Вопросы обработки персональных данных (ПДн) в России регулируются Федеральным законом от 27.06.2006 № 152-ФЗ.
Первая редакция Федерального закона «О персональных данных» № 152-ФЗ была официально опубликована 29 июля 2006 года в «Российской газете» (№ 162). Сам закон был принят 27 июля 2006 года и вступил в силу 1 января 2007 года.
Однако, несмотря на то, что законодательно установленные правила и меры ответственности существуют давно – российская действительность, до недавнего времени, «жила» вне этих самых правил и не задумывалась о необходимости их соблюдения.
Ситуация начала меняться относительно недавно. Причиной тому послужило законодательное ужесточение ограничений и санкций.
Ужесточение нормативного регулирования обработки персональных данных в России происходило постепенно.
В 2014 году произошел поворотный момент в регулировании защиты Пнд – был принят закон «О локализации» (№242-ФЗ), который начал действовать с 1 сентября 2015 года.
Внесенные изменения обязали операторов хранить персональные данные граждан РФ только на серверах, расположенных в России, что сильно отразилось на бизнес-процессах многих Российских и зарубежных компаний.
В 2015 году вступает в силу Федеральный закон от 21.07.2014 N 242-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях". Роскомнадзору предоставлены полномочия на внесудебную блокировку сайтов, нарушающих порядок обработки ПДн, а также устанавливается перечень требований к операторам, работающих с ПДн в ГИС, банковском и телеком-секторе.
В 2021 году расширяется ответственность по ст. 13.11 КоАП РФ, вводятся новые составы нарушений, увеличиваются штрафы. Максимальный штраф для юридического лица мог составлять до 18 миллионов рублей (Федеральным законом от 24.02.2021 N 19-ФЗ).
В 2022 году принят закон № 572-ФЗ (вступил в силу с марта 2023 года), которым введено понятие Единой биометрической системы (ЕБС), установлены отдельные основания для обработки биометрических данных, усилен порядок получения согласия.
В 2023 году реформируется административная ответственность (ст. 13.11 КоАП РФ), которая вводит новые составы административных правонарушений. Например, за отсутствие публикации политики обработки персональных данных (штраф для юридических лиц– до 60 000 рублей), несвоевременный ответ субъекту обработки персональных данных (штраф для юридических лиц до 80 000 рублей).
В ноябре 2024 года принимается закон № 420-ФЗ от 30.11.2024, который предоставляет Росконадзору новые полномочия по проведению внеплановых проверок, усиливает ответственность за утечку специальных категорий ПДн, вводятся оборотные штрафы за повторную утечку данных.
Постепенная реализации политики, направленной на защиту персональных данных, ужесточение ответственности и расширение полномочий Роскомнадзора привели к тому, что в настоящее время игнорировать требования закона более не получится.
Для наглядности, приведем некоторые статистические данные по количеству возбужденных дел об административных правонарушениях и сумм взысканных штрафов.
|
Год |
Количество возбужденных дел |
Общая сумма штрафов |
|
2022 |
450 дел |
12 млн ₽ |
|
2023 |
520 дел |
18 млн ₽ |
|
2024 |
618 дел |
29,9 млн ₽ |
Примечание: Данные за 2022 и 2023 годы являются оценочными, основанными на доступных источниках и тенденциях в сфере регулирования персональных данных.
Примечательно то, что многие предприниматели даже не знают или не осознают, что ведут свою деятельность нарушая требования законодательства в отношении обработки персональных данных каждый день подвергая себя огромному риску.
Что же такое персональные данные?
И так, под персональными данными понимаются сведения, относящиеся к прямо или косвенно определённому физическому лицу (п. 1 ст. 3 152-ФЗ). Иными словами, это любые данные, позволяющие установить личность человека.
Роскомнадзор признаёт персональными данными не только ФИО, паспортные данные, e-mail и телефон, но и файлы cookie, данные Яндекс.Метрики, а в отдельных случаях — даже никнейм пользователя, если по нему можно установить владельца.
Файлы cookie — это небольшие текстовые файлы с информацией о пользователе, которые хранятся на его устройстве. Они позволяют сайту узнавать пользователя и настраивать под него сессию.
«Яндекс Метрика» — бесплатный интернет-сервис компании «Яндекс», предназначенный для оценки посещаемости веб-сайтов и анализа поведения пользователей
Для законной обработки ПДн операторы обязаны уведомить об этом Роскомнадзор.
Реестр операторов на сайте ведомства позволяет проверить, зарегистрировано ли ваше юридическое лицо или ИП: https://pd.rkn.gov.ru/operators-registry/operators-list/.
Для сбора персональных данных клиентов оператору необходимо обеспечить выполнение всех условий и требований действующего законодательства.
Свои проверки Роскомнадзор начинает с просмотра вашего сайта, где в первую очередь
· оценивает наличие и содержание всех необходимых юридических документов:
· политики в отношении обработки персональных данных,
· наличие формы согласия на обработку персональных данных,
· верно определенных целей обработки
· и так далее.
При наличии нарушений – к Вам поступает запрос о предоставлении пояснений и устранении нарушений в определенный срок. Если нарушения не были устранены или устранены не полностью – то последует привлечение к административной ответственности.
Из нашего недавнего опыта ЮЭСКОМ.
В одном из недавних дел наш Клиент получил от Роскомнадзора письмо с требованием об устранении нарушений.
- На сайте отсутствовало уведомление об использовании Яндекс.Метрики.
- Содержание раздела «Политика обработки персональных данных» не соответствовало требованиям ФЗ-152.
Клиент обратился к нам за помощью.
Перед нами стояла задача не просто ответить на письмо регулятора, а провести полную проверку деятельности Клиента с точки зрения сбора и обработки персональных данных, выявить нарушения, устранить их путем подготовки корректного пакета документов, а также дать рекомендации по размещению их на сайте компании, и по итогу все проведённой работы подготовить ответ.
Задача осложнялась сжатыми сроками, которые поставил Клиенту Роскомнадзор.
Специалистами ООО «ЮК «ЮЭСКОМ» были совершены следующие действия:
· Правильно определили цели обработки персональных данных персонализированных под Клиента. Убрали лишнее, добавили нужное;
· Провели полный аудит текущей документации Клиента (политика в отношении обработки персональных данных, локально-нормативных актов, форм согласий);
· Оценили и выявили в указанных документах несоответствия действующему законодательству;
· Оценили использование технологий Яндекс Метрики, CRM;
· Разработали и скорректировали юридическую документацию (подготовили новый проект политики, дополнили локально-нормативные акты, разработали новую форму предоставления согласий).
· В тандеме с техническими специалистами разместили все на сайте клиента;
· Своевременно ответили на требование контролирующего органа.
Благодаря такой оперативной и точечной работе нашему клиенту удалось избежать штрафа и обезопасить себя на будущее время.
Автор: Юлиана Ломовцева
