Всем привет! Меня зовут Анастасия Калиничева, я являюсь специалистом по информационной безопасности и ярым любителем поискать смысл в законодательстве о персональных данных (ПДн). Про оборотные штрафы написано уже много материалов, но в процессе анализа поправок невозможно обойтись без структурированного «разложить все по полочкам» и, конечно же, личного мнения о нововведениях. Делюсь с вами аналитикой на тему ужесточения ответственности за правонарушения в сфере законодательства РФ о ПДн.
Речь пойдет о Федеральном законе № 420-ФЗ от 30.11.2024 и Федеральном законе № 421-ФЗ от 11.12.2024. Их положения касаются ужесточения ответственности за административные и уголовные правонарушения в сфере законодательства РФ о ПДн.
Предлагаю подробно рассмотреть эти изменения, разобрать общие вопросы и смягчающие обстоятельства, позволяющие уменьшить наказание.
Раньше операторы ПДн (Операторы) в случае нарушения законодательства о ПДн привлекались к административной ответственности в соответствии с ч. 1 ст. 13.11 КоАП РФ. В этой статье говорится об обработке ПДн, несовместимой с целями сбора ПДн.
Согласно ч. 2 ст. 2.1 КоАП РФ юридическое лицо (ЮЛ) признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых КоАП РФ или законами субъекта РФ предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению. Именно за непринятие всех зависящих от ЮЛ мер по указанной статье Операторы привлекались к ответственности.
Когда начинать переживать?
Операторы, особенно их DPO, могут уже покупать новопассит, ведь:
с 30 мая 2025 года начнут действовать поправки в КоАП РФ;
поправки в УК РФ начали действовать 11 декабря 2024 года.
Новые положения в КоАП РФ
Административный кодекс сулит нам следующее:
увеличение размеров штрафов за нарушения (в т. ч. повторные) при обработке ПДн;
за административные правонарушения, предусмотренные ч. 1.1, 8-18 ст. 13.11, ст. 13.31, 13.35-13.37, 13.39, 13.40 и 13.46 КоАП РФ, индивидуальные предприниматели (ИП) несут административную ответственность как ЮЛ;
введение ответственности за неуведомление/несвоевременное уведомление Роскомнадзора (РКН) о намерении осуществлять обработку ПДн, если такое нарушение сопровождается неправомерной или случайной передачей ПДн, то размер штрафа выше;
предусматривается ответственность за массовую утечку ПДн с учетом количества пострадавших субъектов и количества идентификаторов;
отдельно предусмотрена ответственность за неправомерную передачу специальной категории ПДн и биометрических ПДн (далее – БПДн).
Ниже привожу таблицу, в которую я собрала все возможные варианты административной ответственности, которая предусматривается новыми поправками.
Новые положения УК РФ
Новая статья УК РФ устанавливает уголовную ответственность за:
незаконное использование, передачу (распространение, предоставление, доступ), сбор ПДн, полученных незаконным путем (за такие же деяния в отношении ПДн несовершеннолетних лиц/специальных категорий ПДн/биометрических ПДн предусмотрено отдельное наказание), с учетом отягчающих обстоятельств (в т. ч. трансграничной передачи ПДн).
Я также оформила изменения в УК РФ в таблицу для более удобного восприятия. Таблица 2. Изменения в УК РФ в соответствии с 421-ФЗ.
Смягчающие обстоятельства – насколько реально их выполнить?
Поправки в КоАП РФ устанавливают смягчающие обстоятельства, при одновременном выполнении которых до момента вынесения постановления о наложении административного штрафа по ч. 15 и ч. 18 ст. 13.11 КоАП РФ позволяют существенно его снизить:
в течение 3 лет до совершения административного правонарушения расходы Оператора на мероприятия по ИБ составляли не менее 0,1% годового совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), либо размера собственных средств (капитала), если речь идет о кредитной организации;
вышеуказанные мероприятия проводились организациями, имеющими лицензию на выполнение работ/оказание услуг в области шифрования информации или на деятельность по технической защите конфиденциальной информации, либо самим Оператором при наличии этих лицензий;
! Анализируя формулировки поправок, можно заметить, что в качестве смягчающих обстоятельств учитываются либо расходы строго на привлечение сторонних организаций с соответствующей лицензией, либо расходы самой организации при таком же условии. Возникает вопрос – будут ли в таком случае учитываться расходы на зарплату ИБ- и/или ИТ-специалистов?
в течение года до выявления факта совершения административного правонарушения Оператор соблюдал требования по защите ПДн в ИСПДн и он может подтвердить это документально;
! Подразумевается ли под этим оценка эффективности мер в соответствии с приказом ФСТЭК России от 18 февраля 2013 года № 21? И если да, то как часто проводить эту оценку? В приказе ФСТЭК России указано, что оценка должна проводиться не реже одного раза в три года. Получается, данной поправкой регуляторы подталкивают Операторов на проведение оценки эффективности не реже, чем 1 раз в год? И если подразумевается не оценка эффективности, то что будет являться документальным подтверждением соблюдения требований по защите ПДн?
отсутствие отягчающих обстоятельств, предусмотренных примечанием 5 к ст. 13.11 КоАП РФ, а именно:
· продолжение противоправного поведения, несмотря на требование уполномоченных на то лиц прекратить его;
· лицо, совершившее административное правонарушение, на момент его совершения (на момент вынесения постановления по делу об административном правонарушении) считалось (считается) подвергнутым административному наказанию за совершение административных правонарушений, предусмотренных ч. 1-11 ст. 13.11 и (или) ст. 13.6, 13.12 КоАП РФ.
Резюмируя вышесказанное, возникает вопрос, насколько реально выполнить все смягчающие обстоятельства, перечисленные выше? Основываясь на своем опыте работы в организациях из разных отраслей (государственные организации, финансовые, научные), могу сказать, что это как минимум потребует пересмотра взаимоотношений безопасников, бизнес-подразделений и руководства. В законодательстве закрепляется необходимость расходования средств на ИБ, – это ли не повод положить на стол руководству служебку на бюджетирование? Могут ли поправки стать еще одним шагом к налаживанию диалога?
Как РКН проверяет утечки и реагирует на них
За 2024 год РКН зафиксировал 135 случаев утечки баз данных, в которых содержались более 710 млн записей о россиянах.
Согласно законодательству РКН реагирует на правонарушения в сфере законодательства о ПДн следующим образом:
РКН является уполномоченным органом по защите прав субъектов ПДн, на который возлагается обеспечение контроля и надзора за соответствием обработки ПДн требованиям 152-ФЗ;
существует перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой ПДн (приказ Минцифры от 15 ноября 2021 г. № 1187), согласно которому при установлении определенных фактов РКН относит поднадзорную организацию к соответствующей категории риска. К таким фактам относятся: несовпадение сведений, предоставленных Оператором по запросу РКН и информации, поступившей от граждан, о факте наличия в деятельности Оператора признаков неправомерной обработки их ПДн; предоставление неограниченному кругу лиц доступа к базам ПДн или публикация их в интернете; несоответствие данных из уведомления Оператора об обработке ПДн и информации на сайте Оператора;
после отнесения организации к категории риска, РКН может проводить ряд профилактических мероприятий, в т. ч. объявление предостережения или профилактический визит;
РКН может проводить контрольные мероприятия как планово, так и внепланово, но для внеплановых контрольных мероприятий установлены следующие основания: в РКН поступила информация о нарушении Оператором требований или об угрозе нарушения требований в сфере законодательства РФ о ПДн; наличие сведений о выявлении индикаторов риска; поручение Президента РФ, поручение Правительства РФ; проверка факта устранения Оператором нарушений, выявленных в ходе плановой проверки.
Меня беспокоит одна мысль: до сих пор в законодательстве не закреплен механизм проверки РКН уникальности утекшей базы данных. Новые поправки вводят такое понятие как «идентификатор», от количества утекших идентификаторов в т. ч. зависит размер административного штрафа. А если в открытом доступе появится база ПДн, включающая в себя не только реальные ПДн, но и сгенерированные значения, используемые разработчиками Оператора для тестирования ПО ИСПДн, как будет считаться количество идентификаторов? Напрашивается необходимость закрепления правового механизма подтверждения достоверности утекших идентификаторов.
Итак, в тексте КоАП предусматриваются новые критерии, от которых зависит размер штрафа, два из них — это количество пострадавших субъектов ПДн и количество «идентификаторов». Что понимается под идентификаторами? В примечаниях к статье 13.11 говорится, что это уникальное обозначение сведений о ФЛ, содержащееся в ИСПДн Оператора и относящееся к такому лицу. Во всех новых частях ст. 13.11, наряду с количеством субъектов ПДн упоминаются идентификаторы и всегда количество идентификаторов кратно больше, чем количество субъектов. Получается, что одному субъекту может принадлежать несколько идентификаторов. Может ли это означать, что под идентификатором подразумевается категория ПДн?
В любом случае, в сфере защиты ПДн в РФ начался новый период, ведь теперь перед Операторами реже будет вставать вопрос выбора, что выгоднее для их компании – платить штраф или совершенствовать защитные меры обрабатываемых ими ПДн.
