Современный бизнес построен на работе с данными, в том числе и персональными данными физических лиц. Однако не все одобряют сбор и обработку их информации, поэтому Российская федерация защищает права своих граждан с помощью федерального закона «О персональных данных» (152-ФЗ), Постановлений правительства РФ и Приказов ФСБ и ФСТЭК.
- Федеральный закон от 30.11.2024 г. № 420-ФЗ ( О внесении изменений в Кодекс Российской Федерации об административных правонарушениях)
- Федеральный закон от 27.07.2006 г. N 152-ФЗ;
- Федеральный закон от 27.07.2006 г. N 149-ФЗ;
- Федеральный закон от 21.07.2014 г. N 242-ФЗ;
- Постановление Правительства РФ от 01.11.2012 г. N 1119;
- Постановление Правительства РФ от 21.03.2012 г. N 211 (для государственных и муниципальных органов);
- Постановление Правительства РФ от 15.09.2008 г. N 687;
- Приказ ФСТЭК России от 18.02.2013 г. N 21;
- Приказ ФСТЭК России от 11.02.2013 г. N 17 (в случае обработки ПДн в ГИС);
- Методика оценки угроз безопасности информации от 05.02.2021;
- Приказ ФСБ России от 10.07.2014 г. N 378;
- Приказ ФСБ России от 09.02.2005 г. N 66;
- Типовые требования ФСБ России от 21.02.2008 г. N 149/6/6-622;
- Приказ Роскомнадзора от 05.09.2013 г. N 996.
Закон вводит определение «оператора персональных данных», под которое подходит практически любая компания Оператор должен выполнять все требования 152-ФЗ:
- Направить уведомление в Роскомнадзор о начале обработки персональных данных;
- Обеспечить конфиденциальность персональных данных;
- Принимать меры для обеспечения безопасности персональных данных;
- Соблюдать требования по локализации персональных данных россиян;
- Своевременно прекратить обработку персональных данных по требованию владельца.
Меры по обеспечению безопасности предусматривают 4 уровня защищенности ИСПДн в зависимости от разных категорий персональных данных и их количества (объема):
- Специальных;
- Биометрических;
- Общедоступных;
- Иных.
Для каждого уровня защищенности вводятся требования по обеспечению защиты.
Общая последовательность действий при выполнении требований законодательства по обработке персональных данных, которые мы поможем вам пройти легко и без проблем:
- Направление сведений об Опреаторе и порядке обработки персональных данных в Роскомнадзор (Заполнение уведомления на портале Роскомнадзора);
- Обследование(экспертная оценка процессов обработки персональных данных и техническое обследование информационных систем персональных данных);
- Построение модели угроз безопасности персональных данных;
- Разработка технического задания на создание и внедрение системы защиты персональных данных;
- Проектирование системы защиты персональных данных;
- Разработка необходимой внутренней документации Заказчика по вопросам обработки персональных данных (приказы, положения, политики, регламенты, согласия и пр.);
- Реализация и внедрение необходимых мер и средств защиты персональных данных;
- Оценка эффективности принятых мер защиты персональных данных;
- Аттестация по требованиям безопасности информации (при необходимости, обязательно для государственных информационных систем, внесенных в реестр государственных информационных систем).
Ответственность оператора ИСПДн:
Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей, причинившее крупный ущерб.
Ст. 13.12 п. 6 КоАП: до 100 000 рублей административный штраф
Нарушение требований о защите информации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации
Статья 137 УК РФ: до 200 000 рублей штраф, принудительные работы или лишение свободы до 2 лет
Незаконное собирание или распространение сведений о частной жизни лица без его согласия
Статья 137 УК РФ: до 300 000 рублей штраф, принудительные работы или лишение свободы до 4 лет
Те же деяния, с использованием служебного положения
С 30 мая 2025 года действуют следующие обновлённые штрафы за нарушения при работе с персональными данными, согласно закону от 30.11.2024 №420-ФЗ:
Незаконная передача информации о людях при количестве от 1 000 до 10 000 человек:
- для граждан штраф — от 100 000 до 200 000 руб.;
- для должностных лиц госорганов штраф — 200 000–400 000 руб.;
- для компаний и ИП штраф — 3–5 млн руб.
Незаконная передача информации о людях при количестве от 10 000 до 100 000 человек:
- для граждан штраф — от 200 000 до 300 000 руб.;
- для должностных лиц госорганов штраф — 300 000–500 000 руб.;
- для компаний и ИП штраф — 5–10 млн руб.
Незаконная передача информации о людях при количестве более 100 000 человек:
- для граждан штраф — от 300 000 до 400 000 руб.;
- для должностных лиц госорганов штраф — 400 000–600 000 руб.;
- для компаний и ИП штраф — 10–15 млн руб.
Неправомерное распространение персональных данных спецкатегорий:
- для должностных лиц госорганов штраф — 1–1,3 млн руб.;
- для компаний и ИП штраф — 10–15 млн руб.
Отсутствие уведомления в Роскомнадзоре:
- для граждан штраф — 5 000–10 000 руб.;
- для должностных лиц штраф — 30 000–50 000 руб.;
- для компаний и ИП штраф — 100 000–300 000 руб.
Несообщение ведомству об утечке, которая нарушила права физлиц:
- для граждан штраф — 50 000–100 000 руб.;
- для должностных лиц штраф — 400 000–800 000 руб.;
- для компаний и ИП штраф — 1–3 млн руб.
Передача биометрических персональных данных:
- для граждан штраф — 400 000–500 000 руб.;
- для должностных лиц штраф — 1,3–1,5 млн руб.;
- для компаний и ИП штраф — 15–20 млн руб.
Повторная утечка персональных данных любой категории
1–3% годовой выручки (для банков берётся процент от размера собственных средств на дату нарушения).
