421-ФЗ усилил уголовно-правовой контур защиты персональных данных. Для компании риск появляется не только при внешней утечке, но и при слабом контроле доступа, неясных основаниях обработки, передаче данных подрядчикам и отсутствии понятного порядка реагирования на инциденты.
421-ФЗ внес изменения в Уголовный кодекс РФ и добавил отдельную статью 272.1. Она касается незаконных действий с компьютерной информацией, содержащей персональные данные. Это важное изменение для бизнеса, потому что персональные данные больше нельзя воспринимать только как формальный комплект документов для сайта или кадровой папки.
При этом важно правильно понимать смысл закона. Не каждое нарушение 152-ФЗ автоматически становится уголовным делом. Большинство типовых ошибок оператора по-прежнему находятся в административном контуре: нет политики, неправильно оформлено согласие, не подано уведомление, не выполнен запрос субъекта, нарушены правила хранения или произошла утечка. Уголовный риск появляется в более опасных ситуациях, когда речь идет о незаконно полученных данных, их использовании, передаче, хранении или специальных ресурсах для незаконного оборота такой информации.
Для руководителя это означает простую вещь: персональные данные нужно контролировать не только на уровне бумажных документов. Нужно понимать, где они хранятся, кто имеет доступ, какие подрядчики их получают, как фиксируются действия сотрудников, что происходит при увольнении работника и кто отвечает за инцидент.
421-ФЗ ввел в УК РФ новую статью 272.1. Она направлена на незаконный оборот компьютерной информации, содержащей персональные данные. В зоне риска оказываются действия с данными, которые получены путем неправомерного доступа, вмешательства в работу средств обработки или иным незаконным способом.
Закон отдельно выделяет более опасные составы. Например, если данные относятся к несовершеннолетним, специальным категориям персональных данных или биометрии, ответственность строже. Отдельно учитываются корыстный мотив, группа лиц, использование служебного положения, крупный ущерб, трансграничная передача, тяжкие последствия и организованная группа.
Для бизнеса важно не пытаться пересказывать статью только как «штрафы за персональные данные». 421-ФЗ - это не про обычную ошибку в форме согласия. Он про незаконное использование, передачу, сбор или хранение компьютерной информации с персональными данными, а также про создание или поддержку ресурсов, предназначенных для незаконного хранения или распространения таких данных.
Административная ответственность по КоАП обычно связана с тем, что оператор нарушил правила обработки персональных данных. Например, собирал данные без законного основания, не получил нужное согласие, не опубликовал политику, не ответил субъекту, не обеспечил безопасность, не уведомил Роскомнадзор или допустил утечку.
Уголовный контур по 421-ФЗ устроен иначе. Он связан не просто с небрежностью оператора, а с незаконными действиями с компьютерной информацией, содержащей персональные данные. Поэтому при оценке риска нужно смотреть не только на факт нарушения, но и на происхождение данных, способ доступа к ним, цель использования, круг лиц, масштаб, последствия и наличие корыстного интереса.
На практике одна ситуация может иметь сразу несколько уровней. Например, если у компании произошла утечка, для оператора может возникнуть административная ответственность за нарушение требований защиты данных. Но если кто-то незаконно использует, продает, хранит или передает полученную базу, это уже может перейти в уголовную плоскость.
Самый опасный сценарий - когда персональные данные внутри компании не имеют понятного владельца процесса. HR хранит свои таблицы, отдел продаж выгружает клиентскую базу, маркетинг передает данные в сервис рассылок, подрядчик получает доступ к CRM, а IT не фиксирует, кто и когда скачивал массивы данных.
В таких условиях даже обычный инцидент сложно расследовать. Компания не понимает, была ли утечка, кто имел доступ, какие данные ушли, нужно ли уведомлять Роскомнадзор, что говорить субъектам и какие доказательства сохранить. Чем меньше порядка в доступах и документах, тем выше риск, что ситуация выйдет за рамки обычной административной проверки.
Эти признаки не означают, что уголовная ответственность уже наступила. Но они показывают слабые места, из-за которых компания может потерять контроль над данными и не суметь доказать, что действовала добросовестно.
Даже если компания не продает базы данных и не занимается сомнительными сервисами, закон все равно важен. Большинство организаций ежедневно работает с персональными данными: заявками на сайте, клиентской базой, договорами, личными делами сотрудников, пропусками, видеонаблюдением, рассылками, CRM и бухгалтерскими документами.
Риск появляется не только из-за злоумышленника извне. Данные может выгрузить сотрудник, передать подрядчик, потерять менеджер или неправильно настроить администратор сайта. Если внутри компании нет правил доступа и контроля, руководителю будет сложно объяснить, что обработка была организована безопасно.
421-ФЗ усиливает значение внутреннего порядка. Документы по 152-ФЗ должны совпадать с реальными процессами. Если в политике написано одно, в CRM настроено другое, подрядчики работают без поручений, а сотрудники отправляют базы в мессенджерах, защита остается только на бумаге.
Проверку лучше начинать не с переписывания политики, а с карты реальной обработки. Нужно понять, какие данные собираются, где они хранятся, кто имеет доступ, кому они передаются и как компания действует при инциденте.
После такой проверки обычно становится видно, где проблема. Иногда достаточно обновить документы и закрыть доступы. Иногда нужно перестроить работу с подрядчиками, перенести данные в безопасный контур, ограничить выгрузки или внедрить журналирование действий.
Главная ошибка при инциденте - действовать хаотично. Компания узнает о возможной утечке, удаляет следы, спорит внутри команды, не фиксирует время обнаружения и поздно понимает, что нужно уведомлять Роскомнадзор. В итоге проблема становится не только технической, но и юридической.
При подозрении на утечку нужно сначала зафиксировать обстоятельства: когда обнаружили инцидент, какие системы затронуты, какие данные могли уйти, кто имел доступ, какие действия уже предприняты. После этого нужно ограничить распространение, сохранить технические логи, определить объем инцидента и подготовить позицию для уведомления.
Важно не перекладывать всю задачу только на IT. Техническая команда закрывает уязвимость, но юристы определяют обязанности оператора, сроки уведомления, содержание ответа и риски для компании. Бухгалтерия и HR могут понадобиться, если затронуты сотрудники, выплаты, договоры или кадровые документы.
Чаще всего бизнесу кажется, что персональные данные - это разовая юридическая задача: скачать шаблон политики, добавить чекбокс на сайт и забыть. После 421-ФЗ и усиления административной ответственности такой подход становится опасным. Проверять нужно не только документы, но и реальное движение данных внутри компании.
Снижение риска начинается с простого принципа: персональные данные должны быть видимым управленческим процессом. У компании должен быть ответственный, перечень систем, список доступов, договоры с обработчиками, актуальные документы и понятный порядок реагирования на инциденты.
Не обязательно сразу внедрять сложную систему информационной безопасности. Но базовые меры должны работать: ограничение доступов, запрет несанкционированных выгрузок, безопасное хранение, контроль подрядчиков, обучение сотрудников, резервное копирование, журналирование действий и регулярная проверка документов.
Отдельно стоит провести аудит сайта и CRM. Именно там часто находятся слабые места: формы собирают лишние данные, согласия не соответствуют целям, политика устарела, данные уходят в сторонние сервисы, а уведомление в Роскомнадзор не отражает фактическую обработку.
421-ФЗ не превращает каждую ошибку с персональными данными в уголовное дело. Но он показывает, что государство жестче относится к незаконному обороту данных, утечкам, продаже баз и бесконтрольному хранению компьютерной информации с персональными данными.
Для бизнеса главный вывод практический: нужно привести в порядок не только документы, но и процессы. Компания должна понимать, какие данные собирает, где хранит, кому передает, кто имеет доступ и что делать при инциденте. Тогда риск штрафов, претензий Роскомнадзора и более серьезных последствий становится ниже.
421-ФЗ касается уголовной ответственности за незаконные действия с компьютерной информацией, содержащей персональные данные. Обычные нарушения оператора по 152-ФЗ чаще оцениваются в административном контуре, но слабая организация обработки может привести к утечке и усилить риски для компании.