Ответственность за утечки персональных данных: что нужно знать!
30 мая 2025 года вступил в силу Федеральный закон № 420-ФЗ, который вносит изменения в Кодекс Российской Федерации об административных правонарушениях.
Ключевые новеллы касаются ужесточения ответственности за утечки персональных данных. В частности, вводятся отдельные составы правонарушений и штрафы за:
• непредоставление уведомления об утечке в Роскомнадзор;
• утечку персональных данных, включая специальные категории и биометрию;
• повторные утечки персональных данных (предусмотрены оборотные штрафы
В частности :
Обработка персональных данных в случаях, не предусмотренных законодательством, или несовместимая с целями сбора персональных данных.
до 300 000 ₽
до 500 000 ₽ (повторно)
Штрафы за «утечку» персональных данных
• 1 000 – 10 000 субъектов и (или)10 000 – 100 000 id 5 000 000 рублей
• 10 000 – 100 000 субъектов и (или) 100 000 – 1 000 000 id 10 000 000 рублей
• более 100 000 субъектов и (или) более 1 000 000 id 15 000 000 рублей
Ответственность за повторную утечку
до 3 % от выручки (не меньше 20 000 000 рублей и не более 500 000 000 рублей
Кроме штрафов применяются меры уголовного наказания
Из практики, основным источником проникновения выступают Telegram-каналы. Как правило, ссылка на канал сопровождается ссылкой на файлообменный сервис или иной ресурс, где размещены сами данные.
При рассмотрении дел об утечках персональных данных представители компаний приводили различные доводы в защиту, направленные на доказывание отсутствия состава административного правонарушения или вины. Однако во многих случаях суды с такими аргументами не соглашались. Так например, если утечка произошла в результате хакерской атаки / действий злоумышленников. Оператор самостоятельно не предоставлял доступ к данным, не размещал их в открытом доступе и сам является потерпевшей стороной, а не нарушителем.
Позиция судов факт несанкционированного доступа сам по себе не имеет значения для квалификации нарушения как административного. Он не свидетельствует об отсутствии
состава правонарушения и не препятствует привлечению к административной ответственности.
Рекомендации ниже основаны на реальных примерах из судебной практики и призваны помочь компаниям сформировать устойчивую позицию при защите своих интересов в суде в случае инцидента.
1. Идентифицируйте защищаемые активы и потенциальные угрозы
2. Реализуйте базовые меры информационной безопасности
3. Распределите риски в договорах с подрядчиками
4. Если утечка все же случилась, то уведомляйте Роскомнадзор о ней в первые 24 и последующие 72 часа
5. Если утечка случилась, то устраните причины, приведшие к утечке
Здесь вы можете оставить ваши предложения по улучшению деятельности ресурсоснабжающих организаций и контрольно-надзорных органов в Тюменской области.
Сайт использует в своей работе Яндекс.Метрику и cookie-файлы. Если, прочитав это сообщение, вы остаетесь на сайте, это означает, что вы не против использования этих технологий
