C 30 мая 2025 года значительно увеличена ответственность за нарушения в сфере персональных данных

Федеральный закон от 30.11.2024 N 420-ФЗ с 30 мая 2025 года вносит изменения в КоАП РФ и ужесточает административную ответственность за нарушения в сфере персональных данных. В основном изменения касаются статьи 13.11 КоАП РФ «Нарушение законодательства РФ в области персональных данных».

Основные поправки следующие:

• Увеличение суммы штрафов

За обработку персональных данных в непредусмотренных законом случаях, а также в целях, несовместимых с целями сбора, в ч. 1 ст. 13.11 КоАП РФ максимальный штраф увеличен для должностных лиц до 100 тыс. руб., для организации до 300 тыс. руб.; при повторном нарушении соответственно максимальные штрафы 200 тыс. руб. и 500 тыс. руб.

• Разграничение ответственности

– За несообщение (несвоевременное сообщение) в Роскомнадзор сведений об утечке ПД в случае установления факта неправомерной или случайной передачи, которой нарушены права субъектов персональных данных, введен новый штраф: должностным лицам – от 400 тыс. до 800 тыс. руб.; ИП и компаниям – от 1 млн до 3 млн руб. (ч. 11 ст. 13.11 КоАП);

– за действие и бездействие операторов, повлекшее неправомерную передачу информации, суммы штрафов будут отличаться в зависимости от количества переданных идентификаторов или субъектов персональных данных. Так, в случае неправомерной передачи информации о людях в количестве от 1 тыс. до 10 тыс. человек или от 10 тыс. до 100 тыс. идентификаторов физлиц будет грозить штраф: должностным лицам – от 200 тыс. до 400 тыс. руб.; ИП и компаниям – от 3 млн до 5 млн руб. За более масштабные нарушения предусмотрены более крупные штрафы (ч. 12 – ч. 14 ст. 13.11 КоАП). До вступления в силу поправок штрафы за необеспечение сохранности персональных данных меньше;

– за неуведомление (несвоевременное уведомление) о намерении обрабатывать ПД штраф должностным лицам – от 30 тыс. до 50 тыс. руб.; ИП и компаниям – от 100 тыс. до 300 тыс. руб. (ч. 10 ст. 13.11 КоАП). До вступления в силу поправок в данных случаях может быть применена общая статья КоАП РФ о непредставлении сведений.

• Введение оборотных штрафов

– За действие или бездействие оператора, ранее подвергнутого административному наказанию за нарушения в сфере персональных данных, которые повлекли неправомерную передачу информации, включающей персональные данные (утечку), предусмотрен штраф для юридических лиц – от 1% до 3% совокупного размера выручки, но не менее 20 млн руб. и не более 500 млн руб. (ч. 15 ст. 13.11 КоАП РФ);

– также оборотные штрафы предусмотрены для оператора, ранее подвергнутого административному наказанию за нарушения в сфере персональных данных, при неправомерной передаче информации, включающей специальную категорию персональных данных, a также биометрические персональные данные. Для юридических лиц размер штрафа  от 1% до 3% совокупного размера выручки, но не менее 25 млн руб. и не более 500 млн руб. (ч. 18 ст. 13.11 КоАП РФ);

– за правонарушения из ч. 15 и ч. 18 ст. 13.11  КоАП РФ  предусмотрено назначение суммы штрафа в размере 1/10 от минимального размера штрафа (но не менее 15 млн руб. и не более 50 млн руб.), если нет отягчающих обстоятельств, а инвестиции компании в информационную безопасность на протяжении трех лет составляли не менее 0,1% от выручки и компания соблюдала требования к защите данных (ч. 3.4-2 ст. 4.1 КоАП).

• Особенности применения статьи за нарушения в сфере персональных данных

– За ряд административных правонарушений ИП несут административную ответственность как юридические лица (примечание к ст. 13.11 КоАП);

– административный штраф, назначенный за административные правонарушения в области персональных данных, выявленные в ходе проверки, не может быть уплачен в размере половины суммы в течение 20 дней со дня вынесения постановления (изменение в ч. 1.3-3 ст. 32.2 КоАП).

• Выделение ответственности за отказ в заключении договора при непредставлении потребителем именно биометрических данных

Установлена административная ответственность за отказ в заключении, исполнении, изменении или расторжении договора с потребителем в связи с его отказом от прохождения идентификации с использованием его биометрических данных. Правонарушение повлечет наложение штрафа на должностных лиц в размере от 50 тыс. руб. до 100 тыс. руб., на юридических лиц – от 200 тыс. руб. до 500 тыс. руб. (ч. 8 ст. 14.8 КоАП). До вступления в силу поправок применяется общая статья за отказ потребителю из-за того, что он правомерно не предоставил персональные сведения.

На заметку: как привлекают к административной ответственности за нарушения в сфере персональных данных, рассказано в Готовом решении в СПС КонсультантПлюс.

Обсудить поправки Вы сможете на тематической горячей лини «Ужесточение ответственности за неправомерную обработку персональных данных, оборотные штрафы и уголовная ответственность: чего ждать бизнесу и специалистам» 10 декабря 2024 года.