Утечка персональных данных: самые большие штрафы и уголовная ответственность

Самые большие штрафы грозят за несанкционированную передачу персональных данных (ПД): доходит до 3% с годовой выручки организации и до 500 000 000 рублей! Поэтому мы стали разбираться, какие требования есть к обеспечению безопасности ПД в информационных системах, какие отягчающие и смягчающие размер штрафа обстоятельства учитываются. За какие категории ПД грозит повышенный штраф. В таблице систематизируем, кого, за что и на сколько могут оштрафовать по КоАП РФ. Объясняем, за что «светит» уже уголовная ответственность, по которой могут быть не только крупные штрафы, но и лишение права занимать определенные должности и даже лишение свободы. Разбираемся также со штрафами за неуведомление Роскомнадзора об инциденте с утечкой ПД (либо нарушение срока уведомления – это должно быть сделано в течение 24 и 72 часов), а также за хранение ПД россиян за рубежом.

1. Хранение и обработка ПД за пределами РФ

Раньше операторы, накапливая ПД на серверах в России, имели некоторые возможности для их последующей обработки за границей (например, при поручении оператором обработки ПД другим лицам). При этом с ПД граждан России могли происходить различного рода инциденты: утечка, хакерские атаки, неправомерный доступ, незаконное использование представителями иностранных государств и т.п.

Однако с 01.07.2025 запись, систематизация, накопление, хранение, уточнение (обновление, изменение) или извлечение ПД граждан РФ не допускается с использованием баз данных, находящихся за пределами территории РФ (ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» 1). Из этого общего правила законом предусмотрен ряд исключений – это случаи, когда:

  • обработка ПД необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных на оператора функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 Закона № 152-ФЗ);
  • обработка ПД осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах (п. 3 ч. 1 ст. 6 Закона № 152-ФЗ);
  • обработка ПД необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов РФ, органов местного самоуправления и функций организаций, участвующих в предоставлении государственных и муниципальных услуг (п. 4 ч. 1 ст. 6 Закона № 152-ФЗ);
  • обработка ПД необходима для осуществления профессиональной деятельности журналиста и/или законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных (п. 8 ч. 1 ст. 6 Закона № 152-ФЗ).

Отметим, что трансграничная передача ПД 2 из закона не исключена и продолжает осуществляться с соблюдением требования об обязательном уведомлении Роскомнадзора о намерении осуществлять трансграничную передачу ПД (ч. 3 ст. 12 Закона № 152-ФЗ).

Продолжение обработки ПД россиян за рубежом в нарушение требований Закона № 152-ФЗ приводит к привлечению оператора к административной ответственности по ч. 8 и 9 ст. 13.11 КоАП.

Таблица 1. Санкции по ч. 8 и 9 ст. 13.11 «Нарушение законодательства Российской Федерации в области персональных данных» КоАП РФ

Состав нарушения
(с указанием номера части статьи)

Размер штрафа

для
граждан

для ИП

для должностных лиц

для
организаций

8. Невыполнение при сборе ПД
(в т.ч. через Интернет) оператором обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ

от 30 000 до 50 000 рублей

от 1 000 000 до 6 000 000 рублей

от 100 000 до 200 000 рублей

от 1 000 000 до 6 000 000 рублей

9. Повторное нарушение ч. 8 ст. 13.11

от 50 000 до 100 000 рублей

от 6 000 000 до 18 000 000 рублей

от 500 000 до 800 000 рублей

от 6 000 000 до 18 000 000 рублей

2. Неправомерная передача ПД

Для исключения случаев неправомерной передачи ПД (предоставление, распространение, доступ) оператор должен предпринимать специальные меры по обеспечению безопасности ПД при их обработке, предусмотренные ч. 2 ст. 19 Закона № 152-ФЗ. Их список внушительный!

Например, оператор должен определять и нейтрализовать угрозы безопасности ПД при их обработке в информационных системах. Помогают в этом Требования к защите ПД при их обработке в информационных системах ПД (утв. постановлением Правительства РФ от 01.11.2012 № 1119) 3.

Под актуальными угрозами безопасности ПД в Постановлении № 1119 понимается совокупность условий и факторов, создающих опасность несанкционированного, в т.ч. случайного, доступа к ПД при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПД, а также иные неправомерные действия.

В Постановлении № 1119 выделяются 3 типа актуальных для информационной системы угроз (п. 6) и устанавливаются 4 уровня защищенности ПД (п. 8). Средства защиты конфиденциальной информации в РФ определены:

  • в документах Федеральной службы безопасности РФ (далее – ФСБ России): приказ ФСБ России от 10.07.2014 № 378, Методические рекомендации, утв. ФСБ России 31.03.2015 № 149/7/2/6-432, и др.;
  • в документах Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК России): приказы ФСТЭК России от 11.04.2025 № 117, от 18.02.2013 № 21, от 02.06.2020 № 76; Базовая модель угроз безопасности персональных данных при их обработке в информационных системах ПД, утв. ФСТЭК 15.02.2008, Методика оценки угроз безопасности информации, утв. ФСТЭК 05.02.2021, и др.

Контроль за выполнением требований по определению угроз организуется и проводится оператором самостоятельно и/или с привлечением на договорной основе юридических лиц и ИП, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (п. 17 Постановления № 1119).

Оператор должен принимать организационные и технические меры по обеспечению безопасности ПД. Согласно названным выше документам ФСБ России и ФСТЭК России к ним относятся:

  • идентификация и аутентификация субъектов и объектов доступа;
  • управление доступом к объектам;
  • защита машинных носителей информации, на которых хранятся и/или обрабатываются ПД;
  • антивирусная защита;
  • обнаружение (предотвращение) вторжений;
  • контроль (анализ) защищенности ПД;
  • выявление инцидентов, которые могут привести к сбоям или нарушению функционирования информационной системы и/или к возникновению угроз безопасности ПД, и...

Вы видите начало этой статьи. Выберите свой вариант доступа

Купить эту статью
за 840 руб.
Подписаться на
журнал сейчас
Получать бесплатные
статьи на e-mail

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

Рекомендовано для вас

Несанкционированный доступ к персональным данным, обрабатываемым без средств автоматизации

Многие бумажные документы содержат персональные данные (ПД). Какие штрафы грозят за разглашение ПД, обрабатываемых без средств автоматизации? Загадка: если проект документа создан на компьютере, потом его распечатали и подписали на бумаге, то можно считать, что документ обрабатывается без средств автоматизации? Объясняем, как провести грань между автоматической и «ручной» обработкой ПД. Какие требования предписывает выполнить постановление Правительства РФ для защиты ПД, обрабатываемых «вручную». Их полный список может вас напугать. Поэтому подсказываем, как «сильные мира сего» минимизируют его выполнение.

Акт о выделении документов к уничтожению из подразделений

Форма акта о выделении к уничтожению документов из архива утверждена и содержится в нормативном правовом акте Росархива. А форма акта для выделения к уничтожению документов из структурных подразделений (на этапе текущего делопроизводства) не утверждена. Как доработать для этих целей «архивный» акт? Как составить акт о выделении к уничтожению документов, находящихся на депозитарном хранении в стороннем коммерческом архиве? Каков алгоритм работы: как оформлять акты о выделении документов к уничтожению, как их согласовывать и утверждать, как отражать сам факт уничтожения, где потом хранить акты? Объясняем, кто что и в каком порядке должен делать.

Акт об уничтожении персональных данных или документов?

Во многих документах, которые мы привыкли выделять к уничтожению по акту, составленному по правилам Росархива, содержатся персональные данные. В марте 2023 года вступил в силу приказ Роскомнадзора, который потребовал документировать уничтожение персональных данных по своему акту (там должны фиксироваться иные сведения, его составлять очень трудоемко)! А штрафы за ошибки в работе с персданными большие. Помогаем вам их избежать. Вы поймете, когда надо оформлять уничтожение документов (в т.ч. содержащих персданные) по акту Росархива, а когда – по акту Роскомнадзора. А еще получите аргументацию для диалога с проверяющими, чтобы защитить себя. Отсутствие однозначных разъяснений от профильных ведомств (Росархива и Роскомнадзора) приводит к рискам, которые помогаем вам оценить и выбрать свой «маршрут следования».

Исполнение судебных и адвокатских запросов: сроки, санкции, примеры

На какие адвокатские запросы организация обязана отвечать. Какие есть основания для законного отказа давать ответ. Почему отказ надо тоже направлять в виде письма (показываем примеры). Как проверить статус адвоката через общедоступный реестр в интернете. Когда надо успеть ответить по существу либо отказать в письменном виде, на сколько можно продлить срок исполнения адвокатского запроса. Сроки ответа на судебные запросы информации и документов. Если они содержат конфиденциальную информацию, то как организация может ходатайствовать об их рассмотрении в закрытом судебном заседании и об ограничении к ним доступа (показываем пример). Кого и на сколько могут оштрафовать за игнорирование или срыв срока ответа на адвокатские и судебные запросы.

Кто и как отвечает в организации за работу с персональными данными

Показываем, как оформить приказ о назначении ответственного за организацию работы с персональными данными, как можно прописать его обязанности в должностной инструкции. Как оформить перечень работников, допущенных к работе с персональными данными (приказ и формулировки для должностных инструкций). Какое наказание могут понести эти категории лиц в случае нарушений: штрафы для работников доходят до 800 000 руб., а для организаций – до 18 000 000 руб.(систематизировали варианты нарушений и административную ответственность за них в виде таблиц). Как их планируют еще ужесточить! В Уголовном кодексе дело дойдет до лишения свободы. Объясняем, кто подпадает под дисциплинарную, административную и уголовную ответственность.

Документирование работы с персональными данными: как избежать штрафов по ст. 13.11 КоАП РФ

Какие могут быть проблемы с целями обработки персональных данных? Когда нужно оформлять письменные согласия на обработку и распространение персональных данных, как их составить грамотно? Когда нужна Политика обработки персданных и где она должна быть опубликована? Когда и какую информацию следует предоставить по запросу человека о его персональных данных? Когда оператор обязан уточнить, заблокировать или уничтожить персональные данные? Как должно производиться обезличивание персональных данных? Когда и о чем следует уведомлять Роскомнадзор? Объясняем, как выполнить перечисленные задачи грамотно и какие штрафы грозят за ошибки.

Переписка с контрагентами как доказательство в суде

Как подтвердить дату отправки и доставки бумажной и электронной корреспонденции через «Почту России»? Какие варианты существуют? И надо ли нотариально заверять распечатки с сайта «Почты России» для суда? Как подтвердить отправку и получение документов через независимую службу доставки (CDEK и др.)? Какая электронная переписка может быть признана в качестве доказательства в суде: что кроме электронной почты, сообщений в мессенджерах и соцсетях может быть использовано? Каким критериям должна соответствовать такая переписка? Как самим можно снять скриншот с нее и приобщить к исковому заявлению или ходатайству в суд? Когда придется обратиться за заверением переписки к нотариусу? И как выглядит протокол ее осмотра нотариусом? Можно ли использовать в суде переписку из запрещенных мессенджеров? Как в договоре оговорить юридическую силу электронной переписки между сторонами (определить уполномоченных лиц, их контактные данные и каналы связи)?

Отметка о поступлении и отметка о вручении документа – разные вещи

Делопроизводственный реквизит «отметка о поступлении документа» в организацию (с входящим номером) кардинально отличается от юридической отметки о получении / вручении документа (с подписью): как по назначению, так и по составу элементов (общая у них только дата). Показываем несколько вариантов их оформления. Обязана ли организация-получатель ставить их на экземпляре отправителя. Как убедить суд в факте вручения документа адресату при его отправке курьером, через «Почту России» или по электронной почте.