В 2019 году в России был принят закон о поправках к Кодексу Российской Федерации об административных правонарушениях, касающихся обработки персональных данных. Эти поправки вступили в силу в январе 2021 года.
В период с 2021 г. до текущего момента различные законодательные изменения и поправки привели к значительному увеличению размера штрафных санкций в этой сфере, а по некоторым статьям предусмотрено ужесточение наказания при повторении нарушения.
В частности, в конце 2023 г. Госдума окончательно одобрила закон, предусматривающий увеличение штрафов за нарушения при работе с ПД: теперь санкции для должностных лиц могут достигать 500 тыс. руб., а для организаций — до 6 млн. руб. и до 18 млн. руб. при повторном инциденте (соответствующий документ можно увидеть в системе обеспечения российской законодательной деятельности).
Напомним также, что с 1 сентября 2022 г. в соответствии с требованиями закона № 152-ФЗ (ст. 21) работодатели обязаны по каждой хакерской атаке предоставлять отчет в Роскомнадзор.
За что штрафуют: статья КоАП 13.11
Прописанная в Кодексе административная ответственность в отношение нарушений при работе с ПД сводится к штрафным санкциям. Приостановка деятельности и дисквалификация КоАП не предусмотрены, однако поводов для радости у нарушителей немного — достаточно ознакомиться с тарифной сеткой штрафов.
Все они сведены в одной статье под номером 13.11, которая так и названа — «Нарушение законодательства РФ в области …». Итак, за что же наказывают операторов ПД? Нарушением считаются:
- обработка собранных сведений, которая:
- либо несовместима с целями сбора ПД, либо производится в случаях, профильным российским законодательством не предусмотренных;
- осуществляется без согласия субъекта ПД (оно потребуется в письменной форме), либо в нарушение требований по составу получаемых при таком согласовании сведений;
- невыполнение обязанностей оператора по таким направлениям:
- предоставление информации об обработке данных собственно субъекту ПД;
- соблюдение законодательно установленных условий по обеспечению сохранности данных, включая невозможность несанкционированного доступа, копирование/изменение/удаление/блокировку/распространение и пр.;
- обеспечение свободного доступа (например, путем открытой публикации) к информации о выполнении требований по защите ПД или политике в отношении их обработки;
- обеспечение обезличивания (актуально для муниципальных и госорганов);
- удовлетворению требований органа по защите прав или самого субъекта ПД (либо его полномочного представителя) в отношение уточнения/блокировки/уничтожения сведений в установленный законом срок;
- обеспечению обработки ПД российских граждан (запись, систематизация и пр.) с использованием баз данных, расположенных исключительно на территории России.
О суммах штрафов
Накладываемые штрафные санкции зависят от статуса нарушителя, который может быть как физлицом (должностным лицом или предпринимателем), так и юридическим лицом (организацией).
Для большинства пунктов предусмотрено усиление санкций при повторном нарушении (исключение составляют случаи невыполнения оператором ПД подпунктов a-d пункта 2).
Например, по нарушению согласно ст. 13.11 (п.1) предусмотрена следующая сетка штрафов:
- при первичном нарушении на граждан — 2-6 тыс. руб., на должностных лиц — 10-20 тыс. руб., на юрлиц — 60-100 тыс. руб.;
- при повторном — 4-12 тыс. руб., 20-50 тыс. руб., 100-300 тыс. руб. соответственно.