Дайджест изменения НПА Российской Федерации по ЗПДн и ИБ (январь 2025)

Дата: 31.01.2025 г.
Автор статьи: Мария Моисеева — Руководитель направления сопровождения

Термины, сокращения и определения

Кабмин — Кабинет министров, верховный государственный орган.

МВД России — Министерство внутренних дел Российской Федерации.

Минфин — Министерство финансов Российской Федерации.

Оператор — Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные (ПДн) — Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

КоАП РФ — Кодекс Российской Федерации об административных правонарушениях.

УК РФ — Уголовный кодекс Российской Федерации.

Роскомнадзор — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Ключевые изменения в законодательстве, регулирующем область персональных данных по состоянию на 31.01.2025

1. Постановление Правительства Российской Федерации от 18.01.2025 № 12 «О внесении изменения в постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687» ограничивает срок действия постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее – ПП № 687) до 01.09.2030.
2. На публичное обсуждение вынесен текст законопроекта Минцифры о внесении изменений в постановление Правительства Российской Федерации от 29.06.2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных» (далее – ПП №1046). Предложены изменения в п. 51, касающиеся мероприятий по контролю без взаимодействия с контролируемым лицом, предлагается обеспечить возможность удаленного контроля операторов ПДн, в том числе с использованием информационных систем, принадлежащих и (или) находящихся в пользовании контролирующего органа (территориального органа). Предложены изменения в п. 61, касающиеся реагирования контролирующего органа на нарушения требований законодательства о ПДн, выявленные по итогам проведения мероприятия по контролю без взаимодействия с контролируемым лицом, а именно:
   • принятие мер в отношении оператора ПДн по прекращению обработки ПДн или обеспечению ее прекращения и уничтожению ПДн или обеспечению их уничтожения;
   • направление оператору ПДн письма с требованием об уточнении, блокировании или уничтожении недостоверных или полученных незаконным путем ПДн в течение 10 рабочих дней с информированием контролирующего органа об исполнении указанного требования;
   • объявление оператору ПДн предостережения о недопустимости нарушения законодательства о ПДн и предложение принять меры по обеспечению соблюдения законодательства о ПДн.
3. Официально опубликованы изменения в КоАП РФ и изменения в УК РФ. В соответствии с нововведениями и обновлениями в КоАП РФ действуют следующие штрафы:

• Обработка ПДн в не предусмотренных законом случаях, либо обработка ПДн, несовместимая с целями сбора: должностные лица – 50 000 — 100 000 рублей (100 000 – 200 000 рублей при повторном правонарушении), юридические лица – 150 000 — 300 000 рублей (300 000 – 500 000 рублей при повторном правонарушении).
• Неуведомление и/или несвоевременное уведомление Роскомнадзора об утечке ПДн, повлекшей нарушение прав субъектов ПДн: должностные лица – 400 000 — 800 000 рублей, юридические лица – 1 000 000 – 3 000 000 рублей.
• Действия/бездействия оператора, повлекшие утечку ПДн 1 000 — 10 000 субъектов и/или 10 000 — 100 000 идентификаторов (уникальное обозначение сведений о физическом лице, содержащееся в информационной системе ПДн оператора и относящееся к такому лицу): должностные лица – 200 000 — 400 000 рублей, юридические лица – 3 000 000 – 5 000 000 рублей.
• Действия/бездействия оператора, повлекшие утечку ПДн 10 000-100 000 субъектов и/или 100 000 — 1 000 000 идентификаторов: должностные лица – 300 000 — 500 000 рублей, юридические лица – 5 000 000 – 10 000 000 рублей.
• Действия/бездействия оператора, повлекшие утечку ПДн более 100 000 субъектов и/или более 1 000 000 идентификаторов: должностные лица – 400 000 — 600 000 рублей, юридические лица – 10 000 000 – 15 000 000 рублей.
• Повторные действия/бездействия оператора, повлекшие утечку ПДн: должностные лица – 800 000 – 1 000 000 рублей, юридические лица – 1-3% годовой выручки (минимум 20 000 000 рублей и максимум 500 000 000 рублей).

В соответствии с нововведениями в УК РФ в случае незаконного использования и/или передачи (распространение, предоставление, доступ), сбор и/или хранение компьютерной информации с ПДн, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем действуют следующие наказания: штраф до 300 000 рублей или доход осужденного за 1 год, либо принудительные работы до 4 лет, либо лишение свободы до 4 лет.