Новости
Статьи
Авторы
Бизнес ждут рекордные штрафы и тюрьма за утечку персональных данных
Россия вступает в новую эру регулирования обработки персональных данных. С 30 мая начинают работу обновленные правила, предусматривающие резкое усиление административной и уголовной ответственности по факту утечки информации и несоблюдения требований по обеспечению ее сохранности. Бизнесу всех уровней предстоит адаптироваться к беспрецедентно жёстким условиям.
Одним из ключевых изменений становится сокращение сроков уведомления надзорных органов. Теперь компаниям и индивидуальным предпринимателям даётся всего 24 часа, чтобы сообщить в Роскомнадзор о произошедшей утечке данных. На проведение внутреннего расследования и установление причин инцидента отводится не более 72 часов. Несоблюдение этих правил может повлечь серьёзные штрафы. Для физических лиц сумма взыскания составит 50 — 100 тысяч рублей. При этом, для юрлиц и индивидуальных предпринимателей наказание составит от 1 до 3 миллионов рублей. В случае фиксации повторных нарушений наказания будет ещё жёстче. Для этого вводятся оборотные штрафы. Их уровень составит 1 — 3% выручки нарушителя за год. При этом, сумма не может быть менее 20 миллионов рублей или более 500 миллионов. Это фактически означает, что даже для среднего бизнеса нарушение новых правил может обернуться катастрофическими финансовыми потерями.
Отдельная зона риска теперь связана с обработкой биометрических данных граждан. Законодательно предусмотрена самостоятельная категория ответственности в случае фиксаций нарушений в этой области. Первая ошибка может стоить юридическому лицу 15 - 20 миллионов рублей. В случае совершения повторного нарушения взыскание составит 25 — 500 миллионов рублей.
При этом, уровень наказания также будет напрямую зависеть от масштаба утечки. Если будет зафиксирована утечка данных 1000 — 10000 человек, то наказание составит до 5 миллионов рублей для организаций. Если будет обнаружена потеря данных 10000 — 100 000 граждан, то санкции возрастут до 10 миллионов. Для ситуаций, когда пострадают более 100 000 граждан, сумма наказания достигает 15 миллионов рублей.
Дополнительный уровень ответственности введен с декабря прошлого года. В случае обнаружения незаконного сбора, хранения, передачи или непосредственного использования персональных данных россиян предусматривается уголовное наказание и тюремное заключение на срок до 8 лет. При этом, материальное взыскание может составить до 2 миллионов рублей. Особенно серьёзно будет наказываться несанкционированная обработка информации и биометрических данных несовершеннолетних граждан .
Несоблюдение новых требований сулит крайне высокие риски. Малые компании могут столкнуться со штрафами, сопоставимыми с несколькими годами оборота, а крупные корпорации рискуют потерять сотни миллионов рублей только за один серьёзный инцидент. Без своевременного проведения внутреннего комплаенса бизнесу угрожает не только банкротство, но и уголовное преследование руководства.
Маннанова Гульнара Анасовна Юрисконсульт в сфере права социального обеспечения, гражданского и семейного права.
Вступающие в силу поправки в КоАП РФ вводят не просто штрафы, а по-настоящему крупные санкции за утечку данных и другие нарушения закона о персональных данных (152-ФЗ).
Операторам необходимо срочно адаптироваться к изменениям закона, чтобы избежать многомиллионных штрафов РКН 2025, отмечает Маннанова Гульнара.
Ключевым нововведением являются дифференцированные штрафы за утечку персональных данных, размер которых теперь зависит от числа пострадавших: от 3-5 миллионов рублей при утечке данных 1-10 тысяч субъектов до 10-15 миллионов при компрометации сведений более 100 тысяч человек.
Особое внимание уделено биометрии – за нарушения при ее обработке предусмотрены отдельные, еще более высокие штрафы (до 20 миллионов за первый инцидент для юрлиц). Критически важным изменением для бизнеса является введение оборотных штрафов за повторные утечки в течение года, подчеркивает юрист. Санкции могут составить 1-3% годовой выручки компании, но не менее 20 миллионов и не более 500 миллионов рублей. Такая ответственность за ПДн ставит под угрозу финансовую стабильность даже крупных игроков рынка.
Ужесточается и контроль со стороны Роскомнадзора. Неуведомление ведомства о начале обработки ПДн грозит штрафом до 300 тысяч рублей. Крайне важно соблюдать новые сроки информирования об утечках: 24 часа на первичное уведомление Роскомнадзора и 72 часа на отчет о расследовании. Нарушение этих сроков само по себе карается штрафом до 3 млн рублей для организаций. Не стоит забывать и об уже действующей уголовной ответственности за незаконную работу с ПДн.
Времени на приведение процессов в соответствие остается мало. Компаниям и ИП необходимо срочно провести аудит защиты персональных данных: проверить локализацию баз данных в РФ, наличие корректных согласий, актуальность политик и назначение ответственного лица. Игнорирование новых требований законодательства 2025 может привести к колоссальным убыткам и поставить под вопрос само существование бизнеса, заключила юрист.
