Стоило уйти в отпуск, как столько всего сразу стало происходить в российской ИБ… Начинаю разгребать набежавшие новости и не могу не начать с принятого закона об оборотных штрафах за утечки персональных данных, о проекте которого я уже писал полтора года назад и который уже вызвал немало споров и разговоров. Не обойду вниманием эту тему и я.
Итак, 30-го ноября президент подписал Федеральный закон от 30.11.2024 №420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» и Федеральный закон от 30.11.2024 №421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации», которые вносят поправки как в Уголовный Кодекс, так и в Кодекс об административных правонарушениях.
Изменения в УК вступают в силу со дня на день (спустя 10 дней с момента официального опубликования закона), а поправки в КоАП — спустя 180 дней. Но помните, что если утечка старая (до принятия нового закона), а хакер опубликовал ее уже после вступления закона в силу, то вы
можете пойти по этапубудете отвечать уже по новым составам, если не докажите, что утечка старая и вы о ней уже уведомляли РКН. Если не уведомляли и не доказали, увы, готовьте миллионы рублей на штрафы.
Неуведомление о начале обработки ПДн
Что нового появилось в данном законе? Во-первых, речь не только об оборотных штрафах. Их, как говорится, еще заслужить надо. А вот штраф до 300 тысяч рублей за неуведомление РКН о намерении осуществлять обработку ПДн — это гораздо интереснее и серьезнее. На момент написания заметки в реестре операторов ПДн РКН находилось 922227 организаций. При этом, по данным ФНС, на начало 2024 года в России было зарегистрировано:
- 3216790 юридических лиц,
- 4258149 индивидуальных предпринимателей и крестьянских (фермерских) хозяйств.
И каждый(ое) из них является оператором ПДн, так как обрабатывает персданные своих работников как минимум. То есть у РКН есть возможность оштрафовать 6,5 миллионов юрлиц и ИП, которые не уведомили его о начале обработки ПДн. И каждому впаять от 100 до 300 тысяч рублей. Даже если брать по минимальной планке, то российская казна обогатится на 650 миллиардов, мать его, рублей!!!
Вдумайтесь в это число. Один росчерк пера и бюджет может получить полтриллиона рублей, то есть 1,5% от всей доходной части бюджета страны на 2025 год!
Да, когда депутат, случайно и внезапно ставший губернатором, говорил о том, что надо ввести институт специальных операторов ПДн и передать им хранение всех ПДн, он немного не понимал о чем говорит. Оператором ПДн по закону является ЛЮБОЕ лицо, обрабатывающее персданные. Любой работодатель является таким оператором. И у работодателя нельзя отобрать функцию приема на работу людей, то есть сбора и обработки ПДн. Как ни старайся, и какие сущности не вводи в закон. Оператор ПДн — это любое юридическое лицо или ИП. Точка!
Обратите внимание, что неуведомление об изменении сведений или о прекращении обработки ПДн под новый состав не попадает; Там может быть применена только «старая» статья 19.7 КоАП.
Неуведомление об инцидентах с ПДн
Второй новый состав правонарушений — это неуведомление РКН об инциденте с ПДн, которые все упорно называют утечками. Тут организациям грозит от 1 до 3 миллионов рублей. И эта статья будет второй по популярности у РКН, как мне кажется. При этом обратите внимание, что согласно ФЗ-152 уведомлять об инцидентах с ПДн нужно дважды — в течение 24 часов после обнаружения инцидента и в течение 72 часов. Если вы уведомили РКН в первые сутки, но забыли или не успели сделать это в оставшиеся двое суток (до 72 часов), то формально вас можно будет наказать.
Нарушение порядка обработка биометрических ПДн
Третий новый состав — это нарушение порядка или технологических правил обработки биометрических персональных данных для идентификации и аутентификации физических лиц, а также отказ в заключении, исполнении, изменении или расторжении договора с потребителем, если это связано с отказом потребителя от идентификации или аутентификации с использованием его биометрических данных. Тут виновных ждут штрафы до 2 миллионов и 500 тысяч рублей соответственно (указываю верхнюю планку для юрлиц; для должностных или физических лиц штрафы ниже).
Например, если вы установили на пропускном пункте систему распознавания лиц, то вы обязаны были получить аккредитацию в Минцифре, а получаемые биометрические данные отправлять в ЕБС. Теперь отказ от выполнения этой нормы может завершиться наказанием по новым составам.
Оборотные штрафы
Больше всего, конечно, разговоров о 4-м новом составе правонарушений, об оборотных штрафах за «утечки» ПДн, которые начинаются с одной тысячи субъектов ПДн или 10 тысяч идентификаторов. Напомню, что под данную норму попадут как действия, так и бездействия операторов ПДн, по чьей вине произошел инцидент с персданными, выразившийся в случайной или умышленной неправомерной передаче (распространении, предоставлении и доступе) персональной информации. За первое нарушение штраф может достигать 20 миллионов рублей (сумма зависит от категории и объема утекших ПДн).
А вот в случае повторных нарушений, связанных с утечкой ПДн, предусмотрены уже оборотные штрафы в размере от 1% до 3% от годовой выручки оператора персональных данных (либо размера собственных средств кредитной организации), но не менее 25 миллионов и не более 500 миллионов рублей!
Вы много помните повторных инцидентов с утечками ПДн в одной организации? Я не зря выше написал, что оборотный штраф еще надо заслужить!
Скидка в 50% на уплату административного штрафа в данном случае не действует! А было бы неплохо заплатить всего 250, а не 500 миллионов 🙂
Смягчающие факторы
При этом многие, включая авторов-депутатов, пишут, что штраф может быть и меньше нижней планки, если одновременно соблюдаются следующие условия:
- Оператор ПДн произвел существенные инвестиции на мероприятия для обеспечения своей информационной безопасности (не менее 0,1% годового совокупного размера суммы выручки либо размера собственных средств (капитала) для кредитной организации за предыдущие 3 года), которые проведены лицензиатом ФСТЭК или ФСБ.
Домашнее задание. Попробуйте прикинуть, каким должен быть годовой оборот компании, чтобы ей было выгодно платить оборотный штраф даже по верхней планке, чем вкладывать 0,1% в свою кибербезопасность?!
Обратите внимание, что считаются только те расходы, которые были проведены внешними лицензиатами или если сам оператор ПДн обладает лицензией ФСТЭК или ФСБ. Если же оператор ПДн лицензии не имеет и никого для своей защиты не привлекал, то все эти инвестиции в зачет не пойдут!!! Если читать буквально, то речь идет только об аутсорсинге ИБ (мониторинг, внедрение, настройка и т.п.). Входит ли в такие мероприятия покупка средств защиты у лицензиатов ФСТЭК и ФСБ непонятно?!
- Юридическое лицо документально подтверждает соблюдение за предыдущие 12 месяцев требований законодательства при обработке персональных данных в своих информационных системах.
Как? Это не сказано нигде. Мне видится пока только аттестация ФСТЭК, но это малореально. Аудит от какой-либо аккредитованной организации? Но таких у нас нет. Просто аудит на соответствие требованиям ФЗ-152 и подзаконных актов по технической защите ПДн? Быстро превратится в профанацию и очередной виток бумажной безопасности. Кроме того, от уплаты штрафа это все равно не освобождает.
- Отсутствуют такие отягчающие обстоятельства, как продолжение противоправного поведения и (или) повторные нарушения, предусмотренные частями 1 — 11 статьи 13.11 КоАП (включая новые нормы о неуведомлении Роскомнадзора об обработке персональных данных и/или их утечке) и/или статьями 13.6 и 13.12 КоАП (о нарушениях в области использования средств шифрования и правил защиты информации).
При этом размер пониженного административного штрафа не может быть сведен к нулю и составляет 1/10 минимального размера административного штрафа, но не менее 15 миллионов и не более 50 миллионов рублей.
Несколько важных замечаний по смягчающим факторам:
- Если у вас произойдет утечка, вдруг, в 2025-м году, вам надо будет подтвердить расходы в 0,1% от оборота на кибербез за период 2022-2024 годы. При обороте, допустим, в 100 миллиардов рублей, вам надо было тратить не менее 100 миллионов рублей в год на свою ИБ. Много ли таких компаний найдется?
- Что относится к расходам/инвестициям на ИБ? У вас в бюджете есть отдельная статья на это? А как вы будете считать совокупные расходы, если они размазаны по подразделениям (ИБ, ИТ, DevOps, юристы…)?
- Доказывать соблюдение требований законодательства по ПДн в информационных системах надо для всех ИСПДн или только для той, в которой случился инцидент? В любом случае стоит сдуть пыль с 21-го приказа ФСТЭК, 378-го приказа ФСБ и с 1119-го Постановления Правительства и посмотреть, как вы их соблюдаете.
- Смягчающие обстоятельства применяются только к повторным нарушениям, там где как раз грядут оборотные штрафы. Если инцидент с ПДн происходит впервые, то новые смягчающие факторы не действуют. Правда, действуют «старые», общие для КоАП — добровольное возмещение ущерба, устранение ущерба, предотвращены последствия нарушения, отсутствует ущерб.
Судебная практика по делам об утечках такова, что суды особо не разбираются в том, что был у вас инцидент на самом деле или нет. Как правило, они соглашаются с РКН и признают ответчика виновным. Обратное хоть и бывает, но редко — всего в около 10% случаев. Попытка выдать компьютерную атаку за форс-мажор или обстоятельства непреодолимой силы обычно заканчиваются ничем.
Важно помнить!
Хочу обратить внимание на ряд моментов, которые не так явно подсвечены в законе, но их важно знать:
- Если утекло данных меньше 1 тысячи субъектов или 10 тысяч идентификаторов, то будет применяться «старая» часть 1(1) или 2(1) статьи 13.11.
- Штраф от 10 до 15 миллионов рублей может быть назначен, даже если утекли спецкатегории всего одного субъекта.
- Оборотный штраф применяется за повторную утечку независимо от ее объема!
- Должностными лицами в новом законе считаются только представители государственных или муниципальных органов или некоммерческих организаций. То есть всяческих DPO/CISO коммерческих структур наказать по новым статьям нельзя. А по старым можно.
- Что такое идентификатор и как суды будут решать, от чего отталкиваться, от 10 тысяч субъектов или 10 тысяч идентификаторов (а это разные градации по штрафам), непонятно. Определение-то дано, но из него все равно ничего не понятно и как отделить ПДн от идентификатора не совсем понятно.
- Новые составы положены, среди прочего, за неправомерный или случайный доступ к ПДн. Если читать буквально, то это распространяется и на внутреннюю обработку ПДн. Вот пришел я оформлять приказ на отпуск и случайно увидел там приказ на отпуск другого сотрудника. Налицо случайный неправомерный доступ к ПДн. Инцидент! Надо уведомлять, иначе штраф.
- В ФЗ-152 прописана обязанность уведомлять только о тех инцидентах с ПДн, которые повлекли за собой нарушение прав субъектов ПДн. Так вот в новом законе с поправками в КоАП такой оговорки про нарушение прав субъекта нет. То есть формально получается, что вы можете не сообщать в РКН об инциденте, которые не повлек за собой никакого ущерба для субъекта, но прокуратура вполне может посчитать вас нарушителем и направить материалы в суд.
- Во всех случаях, доказательство вашей невиновности лежит на вас.
- В настоящий момент дела по статье 13.11 ведут мировые судьи по процесуальным нормам, установленным в КоАП. Однако согласно новым поправкам, такие дела будут отнесены к компетенции арбитражных судов согласно правилам, описанным в 25-й главе Арбитражного процессуального кодекса. С одной стороны это хорошо, так как арбитражные судьи лучше понимают в бизнесе и им можно будет с большей вероятностью (практика покажет) доказать свою правоту. С другой стороны арбитражные дела более затяжные и требующие лучшей проработки всех нюансов и предоставляемых доказательств. Да и представлять ответчика в суде должен будет не абы кто, а только адвокат или юрист, имеющие высшее юридическое образование или ученую степень по юридической специальности.
Уголовное преследование
В УК появляется новая статья 272.1, предусматривающая ответственность за незаконное хранение/сбор/передачу персональных данных, полученных незаконным путем. В зависимости от содеянного (из корысти ради или нет, размер ущерба, сговор, с использованием служебного положения, организованная группа, ПДн несовершеннолетних или спецкатегория) наказание может составлять до 10 лет лишения свободы! Также вводится уголовная ответственность за создание/функционирование интернет-ресурсов для заведомо незаконной обработки (хранения и распространения) персданных.
Хинштейн у себя в канале, пока он еще был депутатом, писал, писал:
Однако верить на слово бывшему депутату я бы не стал, так как не он будет судить тех, кто в рамках своих служебных обязанностей иногда получает доступ к незаконно полученным ПДн. Тем более, что не всегда при таком доступе есть надлежащее правовое основание, полученное заранее. Например, вы занимаетесь OSINT’ом и проанализировали утекшую базу ПДн, не имея на то согласия от пострадавшей стороны (я тем более не говорю про согласие от субъектов из этой базы). Или вы обрабатываете куки без согласия. Или передали собранные персданные третьим лицам (например, в рамках группы компаний). Много разных вариантов может быть, подпадающих под новую статью Уголовного Кодекса. Кроме того, Хинштейну тут задали ряд вопросов по новому закону и он там проявил себя как «настоящий юрист», по сути «узаконив» работу сервисов по пробиву частных лиц.
Помните, что судьи могут буквально толковать формулировки «незаконное использование» и «полученная… иным незаконным путем», а значит почти любой случай неправомерной обработки ПДн, может трактоваться как уголовное преступление.
Кстати, что касается формулировок. Помните, в законе «О персональных данных» был такой термин как «трансграничная передача персональных данных», который подразумевал передачу ПДн из России на территорию иностранных государств. Так вот в 421-ФЗ ввели новый термин — «трансграничное перемещение носителей информации, содержащих персональные данные», который подразумевает не только вывоз с территории РФ персданных, но и ввоз.
Не забывайте, что по новой статье 272.1 для создания сайта, используемого для незаконной обработки ПДн, нужен злой умысел, а вот для незаконного использования ПДн достаточно «неосторожности», что расширяет число потенциальных «преступников».
Резюмируя
Надо признать, что законодатели наплевали на позицию бизнеса, который говорил, что новый закон сырой и накладывает слишком большие обременения на добросовестные организации, которые и так соблюдают требования по защите ПДн, но все равно могут столкнуться с инцидентами ИБ. Получается, что сначала потраться на ИБ согласно 19-й статье ФЗ-152, а потом потриться на штрафы, если утечка все-таки произошла. Проще (на первый взгляд) вообще не заниматься ИБ — от штрафа это все равно не спасает.
Сразу скажу, что это не так. Соблюдение требований ФСТЭК по защите ПДн, указанное в 21-м приказе, вполне способно сократить число возможных векторов атак на ИСПДн и уменьшить вероятность попадания не только на оборотные, но и на первичные штрафы за инциденты с персданными. Только заниматься этим надо не спустя рукава и не для галочки.
Но депутаты публично хвалились, что они наплевали на мнение бизнеса и приняли закон, который якобы защитит персданные россиян от утечек. Увы, не защитит. Я не очень верю в серьезные изменения в этом вопросе, но это уже отдельная тема для дискуссии. Пока могу повторить, что закон очень сырой и оставляющий много белых пятен. Например, как будет разграничиваться ответственность по административным правонарушениям ст.13.11 и уголовным преступлениям по новой статье 272.1? Пока никто не знает. И еще много других скользких и спорных вопросов, упомянутых выше. И это ведь еще не началось правоприменение, которое поднимет много новых тем (хотя, надеюсь, и часть озвученных снимет с повестки). В любом случае будем посмотреть, как это все развивается…
В качестве заключения поделюсь подготовленной коллегами майндкартой со всеми изменениями в 420-ФЗ и 421-ФЗ.
