DayTimeNews.RU
кандидат юридических наук, доцент кафедры информационного права Уральского государственного юридического университета имени В. Ф. Яковлева
В современных условиях развития информационного общества вопросы защиты персональных данных приобретают все большую значимость на фоне активного создания государственных сервисов и цифровых платформ, автоматизированной обработки персональных данных операторами связи, работодателями, владельцами сайтов и приложений, используемых для совершения сделок купли-продажи товаров или получения различных интернет-услуг.
Утечка персональных данных представляет собой серьезную угрозу для информационной безопасности. В целях защиты прав граждан в последние годы в законодательство неоднократно вносились изменения, ужесточающие требования к обработке персональных данных.
С 30 мая 2025 года вступили в силу внесенные в Кодекс Российской Федерации об административных правонарушениях изменения (далее — КоАП РФ) в части усиления ответственности операторов за нарушение законодательства о персональных данных1. Законодательная инициатива по внесению данных изменений была разработана в соответствии с перечнем поручений Президента Российской Федерации от 12.01.2023 № Пр-19 в целях повышения защищенности персональных данных граждан Российской Федерации и касается ответственности операторов персональных данных за неисполнение возложенных на них обязанностей по уведомлению уполномоченного органа по защите прав субъектов персональных данных о начале обработки персональных данных оператором и о допущенных случаях утечки персональных данных.
Оператором персональных данных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Частью 1 статьи 22 ФЗ «О персональных данных» установлена обязанность оператора до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. За неисполнение данной обязанности введена административная ответственность в виде штрафа, размер которого для граждан составляет от пяти до десяти тысяч рублей, а для юридических лиц — от ста до трехсот тысяч рублей (часть 10 статьи 13.11 КоАП РФ).
Уполномоченным органом в области обеспечения защиты персональных данных граждан, осуществляющим контрольно-надзорную деятельность за соответствием обработки персональных данных операторами, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
В числе предъявляемых к оператору требований по устранению нарушений законодательства, допущенных при обработке персональных данных, частью 3.1 статьи 21 ФЗ «О персональных данных» предусмотрена обязанность в течение двадцати четырех часов уведомить Роскомнадзор об установленном факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных и сообщить о предполагаемых причинах утечки информации и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента. Административная ответственность за неисполнение оператором данной обязанности установлена частью 11 статьи 13.11 КоАП РФ.
Одной из наиболее острых проблем, связанных с организацией работы с персональными данными и их обработкой в автоматизированном режиме, является возможность несанкционированного доступа к ним и риск их последующего свободного распространения или использования в противоправных целях.
С целью усилить контроль и ужесточить наказание за утечку персональных данных статья 13.11 КоАП РФ дополнена новыми составами административных правонарушений, предусматривающими ответственность за допущенный оператором несанкционированный доступ к базам данных, содержащим персональную информацию. При этом градация ответственности установлена в зависимости от объема неправомерно переданной информации. Так, действия или бездействие оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от одной тысячи до десяти тысяч субъектов персональных данных и (или) от десяти тысяч до ста тысяч уникальных обозначений сведений о физическом лице, содержащихся в информационной системе персональных данных (идентификаторов), влекут наложение административного штрафа на граждан в размере от ста до двухсот тысяч рублей, а на юридических лиц — от трех до пяти миллионов рублей (ч. 12 ст. 13.11 КоАП РФ).
За утечку информации, включающей персональные данные от десяти до ста тысяч субъектов персональных данных и (или) от ста тысяч до одного миллиона идентификаторов, установлены штрафы для граждан в размере от двухсот до трехсот тысяч рублей, для юридических лиц — от пяти до десяти миллионов рублей (ч. 13 ст. 13.11 КоАП РФ).
За утечку информации, включающей персональные данные более ста тысяч субъектов персональных данных и (или) более одного миллиона идентификаторов, штраф для граждан предусмотрен в размере от трехсот до четырехсот тысяч рублей, для юридических лиц — от десяти до пятнадцати миллионов рублей (ч. 14 ст. 13.11 КоАП РФ).
За допущенную оператором неправомерную передачу специальных категорий персональных данных размер административной ответственности юридических лиц может составить от десяти до пятнадцати миллионов рублей, за утечку биометрических персональных данных — от пятнадцати до двадцати миллионов рублей (ч. 16 и ч. 17 ст. 13.11 КоАП РФ).
Представляется, что рассмотренные законодательные изменения прежде всего направлены на значительное снижение количества случаев неправомерной передачи персональных данных. Кроме того, разработчиками данных изменений отмечается, что установленные меры административного наказания должны стать существенным стимулом для инвестиций операторов персональных данных в развитие инфраструктуры информационной безопасности и защиту персональных данных и оказать превентивное воздействие на операторов, не соблюдающих требования законодательства о персональных данных2.
1 Федеральный закон от 30.11.2024 № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» // Опубликован в «Российской газете», выпуск № 278 (9520) от 6 декабря 2024 г.
2 Пояснительная записка к законопроекту № 502104-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (в части усиления ответственности за нарушение порядка обработки персональных данных). [Электронный ресурс] // URL: https://sozd.duma.gov.ru/bill/502104-8 (дата обращения 04.08.2025 г.).
Утечка персональных данных представляет собой серьезную угрозу для информационной безопасности. В целях защиты прав граждан в последние годы в законодательство неоднократно вносились изменения, ужесточающие требования к обработке персональных данных.
С 30 мая 2025 года вступили в силу внесенные в Кодекс Российской Федерации об административных правонарушениях изменения (далее — КоАП РФ) в части усиления ответственности операторов за нарушение законодательства о персональных данных1. Законодательная инициатива по внесению данных изменений была разработана в соответствии с перечнем поручений Президента Российской Федерации от 12.01.2023 № Пр-19 в целях повышения защищенности персональных данных граждан Российской Федерации и касается ответственности операторов персональных данных за неисполнение возложенных на них обязанностей по уведомлению уполномоченного органа по защите прав субъектов персональных данных о начале обработки персональных данных оператором и о допущенных случаях утечки персональных данных.
Оператором персональных данных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Частью 1 статьи 22 ФЗ «О персональных данных» установлена обязанность оператора до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. За неисполнение данной обязанности введена административная ответственность в виде штрафа, размер которого для граждан составляет от пяти до десяти тысяч рублей, а для юридических лиц — от ста до трехсот тысяч рублей (часть 10 статьи 13.11 КоАП РФ).
Уполномоченным органом в области обеспечения защиты персональных данных граждан, осуществляющим контрольно-надзорную деятельность за соответствием обработки персональных данных операторами, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
В числе предъявляемых к оператору требований по устранению нарушений законодательства, допущенных при обработке персональных данных, частью 3.1 статьи 21 ФЗ «О персональных данных» предусмотрена обязанность в течение двадцати четырех часов уведомить Роскомнадзор об установленном факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных и сообщить о предполагаемых причинах утечки информации и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента. Административная ответственность за неисполнение оператором данной обязанности установлена частью 11 статьи 13.11 КоАП РФ.
Одной из наиболее острых проблем, связанных с организацией работы с персональными данными и их обработкой в автоматизированном режиме, является возможность несанкционированного доступа к ним и риск их последующего свободного распространения или использования в противоправных целях.
С целью усилить контроль и ужесточить наказание за утечку персональных данных статья 13.11 КоАП РФ дополнена новыми составами административных правонарушений, предусматривающими ответственность за допущенный оператором несанкционированный доступ к базам данных, содержащим персональную информацию. При этом градация ответственности установлена в зависимости от объема неправомерно переданной информации. Так, действия или бездействие оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от одной тысячи до десяти тысяч субъектов персональных данных и (или) от десяти тысяч до ста тысяч уникальных обозначений сведений о физическом лице, содержащихся в информационной системе персональных данных (идентификаторов), влекут наложение административного штрафа на граждан в размере от ста до двухсот тысяч рублей, а на юридических лиц — от трех до пяти миллионов рублей (ч. 12 ст. 13.11 КоАП РФ).
За утечку информации, включающей персональные данные от десяти до ста тысяч субъектов персональных данных и (или) от ста тысяч до одного миллиона идентификаторов, установлены штрафы для граждан в размере от двухсот до трехсот тысяч рублей, для юридических лиц — от пяти до десяти миллионов рублей (ч. 13 ст. 13.11 КоАП РФ).
За утечку информации, включающей персональные данные более ста тысяч субъектов персональных данных и (или) более одного миллиона идентификаторов, штраф для граждан предусмотрен в размере от трехсот до четырехсот тысяч рублей, для юридических лиц — от десяти до пятнадцати миллионов рублей (ч. 14 ст. 13.11 КоАП РФ).
За допущенную оператором неправомерную передачу специальных категорий персональных данных размер административной ответственности юридических лиц может составить от десяти до пятнадцати миллионов рублей, за утечку биометрических персональных данных — от пятнадцати до двадцати миллионов рублей (ч. 16 и ч. 17 ст. 13.11 КоАП РФ).
Представляется, что рассмотренные законодательные изменения прежде всего направлены на значительное снижение количества случаев неправомерной передачи персональных данных. Кроме того, разработчиками данных изменений отмечается, что установленные меры административного наказания должны стать существенным стимулом для инвестиций операторов персональных данных в развитие инфраструктуры информационной безопасности и защиту персональных данных и оказать превентивное воздействие на операторов, не соблюдающих требования законодательства о персональных данных2.
1 Федеральный закон от 30.11.2024 № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» // Опубликован в «Российской газете», выпуск № 278 (9520) от 6 декабря 2024 г.
2 Пояснительная записка к законопроекту № 502104-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (в части усиления ответственности за нарушение порядка обработки персональных данных). [Электронный ресурс] // URL: https://sozd.duma.gov.ru/bill/502104-8 (дата обращения 04.08.2025 г.).
СМОТРИТЕ ТАКЖЕ: