но не менее 25 млн руб. и не более 500 млн руб.

ч. 2 ст. 13.11.3. КоАП РФ

Нарушение порядка обработки биометрических ПД в единой биометрической системе (далее – «ЕБС»), векторов ЕБС в информационных системах государственных органов, ЦБ РФ, аккредитованных организаций, осуществляющих аутентификацию на основе биометрических ПД физических лиц, либо требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических ПД, векторов ЕБС в целях проведения идентификации и (или) аутентификации.

Административный штраф:

  • для ДЛ: от 100 тыс. до 300 тыс. руб.
  • для ДЛ: от 500 тыс. до 1 млн руб.

ч. 3 ст. 13.11.3. КоАП РФ

Непринятие организационных и технических мер по обеспечению безопасности биометрических ПД при их обработке в ЕБС, ее взаимодействии с иными информационными системами либо непринятие организационных и технических мер по обеспечению безопасности биометрических ПД при их обработке в иных информационных системах, обеспечивающих аутентификацию с использованием биометрических ПД физических лиц, в том числе в информационных системах аккредитованных государственных органов.

Административный штраф:

  • для ДЛ: от 300 тыс. до 500 тыс. руб.
  • для ЮЛ: от 1 млн до 1.5 млн руб.

ч. 4 ст. 13.11.3. КоАП РФ

Обработка биометрических ПД, векторов ЕБС для аутентификации физических лиц в информационных системах государственных органов, организаций, информационной системе ЦБ РФ, без аккредитации либо в случае, если аккредитация приостановлена или прекращена.

Административный штраф:

  • для ДЛ: от 500 тыс. до 1 млн руб.
  • для ЮЛ: от 1 до 2 млн руб.

ч. 8 ст. 14.8 КоАП РФ

Отказ в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя от прохождения идентификации и (или) аутентификации с использованием его биометрических ПД.

Административный штраф:

  • для ДЛ: от 50 тыс. до 100 тыс. руб.
  • для ЮЛ: от 200 тыс. до 500 тыс. руб.

Изменения в части требования локализации персональных данных граждан России (вступают в силу 01.07.2025)

Ужесточаются требования к локализации персональных данных граждан Российской Федерации:

  • требование о локализации будет обязательно к соблюдению не только операторами персональных данных, но и лицами, обрабатывающими персональные данные по поручению оператора – так называемые «обработчики» (до изменений требование о локализации фактически применялось к обработчикам в силу законодательного требования к операторам включать в поручение на обработку персональных данных положения о том, что обработчик обязан соблюдать требования по локализации).
  • положения об использовании баз данных, расположенных за рубежом, будут действовать в форме запрета: любое использование зарубежных баз данных для сбора персональных данных будет запрещено, что будет иметь важное практическое значение для механизмов локализации, которые в настоящее время применяются на практике.

Напоминаем, что за нарушение требования о локализации предусмотрена следующая административная ответственность (ч. 8 и ч. 9 ст. 13.11 КоАП РФ):

a) При первом нарушении:

  • для должностных лиц – административный штраф в размере от 100 тыс. руб. до 200 тыс. руб.
  • для юридических лиц – административный штраф в размере от 1 млн руб. до 6 млн руб.

b) При повторном нарушении:

  • для должностных лиц – административный штраф в размере от 500 тыс. руб. до 800 тыс. руб.
  • для юридических лиц – административный штраф от 6 млн руб. до 18 млн руб.

В связи с указанными изменениями законодательства рекомендуем:

  1. Провести аудит бизнес-процессов, включающих обработку персональных данных (уделив особое внимание процессам сбора и локализации персональных данных граждан России), на предмет соответствия законодательству о персональных данных / скорректировать процессы, которые не соответствуют законодательству.
  2. Проверить и при необходимости обновить документы компании, подтверждающие соблюдение законодательства о персональных данных.
  3. Рассмотреть вопрос о подаче необходимых уведомлений в Роскомнадзор.

Команда по юридическому консультированию «Мариллион» готова помочь в оценке соблюдения компанией требований законодательства о персональных данных, в предоставлении рекомендаций по поводу построения процессов компании с персональными данными и оформления необходимых документов и уведомлений, а также в подготовке и доработке существующих документов.

Задать вопрос

Хотите узнать больше?

Похожие статьи