Федеральный закон от 30.11.2024 №421-ФЗ внес в УК РФ новую статью 272.1, которая устанавливает уголовную ответственность за преступления в сфере использования компьютерной информации о персональных данных. Он вступает в силу уже 11 декабря 2024 года.
Согласно ч. 1 ст. 272.1 УК РФ, за незаконное использование, передачу (распространение, предоставление, доступ), сбор и хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо другим незаконным путем (за исключением деяний, предусмотренных ч. 2 ст. 272.1 УК РФ), последует наказание в виде:
- штрафа в размере до 300 000 рублей или в размере заработной платы или иного дохода осужденного за период до 1 года;
- принудительных работ на срок до 4 лет,
- лишения свободы на срок до 4 лет.
Такие же деяния, если они совершены в отношении компьютерной информации, которая содержит персональные данные несовершеннолетних лиц, специальные категории персональных данных или биометрические персональные данные, наказываются (ч. 2 ст. 272.1 УК РФ):
- штрафом в размере до 700 000 рублей или в размере заработной платы или иного дохода осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового;
- принудительными работами на срок до 5 лет;
- лишением свободы на срок до 5 лет.
Деяния, предусмотренные ч. 1 или ч. 2 ст. 272.1 УК РФ, совершенные из корыстной заинтересованности, с причинением крупного ущерба, группой лиц по предварительному сговору или с использованием служебного положения, наказываются (ч. 3 ст. 272.1 УК РФ):
- штрафом в размере до 1 млн руб. или в размере заработной платы или иного дохода осужденного за период до 3 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового;
- принудительными работами на срок до 5 лет со штрафом в размере до 1 млн руб. или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового;
- лишением свободы на срок до 6 лет со штрафом в размере до 1 млн руб. или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового.
За деяния, предусмотренные ч. 1, 2 или ч. 3 ст. 272.1 УК РФ, которые связаны с трансграничной передачей компьютерной информации, содержащей персональные данные, или трансграничным перемещением носителей информации, содержащих такие данные, последует (ч. 4 ст. 272.1 УК РФ):
- лишение свободы на срок до 8 лет со штрафом в размере до 2 млн руб. или в размере заработной платы или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 4 лет или без такового.
Трансграничное перемещение носителей, содержащих компьютерную информацию — это совершение действий по ввозу на территорию России и (или) вывозу с ее территории машиночитаемого носителя информации (в т. ч. магнитного и электронного), на котором записана и хранится такая информация.
Деяния, предусмотренные ч. 1, 2, 3 или ч. 4 ст. 272.1 УК РФ, если они повлекли тяжкие последствия либо совершены организованной группой, наказываются (ч. 5 ст. 272.1 УК РФ):
- лишением свободы на срок до 10 лет со штрафом в размере до 3 млн руб. или в размере заработной платы или иного дохода осужденного за период до 4 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового.
Создание или обеспечение работы сайта в интернете (страницы сайта), информационной системы, компьютерной программы, предназначенных для незаконных хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей персональные данные, полученной незаконным путем, наказываются (ч. 6 ст. 272.1 УК РФ):
- штрафом в размере до 700 000 рублей или в размере заработной платы или иного дохода осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового;
- принудительными работами на срок до 5 лет со штрафом в размере до 700 000 руб. или иного дохода осужденного за период до 2 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового;
- лишением свободы на срок до 5 лет со штрафом в размере до 700 000 руб. или иного дохода осужденного за период до 2 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового.
Как избежать уголовной ответственности
Чтобы избежать уголовной ответственности за преступления в сфере использования компьютерной информации, особенно когда речь идет о персональных данных, необходимо соблюдать несколько ключевых принципов и требований, установленных российским законодательством.
Получение согласия на обработку персональных данных
Обработка персональных данных возможна только с согласия субъекта данных. Это согласие должно быть конкретным, однозначным и включать информацию о целях, условиях и сроках использования данных, а также о возможности их передачи третьим лицам.
Соблюдение принципов обработки персональных данных
Обработка персональных данных должна соответствовать двум основным принципам:
- Обязательное получение согласия субъекта данных.
- Реализация комплекса организационных и технических мер по обеспечению безопасности персональных данных.
Эти меры должны сделать процессы работы с персональными данными структурированными и безопасными.
Использование данных только в установленных целях
Персональные данные должны использоваться только в целях, указанных в согласии, и только в течение срока его действия. Если субъект отозвал согласие, оператор обязан уничтожить персональные данные и прекратить их обработку.
Обеспечение безопасности персональных данных
Оператор персональных данных должен реализовать комплекс мер по обеспечению безопасности данных, включая технические и организационные меры. Это должно включать защиту от несанкционированного доступа, резервирование данных и другие меры по предотвращению утечек и нарушений.
Внедрение планов и политик безопасности
Организация должна иметь разработанную политику безопасности, назначить ответственных лиц и иметь план действий на случай сбоя, заражения или выхода из строя систем. Это поможет предотвратить и быстро реагировать на потенциальные угрозы.
Сервис 1С:Кабинет сотрудника, который помогает вести кадровый электронный документооборот компании, не только отвечает всем этим пунктам, но и помогает ускорить и упростить процесс обмена данными между сотрудниками и отделом кадров. Подробнее о сервисе.
22 октября компания ПРОФКЕЙС совместно с 1С провели семинар «Соблюдение требований 152-ФЗ при переходе на КЭДО», где рассказали об главных изменениях и новых рисках в работе с персональными данными в 2024 году.
