Штраф 500 000 000 руб. и 10 лет колонии: ужесточена ответственность для операторов персональных данных

30 ноября 2024 г. приняты законы, значительно ужесточающие ответственность за нарушения в области персональных данных. Новые составы административных правонарушений и преступлений повышают правовые риски для компаний и их должностных лиц, включая генеральных директоров и работников, назначенных ответственными за организацию обработки персональных данных.

Уголовная ответственность
Административная ответственность
Смягчающие и отягчающие обстоятельства
Новые правила возбуждения и рассмотрения дел об административных правонарушениях
Кто может быть привлечен к ответственности?
Выводы
Приложения

Уголовная ответственность

С 11 декабря 2024 года в ст.272.1 Уголовного кодекса («УК») будут введены два основных и четыре квалифицированных состава преступлений.

Первый основной состав: «незаконные использование и (или) передача (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо иным незаконным путем…» (ч.1 ст.272.1 УК).

При буквальном толковании формулировок «незаконное использование» и «полученной… иным незаконным путем» возможно рассматривать как преступление практически любой случай неправомерной обработки персональных данных, совершенной с использованием компьютерных технологий, например: сбор данных пользователей интернет-сайта для рекламной рассылки, если текст согласия на обработку персональных данных («чек-бокс») отсутствует либо содержит ошибки; передачу данных работников от работодателя подрядчикам и другим контрагентам без согласия в письменной форме в нарушение ст.88 Трудового кодекса и ч.4 ст.9 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» («ЗоПДн»). Наказания включают штраф до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период до 1 года, принудительные работы либо лишение свободы до 4 лет.

Квалифицированные составы – это то же преступление, которое указано выше, но с определенными в УК отягчающими обстоятельствами и более строгими наказаниями (см. приложение). К примеру, совершение преступления, «сопряженного с трансграничной передачей компьютерной информации, содержащей персональные данные, и (или) трансграничным перемещением носителей информации, содержащих персональные данные» (ч.4 ст.272.1 УК). Трансграничная передача осуществляется только из Российской Федерации на территорию иностранного государства согласно п.11 ст.3 ЗоПДн. При этом в новом законе под «трансграничном перемещением носителей» понимается и вывоз из России и ввоз в Россию машиночитаемого носителя с такой информацией. Согласно п.2 Постановления Пленума Верховного Суда РФ от 15.12.2022 №37, компьютерная информация – это «любые сведения (сообщения, данные), представленные в виде электрических сигналов, независимо от средств их хранения, обработки и передачи». Информация может быть в памяти ЭВМ, других компьютерных устройств или на любых внешних электронных носителях (CD-дисках, жестких дисках, флешках и т.п.) в форме, доступной восприятию компьютерного устройства, и/или передаваться по каналам связи. К числу компьютерных устройств суды относят «любые электронные устройства, способные выполнять функции по приему, обработке, хранению и передаче информации, закодированной в форме электрических сигналов» (компьютеры, ноутбуки, планшеты, смартфоны и иные).

Наказание по ч.4 ст.272.1 УК достигает 8 лет лишения свободы. Если преступление включает трансграничную передачу или перемещение персональных данных и к тому же повлекло тяжкие последствия либо совершено организованной группой, срок заключения увеличивается до 10 лет (ч.5 ст.272.1 УК).

Второй основной состав, предусматривающий лишение свободы до 5 лет: «создание и (или) обеспечение функционирования информационного ресурса (сайта в сети «Интернет» и (или) страницы сайта в сети «Интернет», информационной системы, программы для электронных вычислительных машин), заведомо предназначенного для незаконных хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей персональные данные, полученной незаконным путем» (ч.6 ст.272.1 УК). Квалифицированных составов для этого преступления не предусмотрено.

По общему правилу следствие ведут органы внутренних дел (полиция). Следственный комитет или ФСБ могут расследовать эти преступления, если они непосредственно их выявили (п.3 ч.2 и ч.5 ст.151 УПК).

Административная ответственность

С 30 мая 2025 г. изменяются составы административных правонарушений и правила привлечения к ответственности. Увеличиваются штрафы за «старое» правонарушение –обработку персональных данных в случаях, не предусмотренных законодательством, либо несовместимую с целями их сбора – со 100 000 руб. до 300 000 руб. на компанию и с 20 000 руб. до 100 000 руб. на должностное лицо. Повторное нарушение (т.е. совершенное в течение 1 года после уплаты первого штрафа) может повлечь штрафы до 500 000 руб. на компанию и до 200 000 руб. на должностных лиц (ч.1 и 1.1 ст.13.11 КоАП). Возникает проблема разграничения административного правонарушения и нового преступления, указанного в ч.1 ст.272.1 УК (описано выше). Подход к этому будет сформирован только судебной практикой.

Новые составы административных правонарушений будут включать (см. приложение):

• неподачу или просрочку подачи в Роскомнадзор уведомления о намерении осуществлять обработку персональных данных (ч.10 ст.13.11 КоАП). При этом ст.21 ЗоПДн обязывает оператора также уведомлять об изменении сведений, указанных в ранее поданном уведомлении, и о прекращении обработки персональных данных, но в новом составе правонарушения случаи неподачи / просрочки подачи этих уведомлений не упомянуты, поэтому ответственность может наступить по «старой» ст.19.7 КоАП (штраф до 5 000 руб. и/или до 500 руб. на должностных лиц);
• неподачу или просрочку подачи в Роскомнадзор уведомления об утечке персональных данных (ч.11 ст.13.11 КоАП). Часть 3.1 ст.21 ЗоПДн предусматривает последовательную подачу двух уведомлений через 24 и 72 часа после выявления инцидента, произошедшего с данными. Новый состав правонарушения относится к любому из них;
• нарушения ряда требований, касающихся государственной Единой биометрической системы (ЕБС), предусмотренных Федеральным законом №572-ФЗ от 29.12.2022 (ч.2, ч.3 и ч.4 ст.13.11.3, ч.8 ст.14.8 КоАП). Закон обязывает все организации, осуществляющие идентификацию и аутентификацию людей автоматизированным способом (например, установку автоматической системы пропускного режима или охраны труда на предприятии) получить государственную аккредитацию и передавать собираемые биометрические данные (фотоизображение лица и запись голоса) в ЕБС. К правонарушениям отнесены, среди прочего, неполучение аккредитации и нарушение порядка обработки биометрических данных в ЕБС; и
• утечку персональных данных (ч.12-18 ст.13.11 КоАП).

Основной состав правонарушения-утечки описан как «действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные …» (ч.12 ст.13.11 КоАП). Ответственность повышается при утечке большого объема данных, специальных категорий (например, о состоянии здоровья, национальности, интимной жизни) и биометрических данных, а также в случае повторного привлечения оператора к административной ответственности по ряду нарушений.

Формулировка правонарушения, вероятно, вызовет практические сложности. При буквальном прочтении под нее попадает не только неправомерное раскрытие данных третьим лицам, но и нарушение правил доступа к персональным данным внутри компании (работник случайно увидел кадровые документы другого работника, отправка входящих документов не в тот отдел и т.д.). Существует коллизия с ч.3.1 ст.21 ЗоПДн, предусматривающей обязанность оператора уведомлять Роскомнадзор об утечке, проводить внутреннее расследование и выполнять иные неотложные действия только в случае, если утечка «повлекла нарушение прав субъектов персональных данных». В составе административного правонарушения такой оговорки нет. Если оператор, у которого случилась утечка, еще и допускал нарушения при сборе персональных данных, то действия его работников формально могут подпадать под уголовную ответственность по ч.1 ст.272.1 УК.

Суммы административных штрафов повышаются при утечках определенных в КоАП объемов персональных данных или идентификаторов – «уникальных обозначений сведений о физическом лице, содержащихся в информационной системе персональных данных оператора и относящихся к такому лицу» (прим.4 ст.13.11 КоАП). К примеру, при утечке более 100 000 субъектов персональных данных и/или более 1 000 000 идентификаторов суммы штрафов могут достигать 15 000 000 руб. на компанию. При этом ЗоПДн не содержит каких-либо правовых норм об идентификаторах, а в ст.13.11 КоАП не разъясняется, как на деле отличить идентификатор от персональных данных.

За повторную утечку (независимо от объема данных) применяется оборотный штраф: от 1 до 3% совокупного размера суммы годовой выручки компании, полученной от реализации всех товаров (работ, услуг) за предшествующий нарушению год, но не менее 20 000 000 руб. и не более 500 000 000 руб. Для расчета штрафа кредитной организации за основу берется размер собственных средств (капитала). Оборотные штрафы также предусмотрены за повторную утечку биометрических или специальных категорий персональных данных, независимо от их объема.

Смягчающие и отягчающие обстоятельства

Согласно новой ч.3.4-2 ст.4.1 КоАП, при повторных утечках (за которые применяются оборотные штрафы) суды должны будут назначать штрафы в размере 1/10 от минимального размера штрафа, предусмотренного за совершение правонарушения, но не менее 15 000 000 руб. и не более 50 000 000 руб. в случае выполнения компанией до вынесения постановления о наложении административного штрафа одновременно следующих условий:

• ежегодные расходы оператора в течение 3 календарных лет, предшествующих году, в котором было выявлено правонарушение, на мероприятия по обеспечению информационной безопасности, проведенные организациями, имеющими государственную лицензию ФСБ на работу с шифровальными (криптографическими) средствами или лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации, либо самостоятельно (при условии наличия у оператора такой лицензии) составляли не менее 0,1 % годового совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), либо размера собственных средств (капитала) кредитной организации;
• оператор соблюдал требования к защите персональных данных при их обработке в информационных системах при условии документального подтверждения указанного факта, проведенного в течение 12 месяцев, предшествующих моменту выявления административного правонарушения;
• отсутствовали обстоятельства, отягчающие административную ответственность, предусмотренную прим.5 к ст.13.11 КоАП.

Прим.5 к ст.13.11 КоАП предписывает при привлечении к ответственности за повторное допущение утечки учитывать следующие отягчающие обстоятельства:

• оператор продолжил противоправное поведение, несмотря на требование уполномоченных лиц прекратить его;
• на момент совершения правонарушения или вынесения постановления по делу об административном правонарушении нарушитель считается подвергнутым административному наказанию за другие правонарушения в области персональных данных и информационной безопасности (ч.1-11 ст.13.11, ст.13.6 и 13.12 КоАП).

Новые правила возбуждения и рассмотрения дел об административных правонарушениях

По общему правилу для возбуждения дел по новым составам административных правонарушений контрольному (надзорному) органу необходимо будет провести «контрольные (надзорные) мероприятия во взаимодействии с контролируемым лицом» (например, выездную или документарную проверку). До 2030 года действует мораторий на проведение плановых мероприятий. Они проводятся для организаций, отнесенных к категориям чрезвычайно высокого и высокого риска, опасным производственным объектам II класса опасности, гидротехническим сооружениям II класса (п.11(3) Постановления Правительства РФ от 10.03.2022 №336 «Об особенностях организации и осуществления государственного контроля (надзора), муниципального контроля»).

Однако эти контрольные (надзорные) мероприятия можно и не проводить, если сам нарушитель предоставил Роскомнадзору сведения, подтверждающие событие административного правонарушения (пп.1 ч.3.5 ст.28.1 КоАП). Поэтому важно внимательно готовить ответы на все поступающие письма и запросы.

Согласно поправкам, при необходимости Роскомнадзор может провести административное расследование по делам об утечках, неполучении / ненадлежащем оформлении письменного согласия на обработку данных и обработке персональных данных в непредусмотренных законодательством случаях (ч.1-2.1, 12-18 ст.13.11 КоАП). Административное расследование выполняется до передачи дела в суд и обычно занимает не более 1 месяца (ст.28.7 КоАП). Оно «представляет собой комплекс требующих значительных временных затрат процессуальных действий, направленных на выяснение всех обстоятельств административного правонарушения, их фиксирование, юридическую квалификацию и процессуальное оформление», к примеру, проведение экспертизы, установление и допрос потерпевших и свидетелей (п.3 Постановления Пленума Верховного Суда РФ от 24.03.2005 №5).

Изменяются правила рассмотрения дел об административных правонарушениях в области персональных данных по ст.13.11 КоАП. В настоящее время их разрешают мировые судьи по установленным в КоАП процессуальным правилам. Согласно поправкам, такие дела будут отнесены к компетенции арбитражных судов по правилам Арбитражного процессуального кодекса (гл.25). Таким образом, судебный процесс становится более сложным и детальным. Обеспечивать защиту в суде сможет только адвокат или юрист, имеющий высшее юридическое образование либо ученую степень по юридической специальности (ч.3 ст.59 Арбитражного процессуального кодекса).

Кто может быть привлечен к ответственности?

К уголовной ответственности нельзя привлечь юридическое лицо, но возможно его работников, виновных в преступлении. Создание и обеспечение функционирования сайта для незаконного хранения и передачи компьютерной информации (ч.6 ст.272.1 УК) предполагает наличие умысла. Незаконное использование персональных данных, исходя из буквального толкования ч.1 ст.272.1 УК, может быть умышленным либо совершенным по неосторожности. Поэтому уголовные риски возникают у всех работников, собирающих / получающих и использующих персональные данные в виде компьютерной информации.

К административной ответственности привлекаются юридические лица, а также их руководители и другие работники (должностные лица). Работник, назначенный ответственным за организацию обработки персональных данных, может быть признан должностным лицом, если он выполняет организационно-распорядительные или административно-хозяйственные функции на основании своего трудового договора, должностной инструкции и/или локальных нормативных актов компании. Согласно поправкам, специально для нарушений по ч.10-18 ст.13.11 КоАП предусмотрено исключение – к ответственности привлекаются только должностные лица государственного или муниципального органа либо некоммерческой организации. За одно и то же нарушение могут привлечь и компанию, и должностное лицо (п.15 Постановления Пленума Верховного Суда РФ от 24.03.2005 №5).

Если оператор персональных данных на основании договора поручает обработку персональных данных подрядчику (ч.3 ст.6 ЗоПДн), применяются общие правила административной ответственности, т.е. оштрафуют того, кого признают виновным в правонарушении.

Выводы

Для многих компаний суммы новых административных штрафов могут оказаться столь значительными, что поставят под угрозу саму возможность продолжения бизнеса. Уголовно-правовые риски возможно оценить как существенные в связи с неконкретностью законодательных формулировок, открывающих возможность для применения ст.272.1 УК к работникам любых юридических лиц. Поэтому целесообразно провести комплексный правовой аудит на предмет соблюдения компанией законодательства в области персональных данных. При выявлении нарушений и потенциально опасных процессов следует незамедлительно предпринять комплаенс-мероприятия. Указанные задачи представляется разумным поручить именно тем юристам, которые при необходимости смогут выстроить защиту интересов компании и ее менеджеров в суде, основываясь на заранее проделанной ими работе по обеспечению комплаенса.

В настоящем обзоре рассмотрены лишь наиболее важные изменения законодательства. Обзор не является юридической консультацией и не носит исчерпывающего характера.

Приложения

Новые административные правонарушения и штрафы

Новые преступления