В июне 2025 года в России вступили в силу поправки к Кодексу об административных правонарушениях, значительно усиливающие ответственность за утечки персональных данных. Эти изменения стали реакцией на участившиеся случаи несанкционированного распространения информации о гражданах: от баз клиентов интернет-магазинов до данных пользователей банков и страховых компаний. Законодатель сделал акцент на ужесточении наказания как для юридических, так и для должностных и физических лиц, что должно стимулировать компании внимательнее относиться к защите информации.
Главной особенностью новых норм стало не только увеличение размеров штрафов, но и введение дифференциации наказания по степени тяжести и по субъекту. Теперь ответственность не ограничивается разовым штрафом за факт утечки — вводятся прогрессивные меры за повторные нарушения, за отсутствие мер защиты и даже за игнорирование обязанностей по уведомлению Роскомнадзора.
Для физических лиц (владельцев сайтов, индивидуальных предпринимателей и сотрудников) предусмотрены следующие санкции. За первичную утечку персональных данных без тяжких последствий — штраф от 15 000 до 30 000 рублей. Если утечка привела к публикации чувствительной информации (паспортных данных, медицинских сведений, адресов) — штраф увеличивается до 50 000 рублей. При повторном нарушении в течение одного года или при установлении факта хранения баз без согласия граждан — уже от 70 000 до 100 000 рублей. При этом суд может также наложить временный запрет на ведение деятельности, связанной с обработкой данных.
Должностные лица (например, IT-директора, директора по безопасности, администраторы баз данных), чья халатность привела к инциденту, несут ответственность отдельно. Размер штрафов составляет от 50 000 до 100 000 рублей за утечку первой степени, и до 200 000 рублей при наличии доказательств отсутствия базовых мер защиты — шифрования, контроля доступа, журналирования. Если должностное лицо умышленно проигнорировало уведомления об уязвимостях или запросы надзорных органов, сумма санкции может быть увеличена в два раза. В ряде случаев предусмотрена возможность дисквалификации на срок до двух лет.
Для юридических лиц последствия наиболее ощутимы. За первую утечку без серьёзных последствий — штраф от 300 000 до 700 000 рублей. Если в результате инцидента произошла массовая публикация данных или была раскрыта информация о более чем 1000 граждан, размер санкции увеличивается до 1,5 млн рублей. При рецидиве сумма доходит до 3 млн рублей. Помимо финансовых санкций, Роскомнадзор получает право временно ограничить работу ресурса, нарушившего правила обработки данных, до устранения нарушений. А в отдельных случаях может быть подано обращение в суд о приостановке деятельности.
Особый акцент в поправках сделан на обязанность уведомления о фактах утечки. Теперь оператор персональных данных обязан в течение 24 часов уведомить Роскомнадзор и пострадавших пользователей. За неисполнение этого требования предусмотрены отдельные штрафы — до 500 000 рублей для юридического лица и до 100 000 рублей для должностного. Если же сокрытие утечки носит системный характер, возможно возбуждение дела по статье о введении в заблуждение регулятора.
Кроме административных мер, в случае нанесения вреда гражданам в виде мошенничества, кражи средств или психологического давления, потерпевшие получают право на подачу гражданского иска о возмещении ущерба. Судебная практика в этой сфере пока только формируется, но первые решения уже выносятся в пользу пострадавших.
Поправки также усилили требования к технической защите: компании теперь обязаны использовать сертифицированные средства защиты, подтверждать факт шифрования баз данных, ограничивать доступ к данным неавторизованным сотрудникам, хранить логи доступа не менее 12 месяцев. За нарушение этих норм предусмотрены отдельные статьи КоАП.
При подготовке статьи частично использованы материалы с сайта proverk.ru — защита персональных данных службой безопасности
Дата публикации: 12 августа 2022 года
