В России ужесточили штрафы за утечки персональных данных: что важно знать

Президент России 30 ноября 2024 года подписал ряд законов, которые ужесточают наказания за утечки персональных данных.

Рассказываем, что является персональными данными и какое наказание теперь грозит за их утечку.

Что относят к персональным данным и кто с ними работает

Согласно №152-ФЗ «О персональных данных», любая информация, которая прямо или косвенно относится к физическому лицу (субъекту персональных данных), — это персональные данные. К ним причисляют фамилию, имя и отчество, номер телефона, электронную почту, адреса регистрации и проживания, паспортные данные и прочую информацию, которая позволяет идентифицировать человека.

Если человек или организация начинают обрабатывать подобную информацию, то их относят к операторам персональных данных. Оператор персональных данных должен правильно их обрабатывать: собирать, хранить, уничтожать и не допускать утечек.

Операторами персональных данных в России являются почти все компании и ИП. Любой работодатель обрабатывает информацию о своих сотрудниках, любой бизнес узнаёт данные клиентов. Например, бизнес собирает данные клиента, когда тот оставляет заявку на сайте с указанием своего имени и номера телефона. А когда пользователь регистрируется на мероприятие, он вносит в анкету имя, фамилию, электронную почту и телефон.

Какие штрафы теперь будут за утечки персональных данных

За нарушения в работе с персональными данными будет грозить административная и уголовная ответственность. Привлекать к административной ответственности — назначая штрафы — будут тех, кто незаконно распространяет персональные данные или допустил их утечку. К уголовной — тех, кто незаконно распространяет и использует персональные данные.

С 30 мая 2025 года размер штрафа будет зависеть от объёма данных:

• Если утечка коснётся 1–10 тысяч субъектов персональных данных или 10–100 тысяч их идентификаторов, нарушителей ждёт штраф. Для обычных граждан — от 100 до 200 тысяч рублей, для должностных лиц — от 200 до 400 тысяч рублей, для юридических лиц — до 5 миллионов рублей.
• За массовую утечку данных — от 100 тысяч субъектов персональных данных или от миллиона идентификаторов — граждане могут заплатить до 400 тысяч рублей штрафа, должностные лица — до 600 тысяч рублей, юридические лица — до 15 миллионов рублей.
• За повторную массовую утечку данных обычные граждане заплатят до 600 тысяч рублей штрафа, должностные лица — до 1,2 миллиона рублей. Юридические лица заплатят оборотный штраф в размере 1–3% от общей выручки за год, предшествующий тому, в котором было совершено нарушение.

С 11 декабря 2024 года уголовная ответственность будет зависеть от вида нарушения:

• За незаконное распространение персональных данных, которые нарушитель получил нелегально, а также за создание ресурсов для их получения предусмотрен срок до 4 лет лишения свободы.
• За незаконное использование, передачу, сбор и хранение цифровой информации, содержащей персональные данные, нарушителю грозит до 4 лет лишения свободы.
• В случае незаконного распространения персональных данных несовершеннолетних нарушитель может получить до 5 лет лишения свободы.
• Если незаконное распространение данных повлекло за собой тяжкие последствия или их получением и распространением занималась организованная группа, виновному грозит до 10 лет тюрьмы с уплатой штрафа до 3 миллионов рублей.