Вступил в силу закон о введении уголовной ответственности за утечки персональных данных
Юридическая компания «Пепеляев Групп» сообщает, что 11 декабря 2024 года вступил в силу Федеральный закон от 30.11.2024 № 421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации» (далее – Закон).
Закон дополняет Уголовный кодекс РФ (далее – УК РФ) статьей 272.1, предусматривающей уголовное наказание за незаконные использование и (или) передачу, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконного хранения и (или) распространения.
Таким образом, под уголовную ответственность должно попасть лицо, совершившее конкретные действия – незаконные использование, передача (распространение, предоставление, доступ), сбор, хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем.
Что касается работников самих компаний, то частью 3 рассматриваемой статьи предусмотрен отдельный состав – совершение преступления с использованием своего служебного положения – для которого установлены более высокий штраф и более длительный срок лишения свободы.
Руководство компании/DPO может быть привлечено к уголовной ответственности в случае, если его действия будут содержать признаки состава преступления, и будет установлена его вина.
В качестве контрпримера можно привести ст. 143 УК РФ («Нарушение требований охраны труда»), предусматривающую уголовную ответственность за нарушение требований охраны труда, совершенное лицом, на которое возложены обязанности по их соблюдению, если это повлекло по неосторожности причинение тяжкого вреда здоровью или смерть человека. В данном случае лицо будет нести ответственность в силу возложения на него определенных обязанностей (при этом одного возложения обязанностей недостаточно – необходимо нарушение требований, повлекшее причинение вреда).
Необходимо помнить и о понятии соучастия в преступлении, под которым понимается умышленное совместное участие двух или более лиц в совершении умышленного преступления. Соучастниками преступления наряду с исполнителем признаются организатор, подстрекатель и пособник. Ответственность соучастников преступления определяется характером и степенью фактического участия каждого из них в совершении преступления.
Так, исполнителем признается лицо, непосредственно совершившее преступление, либо непосредственно участвовавшее в его совершении совместно с другими лицами (соисполнителями). Организатором признается лицо, организовавшее совершение преступления или руководившее его исполнением. Подстрекателем признается лицо, склонившее другое лицо к совершению преступления путем уговора, подкупа, угрозы или другим способом. Пособником признается лицо, содействовавшее совершению преступления советами, указаниями, предоставлением информации, средств или орудий совершения преступления либо устранением препятствий, а также лицо, заранее обещавшее скрыть преступника, средства или орудия совершения преступления, следы преступления либо предметы, добытые преступным путем, а равно лицо, заранее обещавшее приобрести или сбыть такие предметы.
Помимо этого, хакеры могут быть привлечены к уголовной ответственности по ст. 272 УК РФ («Неправомерный доступ к компьютерной информации»), 273 УК РФ («Создание, использование и распространение вредоносных компьютерных программ»), 274.1 УК РФ («Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации»), 183 УК РФ («Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну»), а также по ст. 159 УК РФ («Мошенничество») и др.
2. Для случаев, когда эти действия совершает работник компании, используя свое служебное положение, установлены более высокий штраф и более длительный срок лишения свободы.
3. Руководство компании/DPO может быть привлечено к уголовной ответственности на общих основаниях (в случае, если его действия будут содержать признаки состава преступления и будет установлена его вина), но не в силу своей должности, в отличие от ответственности, например, по статье 143 УК РФ («Нарушение требований охраны труда»). Необходимо помнить и о понятии соучастия в преступлении.
Спектр услуг «Пепеляев Групп» включает:
Закон дополняет Уголовный кодекс РФ (далее – УК РФ) статьей 272.1, предусматривающей уголовное наказание за незаконные использование и (или) передачу, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконного хранения и (или) распространения.
Кто подпадает под уголовную ответственность, распространяется ли она на работников компании?
Основанием уголовной ответственности является совершение деяния, содержащего все признаки состава преступления, предусмотренного УК РФ.Таким образом, под уголовную ответственность должно попасть лицо, совершившее конкретные действия – незаконные использование, передача (распространение, предоставление, доступ), сбор, хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем.
Что касается работников самих компаний, то частью 3 рассматриваемой статьи предусмотрен отдельный состав – совершение преступления с использованием своего служебного положения – для которого установлены более высокий штраф и более длительный срок лишения свободы.
Может ли к уголовной ответственности быть привлечен руководитель/DPO компании?
Согласно общим принципам уголовного права лицо подлежит уголовной ответственности только за те общественно опасные действия (бездействие) и наступившие общественно опасные последствия, в отношении которых установлена его вина. Объективное вменение, то есть уголовная ответственность за невиновное причинение вреда, не допускается.Руководство компании/DPO может быть привлечено к уголовной ответственности в случае, если его действия будут содержать признаки состава преступления, и будет установлена его вина.
В качестве контрпримера можно привести ст. 143 УК РФ («Нарушение требований охраны труда»), предусматривающую уголовную ответственность за нарушение требований охраны труда, совершенное лицом, на которое возложены обязанности по их соблюдению, если это повлекло по неосторожности причинение тяжкого вреда здоровью или смерть человека. В данном случае лицо будет нести ответственность в силу возложения на него определенных обязанностей (при этом одного возложения обязанностей недостаточно – необходимо нарушение требований, повлекшее причинение вреда).
Необходимо помнить и о понятии соучастия в преступлении, под которым понимается умышленное совместное участие двух или более лиц в совершении умышленного преступления. Соучастниками преступления наряду с исполнителем признаются организатор, подстрекатель и пособник. Ответственность соучастников преступления определяется характером и степенью фактического участия каждого из них в совершении преступления.
Так, исполнителем признается лицо, непосредственно совершившее преступление, либо непосредственно участвовавшее в его совершении совместно с другими лицами (соисполнителями). Организатором признается лицо, организовавшее совершение преступления или руководившее его исполнением. Подстрекателем признается лицо, склонившее другое лицо к совершению преступления путем уговора, подкупа, угрозы или другим способом. Пособником признается лицо, содействовавшее совершению преступления советами, указаниями, предоставлением информации, средств или орудий совершения преступления либо устранением препятствий, а также лицо, заранее обещавшее скрыть преступника, средства или орудия совершения преступления, следы преступления либо предметы, добытые преступным путем, а равно лицо, заранее обещавшее приобрести или сбыть такие предметы.
Распространяется ли уголовная ответственность на хакеров?
В статье 272.1 УК РФ не ограничен круг субъектов, на которых она распространяется. Она применима в целом к любым злоумышленникам, которые незаконно собирают, хранят, используют или передают компьютерную информацию, содержащую персональные данные, то есть и к киберпреступникам и хакерам.Помимо этого, хакеры могут быть привлечены к уголовной ответственности по ст. 272 УК РФ («Неправомерный доступ к компьютерной информации»), 273 УК РФ («Создание, использование и распространение вредоносных компьютерных программ»), 274.1 УК РФ («Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации»), 183 УК РФ («Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну»), а также по ст. 159 УК РФ («Мошенничество») и др.
Выводы
1. Под уголовную ответственность подпадает лицо, совершившее конкретные действия – незаконные использование, передача (распространение, предоставление, доступ), сбор, хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем.2. Для случаев, когда эти действия совершает работник компании, используя свое служебное положение, установлены более высокий штраф и более длительный срок лишения свободы.
3. Руководство компании/DPO может быть привлечено к уголовной ответственности на общих основаниях (в случае, если его действия будут содержать признаки состава преступления и будет установлена его вина), но не в силу своей должности, в отличие от ответственности, например, по статье 143 УК РФ («Нарушение требований охраны труда»). Необходимо помнить и о понятии соучастия в преступлении.
О чем подумать, что сделать
- Провести аудит процессов обработки персональных данных, выявить все процессы, в которых осуществляется передача персональных данных. Исключить избыточную обработку (включая передачу) персональных данных. Обеспечить правомерность обработки (включая передачу) персональных данных.
- Определить правовые, организационные и технические меры, необходимые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Обеспечить принятие всех необходимых мер.
- Разработать полный пакет локальных нормативных актов, регулирующих обработку и защиту персональных данных.
- Оформить поручения обработки персональных данных/договоры с третьими лицами.
- На регулярной основе проводить обучение для работников компании в области персональных данных в качестве эффективной меры по профилактике утечек.
Помощь консультанта
Специалисты «Пепеляев Групп» готовы оказать компаниям всестороннюю юридическую поддержку.Спектр услуг «Пепеляев Групп» включает:
- сопровождение клиента в рамках утечек персональных данных 24/7;
- подготовка уведомлений для Роскомнадзора;
- разработка и проведения обучения по персональным данным для работников клиента;
- разовые консультации по любым вопросам, связанным с обработкой персональных данных;
- DPO – юридическая поддержка по вопросам обработки персональных данных на абонентской основе по выгодным тарифам;
- проведение аудита процессов обработки персональных данных;
- разработка плана мероприятий по приведению деятельности клиента в соответствие с требованиями законодательства о персональных данных;
- разработка полного пакета локальных нормативных актов, регулирующих обработку и защиту персональных данных;
- консультирование по вопросам обработки персональных данных при взаимодействии с третьими лицами (в том числе разработка всех необходимых документов).
Если Вы заметили ошибку или опечатку, выделите ее и нажмите CTRL+Q
