Дайджест изменения НПА Российской Федерации по ЗПДн и ИБ (8 ноября 2024)

Дата: 08.11.2024 г.
Автор статьи: Мария Моисеева — Ведущий специалист по защите информации

Термины, сокращения и определения

КоАП РФ — Кодекс Российской Федерации об административных правонарушениях.

Минцифры — Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации.

Оператор — Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные (ПДн) — Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Роскомнадзор — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

УК РФ — Уголовный кодекс Российской Федерации.

Ключевые изменения в законодательстве, регулирующем область персональных данных по состоянию на 08.11.2024

1. Для общественного обсуждения представлен проект приказа Минцифры, которым предполагается дополнение перечня индикаторов риска возможностью проведения внеплановых контрольных (надзорных) мероприятий при наличии у контролирующего органа информации о двух и более случаях в течение календарного года трансграничной передачи ПДн при помощи программных средств, владельцем которых является иностранное юридическое лицо или иностранное физическое лицо, функционал которых предполагает передачу ПДн, со стороны контролируемого лица, которое не уведомляло контролирующий орган о своём намерении осуществлять трансграничную передачу ПДн.
2. Роскомнадзор представил статистику по утечкам ПДн за девять месяцев 2024 года. По данным регулятора в указанный период с начала года зафиксировано 110 фактов утечек ПДн. Наибольшая доля утечек фиксируется у компаний, работающих в сфере торговли и оказания услуг.

Также в рамках проведения мероприятия SOC Forum 2024 министр цифрового развития РФ озвучил, что решение о введении оборотных штрафов за утечки ПДн будет принято до конца 2024 года.

В рамках законопроекта № 502104-8 об усилении административной ответственности в сфере ПДн («об оборотных штрафах за утечки») предлагается внести следующие изменения в КоАП РФ:

• Увеличить штрафы за обработку ПДн в случаях, не предусмотренных законодательством РФ в области ПДн, а также в целях, несовместимых с целями их сбора (ч.1, ч.1.1 КоАП РФ) до 300 000 рублей за первичные и до 500 000 рублей за повторные нарушения для юридических лиц.
• Установить ответственность для юридических лиц за нарушение обязанности по уведомлению Роскомнадзора о факте утечки ПДн до 3 000 000 рублей.
• Установить ответственность для юридических лиц за действия (бездействия) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) к информации, включающей ПДн (утечки ПДн), дифференцированную в зависимости от количества субъектов ПДн, чьи данные утекли, или идентификаторов, а также вида утекших ПДн (до 15 000 000 рублей).

В рамках законопроекта № 502113-8 предлагается установить уголовную ответственность за утечки ПДн, дополнив УК РФ статьей 272.1 «Незаконные использование и(или) передача, сбор и (или) хранение компьютерной информации, содержащей ПДн, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконного хранения и (или) распространения» (с максимальным сроком лишения свободы до 10 лет).

Изменения в других областях информационной безопасности

Ключевых изменений в законодательстве, регулирующем другие области информационной безопасности, по состоянию на 08.11.2024 не выявлено.