В настоящей статье мы раскрываем вопросы ответственности и конкретных мероприятий, которые нужно сделать каждому предпринимателю для того, чтобы не столкнуться с административной ответственностью.
Законодатель, относит к персональным данным в первую очередь следующие данные:
· ФИО;
· пол;
· паспортные данные (включая дату и место рождения, место регистрации);
· данные по ИНН и СНИЛС;
· контактные данные (номер телефона, адрес эл. почты).
Кроме того, законодателем выделено несколько видов персональных данных:
· общедоступные (ФИО, адрес, телефон, сведения о профессии и др.);
· биометрические (физиологические особенности человека, такие как его фотография, отпечатки пальцев, рост, вес и др.);
· специальные (данные о расовой и национальной принадлежности, политических и религиозных взглядах).
Все организации и индивидуальные предприниматели, осуществляющие обработку персональных данных, приобретают статус Оператора персональных данных, в связи с чем, на них возлагается обязанность соблюдать положения Закона №152-ФЗ.
Согласно п. 3 ст. 6 Закона №152-ФЗ владельцы сайтов обязаны встать на учет и зарегистрироваться в реестре операторов персональных данных, если они собирают информацию о посетителях (например, имеют форму регистрации).
Таким образом, оператор персональных данных обязан направить в территориальное управление Роскомнадзора уведомление об обработке (намерении осуществлять обработку) персональных данных с указанием, среди прочих сведений, места нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.
Последние изменения законодательства о персональных данных.
За последние несколько лет положения Закона № 152-ФЗ претерпели значительные изменения, которые необходимо соблюдать, чтобы избежать возможных нарушений.
Рассмотрим основные.
Прим. В сравнительной таблице приведены положения Закона № 152-ФЗ, действовавшие до 1 марта 2023 года и после указанной даты.
1) Изменение срока уведомления Роскомнадзора в случае, если изменились сведения, ранее представленные в уведомлении об обработке персональных данных.
|
Предыдущая редакция (до 01.03.2023) |
Новая редакция |
|
В течение 10 дней, с момента изменения сведений |
Не позднее 15-го числа следующего месяца с даты, когда произошли изменения |
2) Введены требования к извещению Роскомнадзора о фактах утечки информации, содержащей персональные данные.
|
Предыдущая редакция (до 01.03.2023) |
Новая редакция |
|
Не содержалось |
Оператор персональных данных обязан в течение 24 часов сообщить в Роскомнадзор обо всех инцидентах, повлекших утечку данных. Требования к сообщению установлены приказом Роскомнадзора от 14.11.2022 № 187. |
3) Утверждена специальная форма согласия на обработку персональных данных.
|
До 09.04.2024 |
После 09.04.2024 |
|
Не содержалось |
Распоряжением Правительства от 09.04.2024 № 856-р утверждены бумажная и электронная формы согласия на размещение и обработку персональных данных в единой системе идентификации и аутентификации (ЕСИА) и единой биометрической системе (ЕБС). Унифицированные формы включают пункты для заполнения по ПД субъекта, цели согласия, информацию об операторе ПДн, о представителе субъекта ПДн, срок действия, подпись и дату соглашения. |
4) Факт уничтожения персональных данных должен подтверждаться актом.
|
Предыдущая редакция (до 01.03.2023) |
Новая редакция |
|
Не содержалось |
Требования по оформлению и содержанию этого акта установлены в приказе Роскомнадзора от 28.10.2022 № 179. При этом акты будут различаться в зависимости от того, использует ли организация (оператор обработки персональных данных) средства автоматизации или нет. |
5) С 23.12.2023 многократно увеличены штрафы за обработку персональных данных без письменного согласия субъекта и нарушение правил обработки персональных данных:
|
Субъект |
Первичное/повторное нарушение |
Предыдущая редакция |
Новая редакция |
|
Физическое лицо/ИП |
Первичное |
до 10 000 руб. |
до 15 000 руб. |
|
|
Повторное |
|
до 30 000 руб. |
|
Юридическое лицо |
Первичное |
до 150 000 руб. |
до 700 000 руб. |
|
|
Повторное |
|
до 1 500 000 руб. |
6) C 30 мая 2025 года в силу вступят изменения в Закон № 152-ФЗ. Ст.13.11 КоАП вводит новые составы правонарушений и новые штрафы для нарушителей.
6.1.) Обработка персональных данных в случаях, не предусмотренных законом (ч. 1 и 1.1. ст. 13.11 КоАП):
|
Субъект |
Первичное/повторное нарушение |
Предыдущая редакция |
Новая редакция |
|
Физическое лицо/ИП |
Первичное |
2000 – 6000 руб. |
10 000 – 15 000 руб. |
|
|
Повторное |
4000 – 12 000 руб. |
15 000 – 30 000 руб. |
|
Юридическое лицо |
Первичное |
60 000 – 100 000 руб. |
150 000 – 300 000 руб. |
|
|
Повторное |
100 000 – 300 000 руб. |
300 000 – 500 000 руб. |
6.2.) Несвоевременное уведомление Роскомнадзора о работе с персональными данными (новые основания для привлечения к ответственности, которых ранее не содержалось в законодательстве):
|
Нарушение |
Физическое лицо/ИП |
Юридическое лицо |
|
Не уведомление Роскомнадзора |
5 000 – 10 000 руб. |
100 000 – 300 000 руб. |
|
Не оповещение об утечке персональных данных |
50 000 – 100 000 руб. |
1 000 000 – 3 000 000 руб. |
6.3.) Штрафы за утечку персональных данных
|
Нарушение |
Физическое лицо/ИП |
Юридическое лицо | ||
|
Первичное |
Повторное |
Первичное |
Повторное | |
|
Утечка перс. данных 1 000 – 10 000 чел. |
100 000 – 200 000 руб. |
400 000 – 600 000 руб. |
3 000 000 – 5 000 000 руб. |
от 1 до 3 % совокупного размера выручки за год |
|
Утечка перс. данных 10 000 – 100 000 чел. |
200 000 – 300 000 руб. |
5 000 000 – 10 000 000 руб. | ||
|
Утечка перс. данных более 100 000 чел. |
300 000 – 400 000 руб. |
10 000 000 – 15 000 000 руб. | ||
|
Утечка перс. данных спец. категорий |
300 000 – 400 000 руб. |
500 000 – 800 000 руб. |
10 000 000 – 15 000 000 руб. | |
|
Утечка биометрических данных |
400 000 – 500 000 руб. |
15 000 000 – 20 000 000 руб. | ||
Самые частые нарушения.
Операторы персональных данных, нарушившие положения Закона №152-ФЗ, привлекаются к административной ответственности и получают штрафы.
Учитывая приведенные размеры штрафов, которые зависят от конкретного состава административного правонарушения, предусмотренного КоАП РФ, такие штрафы могут составлять от нескольких тысяч до нескольких миллионов рублей, в зависимости от ситуации.
Самыми частыми нарушениями законодательства о персональных данных являются следующие нарушения (согласно официальному сайту Роскомнадзора):
1) Обработка персональных данных в случаях, не предусмотренных Федеральным законом "О персональных данных", нарушение ч. 1 ст. 6 Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных".
Согласно ч. 1 ст. 6 Закона №ФЗ-152 обработка персональных данных допускается только в определенном ряде случаев, наиболее распространенными из которых являются:
- наличие согласия субъекта персональных данных;
- исполнение договора, по которому стороной или выгодоприобретателем является субъект персональных данных;
- исполнение требований законодательства РФ.
Как правило, данное нарушение свидетельствует о том, что организация ведет обработку персональных данных без согласия субъекта.
2) Непринятие достаточных мер для обеспечения выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами (часть 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных").
Под такими мерами понимаются следующие действия, которые необходимо осуществлять в обязательном порядке любому оператору персональных данных:
- назначение ответственного за организацию обработки персональных данных (для юр. лиц);
- издание документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных;
- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
- ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и (или) обучение указанных работников.
3) Непринятие оператором мер по опубликованию или обеспечению неограниченного доступа к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных, нарушение ч. 2 ст.18.1 Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных".
Оператор обязан разместить:
· политику обработки и защиты персональных данных,
· перечень информационных систем персональных данных,
· типовую форму согласия на обработку персональных данных субъектов персональных данных и др.,
· а также сделать ее доступной для ознакомления неограниченному кругу лиц.
Примером такого обеспечения неограниченного доступа к указанным сведениям является соответствующий информационный стенд. В случае, если обработка персональных данных осуществляется оператором в сети «Интернет», такой документ также должен быть опубликован в сети «Интернет» (в том числе и непосредственно на сайте оператора).
4) Непредставление и (или) несвоевременное представление уведомления по обработке персональных данных при осуществлении деятельности по обработке персональных данных, не попадающей под исключения ч. 2 ст. 22 Федерального закона "О персональных данных", нарушение ч. 1 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных".
Субъект, осуществляющий обработку персональных данных, обязан уведомлять Роскомнадзор, кроме исключительных случаев из ч. 2 ст. 22 Закона №ФЗ-152. И если уведомление подано, то нужно следить за тем, чтобы сведения о компании в реестре операторов были актуальны так же, как и в ЕГРЮЛ.
5) Непредставление в уполномоченный орган сведений об изменении информации, содержащейся в уведомлении об обработке персональных данных, нарушение ч. 7 ст.22 Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных".
Данное нарушение непосредственно связано с предыдущим, но определяется в тех случаях, когда первоначальные сведения о субъекте, осуществляющем обработку персональных данных, изменились после подачи первоначального уведомления. Это могут быть различные сведения: наименование и адрес, оператора, цель обработки персональных данных, срок или условия прекращения обработки персональных данных (и др., перечисленные в ч. 7 ст. 22 Закона №152-ФЗ).
Как проверяют бизнес на соблюдение законодательства о персональных данных? Как избежать нарушений?
Ежегодно Роскомнадзор составляет план контрольных мероприятий. Организации и ИП попадают в него раз в три года (в некоторых случаях – чаще) – это является плановой проверкой.
Также возможно проведение внеплановой проверки (о такой проверке неизвестно заранее). Обычно такую проверку назначают за 24 часа до ее проведения на основании поступившей в Роскомнадзор жалобы на нарушение законодательства в области персональных данных.
В ходе проверок Роскомнадзор может запросить у оператора необходимые документы (документарная проверка), а также осуществить выезд Роскомнадзора непосредственно в организацию (выездная проверка).
Вне рамок проверочных мероприятий Роскомнадзор выявляет нарушения через запросы граждан, компаний или по публикациям в СМИ.
При проведении проверок в первую очередь Роскомнадзор проверяет наличие уведомления о сборе и обработке персональных данных. В случае наличия такого уведомления, специалисты проверяют соответствие указанных в уведомлении целей фактическим, а также проверяют какие именно данные обрабатываются оператором, кто отвечает за работу с такими данными и др.
Особое внимание уделяется сайтам компании (в случае наличия на нем формы сбора персональных данных), а также локальным актам, регулирующим взаимодействие с персональными данными внутри организации.
Чтобы подготовиться к возможным проверкам, а также в целом избежать возможных нарушений рекомендуем обратить внимание на следующее:
- проверить наличие необходимых документов для сбора и обработки персональных данных (разработать такие документы в случае их отсутствия), в том числе их размещение на сайте организации;
- проверить наличие документа, подтверждающего ознакомление сотрудников с формами документов, касающихся обработки персональных данных;
- назначить ответственного сотрудника, который будет следить за соблюдением законодательства о персональных данных;
- проверить наличие политики обработки и защиты персональных данных;
- проверить подачу уведомления в Роскомнадзор об обработке персональных данных;
- регламентировать весь процесс взаимодействия с персональными данными, в том числе установить категории используемой информации;
- отказаться от спам-рассылок при продаже услуг т.к. жалобы на такие рассылки часто являются основанием для проведения внеплановой проверки.
Автор: Владимир Царев
