Самые большие штрафы грозят за несанкционированную передачу персональных данных (ПД): доходит до 3% с годовой выручки организации и до 500 000 000 рублей! Поэтому мы стали разбираться, какие требования есть к обеспечению безопасности ПД в информационных системах, какие отягчающие и смягчающие размер штрафа обстоятельства учитываются. За какие категории ПД грозит повышенный штраф. В таблице систематизируем, кого, за что и на сколько могут оштрафовать по КоАП РФ.
Объясняем, за что «светит» уже уголовная ответственность, по которой могут быть не только крупные штрафы, но и лишение права занимать определенные должности и даже лишение свободы.
Разбираемся также со штрафами за неуведомление Роскомнадзора об инциденте с утечкой ПД (либо нарушение срока уведомления – это должно быть сделано в течение 24 и 72 часов), а также за хранение ПД россиян за рубежом.
1. Хранение и обработка ПД за пределами РФ
Раньше операторы, накапливая ПД на серверах в России, имели некоторые возможности для их последующей обработки за границей (например, при поручении оператором обработки ПД другим лицам). При этом с ПД граждан России могли происходить различного рода инциденты: утечка, хакерские атаки, неправомерный доступ, незаконное использование представителями иностранных государств и т.п.
Однако с 01.07.2025 запись, систематизация, накопление, хранение, уточнение (обновление, изменение) или извлечение ПД граждан РФ не допускается с использованием баз данных, находящихся за пределами территории РФ (ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» 1). Из этого общего правила законом предусмотрен ряд исключений – это случаи, когда:
- обработка ПД необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных на оператора функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ);
- обработка ПД осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах (п. 3 ч. 1 ст. 6 Закона № 152-ФЗ);
- обработка ПД необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов РФ, органов местного самоуправления и функций организаций, участвующих в предоставлении государственных и муниципальных услуг (п. 4 ч. 1 ст. 6 Закона № 152-ФЗ);
- обработка ПД необходима для осуществления профессиональной деятельности журналиста и/или законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных (п. 8 ч. 1 ст. 6 Закона № 152-ФЗ).
Отметим, что трансграничная передача ПД 2 из закона не исключена и продолжает осуществляться с соблюдением требования об обязательном уведомлении Роскомнадзора о намерении осуществлять трансграничную передачу ПД (ч. 3 ст. 12 Закона № 152-ФЗ).
Продолжение обработки ПД россиян за рубежом в нарушение требований Закона № 152-ФЗ приводит к привлечению оператора к административной ответственности по ч. 8 и 9 ст. 13.11 КоАП.
Таблица 1. Санкции по ч. 8 и 9 ст. 13.11 «Нарушение законодательства Российской Федерации в области персональных данных» КоАП РФ
|
Состав нарушения (с указанием номера части статьи)
|
Размер штрафа
|
|
для граждан
|
для ИП
|
для должностных лиц
|
для организаций
|
|
8. Невыполнение при сборе ПД (в т.ч. через Интернет) оператором обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ
|
от 30 000 до 50 000 рублей
|
от 1 000 000 до 6 000 000 рублей
|
от 100 000 до 200 000 рублей
|
от 1 000 000 до 6 000 000 рублей
|
|
9. Повторное нарушение ч. 8 ст. 13.11
|
от 50 000 до 100 000 рублей
|
от 6 000 000 до 18 000 000 рублей
|
от 500 000 до 800 000 рублей
|
от 6 000 000 до 18 000 000 рублей
|
2. Неправомерная передача ПД
Для исключения случаев неправомерной передачи ПД (предоставление, распространение, доступ) оператор должен предпринимать специальные меры по обеспечению безопасности ПД при их обработке, предусмотренные ч. 2 ст. 19 Закона № 152-ФЗ. Их список внушительный!
Например, оператор должен определять и нейтрализовать угрозы безопасности ПД при их обработке в информационных системах. Помогают в этом Требования к защите ПД при их обработке в информационных системах ПД (утв. постановлением Правительства РФ от 01.11.2012 № 1119) 3.
Под актуальными угрозами безопасности ПД в Постановлении № 1119 понимается совокупность условий и факторов, создающих опасность несанкционированного, в т.ч. случайного, доступа к ПД при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПД, а также иные неправомерные действия.
В Постановлении № 1119 выделяются 3 типа актуальных для информационной системы угроз (п. 6) и устанавливаются 4 уровня защищенности ПД (п. 8). Средства защиты конфиденциальной информации в РФ определены:
- в документах Федеральной службы безопасности РФ (далее – ФСБ России): приказ ФСБ России от 10.07.2014 № 378, Методические рекомендации, утв. ФСБ России 31.03.2015 № 149/7/2/6-432, и др.;
- в документах Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК России): приказы ФСТЭК России от 11.04.2025 № 117, от 18.02.2013 № 21, от 02.06.2020 № 76; Базовая модель угроз безопасности персональных данных при их обработке в информационных системах ПД, утв. ФСТЭК 15.02.2008, Методика оценки угроз безопасности информации, утв. ФСТЭК 05.02.2021, и др.
Контроль за выполнением требований по определению угроз организуется и проводится оператором самостоятельно и/или с привлечением на договорной основе юридических лиц и ИП, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (п. 17 Постановления № 1119).
Оператор должен принимать организационные и технические меры по обеспечению безопасности ПД. Согласно названным выше документам ФСБ России и ФСТЭК России к ним относятся:
- идентификация и аутентификация субъектов и объектов доступа;
- управление доступом к объектам;
- защита машинных носителей информации, на которых хранятся и/или обрабатываются ПД;
- антивирусная защита;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности ПД;
- выявление инцидентов, которые могут привести к сбоям или нарушению функционирования информационной системы и/или к возникновению угроз безопасности ПД, и...