Дайджест изменения НПА Российской Федерации по ЗПДн и ИБ (11 декабря 2024)

Дата: 11.12.2024 г.
Автор статьи: Мария Моисеева — Ведущий специалист по защите информации

Термины, сокращения и определения

КоАП РФ — Кодекс Российской Федерации об административных правонарушениях.

Оператор — Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные (ПДн) — Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Роскомнадзор — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

УК РФ — Уголовный кодекс Российской Федерации.

Ключевые изменения в законодательстве, регулирующем область персональных данных по состоянию на 11.12.2024

30.11.2024 официально опубликованы изменения в Кодекс Российской Федерации об административных правонарушениях и изменения в Уголовный кодекс Российской Федерации. В соответствии с нововведениями и обновлениями в КоАП РФ действуют следующие штрафы:

• Обработка ПДн в не предусмотренных законом случаях, либо обработка ПДн, несовместимая с целями сбора: должностные лица – 50 000 — 100 000 рублей (100 000 – 200 000 рублей при повторном правонарушении), юридические лица – 150 000 — 300 000 рублей (300 000 – 500 000 рублей при повторном правонарушении).
• Неуведомление и/или несвоевременное уведомление Роскомнадзора об утечке ПДн, повлекшей нарушение прав субъектов ПДн: должностные лица – 400 000 — 800 000 рублей, юридические лица – 1 000 000 – 3 000 000 рублей.
• Действия/бездействия оператора, повлекшие утечку ПДн 1 000 — 10 000 субъектов и/или 10 000 — 100 000 идентификаторов (уникальное обозначение сведений о физическом лице, содержащееся в информационной системе ПДн оператора и относящееся к такому лицу): должностные лица – 200 000 — 400 000 рублей, юридические лица – 3 000 000 – 5 000 000 рублей.
• Действия/бездействия оператора, повлекшие утечку ПДн 10 000-100 000 субъектов и/или 100 000 — 1 000 000 идентификаторов: должностные лица – 300 000 — 500 000 рублей, юридические лица – 5 000 000 – 10 000 000 рублей.
• Действия/бездействия оператора, повлекшие утечку ПДн более 100 000 субъектов и/или более 1 000 000 идентификаторов: должностные лица – 400 000 — 600 000 рублей, юридические лица – 10 000 000 – 15 000 000 рублей.
• Повторные действия/бездействия оператора, повлекшие утечку ПДн: должностные лица – 800 000 – 1 000 000 рублей, юридические лица – 1-3% годовой выручки (минимум 20 000 000 рублей и максимум 500 000 000 рублей).

В соответствии с нововведениями в УК РФ в случае незаконного использования и/или передачи (распространение, предоставление, доступ), сбор и/или хранение компьютерной информации с ПДн, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем действуют следующие наказания: штраф до 300 000 рублей или доход осужденного за 1 год, либо принудительные работы до 4 лет, либо лишение свободы до 4 лет.

Изменения в других областях информационной безопасности

Опубликован национальный стандарт ГОСТ Р 71753-2024 «Защита информации. Системы автоматизированного управления учетными записями и правами доступа. Общие требования», вводимый в действие с 20.12.2024. Стандарт устанавливает общие требования к системам управления учетными записями и правами доступа пользователей и автоматизации процессов, связанных с управлением учетными записями и правами доступа.