Документ предоставлен КонсультантПлюс
Для многих компаний до сих пор остается непонятной ситуация, связанная с обработкой персональных данных. Многочисленные изменения и неоднозначные формулировки в законе вызывают много вопросов. Часть руководителей компаний не понимают, что необходимо делать для соблюдения законодательства о персональных данных, а некоторые вообще не осознают, что они обязаны вообще что-то делать. В свою очередь, это порождает трудности в обеспечении защиты этой чувствительной информации.
При этом отсутствие надлежащей защиты персональных данных рано или поздно приведет к их утечке. В результате чего доступ к конфиденциальной, личной или защищаемой информации будут иметь посторонние лица, а компания станет объектом проверки со стороны уполномоченного органа по защите прав субъектов персональных данных (далее — Роскомнадзор) и, как следствие, будет иметь неблагоприятные последствия в виде штрафов и снижения доверия.
Необходимо отметить, что законодательство Российской Федерации прямо обязывает операторов персональных данных (а это практически все компании, индивидуальные предприниматели и даже плательщики налога на профессиональный доход) применять правовые, организационные и технические меры по обеспечению безопасности обрабатываемых персональных данных. Но реально данную обязанность исполняют лишь единицы.
Также законодательством определен порядок действий операторов в случае утечки данных. В частности, оператор обязан направить в Роскомнадзор уведомление о факте неправомерной или случайной передачи данных (ч. 3.1 ст. 21 Федерального закона «О персональных данных» от 27 июля 2006 г. N 152-ФЗ). Однако и эту обязанность также исполняют не все операторы.
Незначительные штрафы приводят к пассивности операторов, ведь сейчас за утечку персональных данных компании грозит лишь штраф от 60 тысяч до 100 тысяч рублей (по ст. 13.11 КоАП РФ).
Однако уже с 30 мая 2025 г. ситуация изменится и штрафы кратно увеличатся. В статью 13.11 КоАП РФ внесены изменения, согласно которым:
1) незаконная передача информации, включающей персональные данные от 1 до 10 тысяч субъектов персональных данных и (или) от 10 тысяч до 100 тысяч идентификаторов (уникальных обозначений, которые находятся в информационных системах операторов), грозит штрафами:
— должностным лицам — от 200 тысяч до 400 тысяч рублей;
— юридическим лицам — от 3 миллионов до 5 миллионов рублей;
2) в случае незаконной передачи информации, включающей персональные данные от 10 тысяч до 100 тысяч субъектов персональных данных и (или) от 100 тысяч до 1 млн. идентификаторов, штрафы:
— для должностных лиц — от 300 тысяч до 500 тысяч рублей;
— для юридических лиц — от 5 миллионов до 10 миллионов рублей.
За более масштабные происшествия вводятся еще более крупные штрафы, так же как и за неправомерную передачу информации, включающую специальную категорию персональных данных и биометрические персональные данные (части 16 и 17 статьи 13.11 КоАП РФ). Сейчас таких составов в КоАП РФ нет.
К слову, операторы должны нести ответственность за недостаточные меры по защите персональных данных, но на практике они несут ответственность за сам факт утечки данных. Суды подходят к данному вопросу достаточно формально: раз у операторов персональных данных имелась «реальная возможность обеспечить выполнение требований закона, то есть не допустить утечку данных», значит, и имеются основания для привлечения к ответственности по ст. 13.11 КоАП РФ за невыполнение.
Таким образом, в настоящий момент компаниям необходимо принимать все необходимые и реальные меры для защиты обрабатываемой информации либо готовиться платить баснословные штрафы за утечку персональных данных.
И. Олифирова
Эксперт
по трудовому праву
и защите персональных данных
Документ в СПС КонсультантПлюс:
