Все новости законодательства
у вас на почте

Подпишитесь на рассылки

Все новости законодательства в вашей электронной почте

Подпишитесь на наши рассылки

Войти

Обработка персональных данных

889
12 февраля

В статье расскажем, какие данные являются персональными, какие правила обработки в отношении них установлены законодательством и какие меры ответственности начнут применяться в 2025 году за их нарушение. Кроме того, разберемся, на кого возложена обязанность по соблюдению указанных правил.

Над статьей работали:
редактор: Бурцева Алла

Содержание

  1. Что относится к персональным данным
  2. Субъект обработки персональных данных
  3. Оператор обработки персональных данных
  4. Что понимают под обработкой персональных данных
  5. Цели обработки персональных данных
  6. Уведомление об обработке персональных данных в Роскомнадзор
  7. Положение о защите персональных данных
  8. Согласие на обработку персональных данных: образец
  9. Срок действия согласия на обработку персональных данных
  10. Какие персональные данные можно передавать без согласия
  11. Усиление ответственности в 2025 году

Что относится к персональным данным

Законодательство определяет персональные данные как сведения, которые прямо или косвенно относятся к физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). То есть с помощью таких данных можно идентифицировать человека. Кроме того, отдельно выделяется понятие персональных данных, разрешенных субъектом для распространения. Это такая категория сведений, доступ к которым предоставлен неограниченному кругу лиц.

Перечень сведений, которые составляют персональные данные, законодательством не определен. Но исходя из их определения, можно сделать вывод, что к таковым относятся:
• фамилия, имя, отчество;
• пол, возраст;
• образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
• место жительства;
• семейное положение, наличие детей, родственные связи;
• факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и другое);
• финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
• деловые и иные личные качества, которые носят оценочный характер;
• прочие сведения, которые могут идентифицировать человека;
• фотография, используемая для установления личности (письма Роскомнадзора от 10.02.2020 N 08АП-6782, Минцифры РФ от 17.07.2020 № ОП-П24-070-19433);
• ИНН (письмо Минкомсвязи РФ от 26.04.2017 № П11-1-085-9772);
• в некоторых случаях к такой информации относятся данные в файлах cookie. Они могут быть признаны персональными данными, если прямо или косвенно относятся к определенному физическому лицу. Файлы могут содержать информацию о никнейме человека, номере его телефона или адресе электронной почты. Тогда они будут относиться к сведениям, позволяющим идентифицировать лицо (письмо Минкомсвязи РФ от 07.07.2017 № П11-15054-ОГ, постановления Тринадцатого арбитражного апелляционного суда от 01.07.2016 № 13АП-10775/2016, Девятого арбитражного апелляционного суда от 23.05.2016 № 09АП-17574/2016).

Документы, в которых содержатся персональные данные сотрудников:
• анкета, автобиография, личный листок по учету кадров. Их лицо заполняет при поступлении на работу. Они содержат анкетные и биографические данные работника;
• копия паспорта. Помимо того, что номер и серия паспорта относятся к персональным данным, документ содержит еще и другие данные: фамилию, имя, отчество, дату рождения, адрес регистрации, семейное положение, состав семьи работника;
• личная карточка № Т-2. В ней указывают фамилию, имя, отчество работника, место его рождения, состав семьи, образование, а также данные документа, удостоверяющего личность, и прочее;
• трудовая книжка или ее копия. Содержит сведения о трудовом стаже, предыдущих местах работы;
• сведения о трудовой деятельности (в частности, формы СТД-Р, СТД-СФР и подраздел 1.1 подраздела 1 раздела 1 единой формы ЕФС-1). Содержат информацию о местах работы и прочее;
• копии свидетельств о заключении брака, рождении детей. Указанные документы содержат сведения о составе семьи;
• документы воинского учета. Содержат информацию об отношении работника к воинской обязанности и необходимы работодателю для осуществления в организации воинского учета работников;
• справка о доходах с предыдущего места работы;
• документы об образовании. Подтверждают квалификацию работника, обосновывают занятие определенной должности;
• документы обязательного пенсионного страхования. Нужны работодателю для уплаты за работника соответствующих взносов;
• трудовой договор. Он содержит целый комплекс данных: фамилию, имя и отчество, дату рождения, место жительства, сведения о документах, удостоверяющих личность, сведения о заработной плате, должности работника, месте работы;
• подлинники и копии приказов по личному составу. В них содержится информация, которая относится к трудовой деятельности работника;
• иные документы с персональными данными работников.

Кроме того, работодатель в процессе своей деятельности собирает информацию о соискателях, необходимую для принятия решения о вступлении с ними в трудовые отношения. Если эта информация содержит персональные данные соискателей, к ней в полной мере относятся установленные законом требования о сборе, обработке, хранении, защите персональных данных.

В отдельную категорию выделены биометрические данные лица. Это такие сведения о физиологических и биологических особенностях человека, на основании которых можно установить его личность (п. 1 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ).

Субъект обработки персональных данных

Закон о персональных данных не раскрывает понятие субъекта персональных данных. Но из определения персональных сведений можно сделать вывод, что субъектом является физическое лицо, к которому относятся персональные данные (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). Указанная норма также закрепляет, что субъектом может быть только физическое лицо. Это значит, что информация, позволяющая идентифицировать юридическое лицо, не относится к категории персональных данных и правовая защита им не предоставляется.

Оператор обработки персональных данных

Операторами обработки персональных данных являются лица, которые самостоятельно или совместно с другими осуществляют обработку персональных данных. К таким лицам относятся (п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ):
• государственные органы;
• муниципальные органы;
• юридические лица;
• физические лица.

Так, любая организация является оператором по отношению к своим сотрудникам и иным лицам, сведения о которых она получает в процессе своей деятельности. Это положение справедливо и по отношению к индивидуальным предпринимателям.

Существует специальный реестр, который содержит сведения обо всех операторах персональных данных. Ведет его Роскомнадзор. Информация вносится на основании уведомлений, которые направляют операторы в ведомство (ч. 4, 4.1 ст. 22, п. 3 ч. 5 ст. 23 Федерального закона от 27.07.2006 № 152-ФЗ, пп. 1, 5.2.4 положения о Роскомнадзоре). Проверить информацию можно на сайте, который ведет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций: http://pd.rkn.gov.ru/.

Если организация (физическое лицо) не включена в такой реестр, но выполняет роль оператора по факту (обрабатывает идентифицирующие сведения о гражданах), оно обязано соблюдать правила, которые определяют обработку персональных данных (информация Роскомнадзора «Ответы на вопросы в сфере защиты прав субъектов персональных данных»).

Что понимают под обработкой персональных данных

Обработкой считаются любые действия, которые проводятся с персональными данными. В частности, это:
• сбор,
• систематизация,
• хранение,
• уточнение,
• использование,
• распространение,
• удаление.

Получение и хранение любой информации о лице, позволяющей его идентифицировать, уже является обработкой — даже если это просто база телефонных номеров клиентов компании. Это накладывает ряд обязанностей. Так, оператор должен:
• определить цель обработки сведений и строго ей следовать;
• в случае необходимости получать согласие на обработку от субъекта;
• уведомлять об обработке Роскомнадзор;
• принимать меры по защите персональных данных.

Обработка может осуществляться как с использованием средств автоматизации, так и без них (п. 3 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).

Автоматизированной будет считаться обработка данных, если используются средства вычислительной техники (например, компьютер). Если такие средства не применяются и сведения записываются на бумажные носители вручную, такая обработка определяется как неавтоматизированная (п. 4 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ, п. 1 положения, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687).

По общему правилу при сборе персональных данных, в том числе посредством сети Интернет, оператор обязан обеспечить хранение таких данных граждан РФ с использованием баз данных, находящихся на территории РФ (ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ).

Оператор может поручить обработку данных третьему лицу. Для этого между ними заключается договор. В нем определят объем данных, доступ к которым будет у третьего лица, перечень действий, которые ему необходимо осуществлять (п. 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ). В этом случае на третье лицо будут возложены те же обязанности, что и на оператора данных.

Важно, что в общем случае на такую передачу прав необходимо согласие субъекта. Лицо, которое будет осуществлять обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку (пп. 3, 4 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ).

Если оператором является юридическое лицо, необходимо назначить сотрудника, ответственного за обработку персональных данных. В его обязанности входит внутренний контроль за соблюдением законодательства РФ о персональных данных (ч. 1, 4 ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ).

При работе с данными необходимо руководствоваться принципами, которые закреплены в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ.

Законодательство также определяет условия обработки персональных сведений (ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ).

На обработку данных необходимо получить согласие от субъекта (п. 1 ч. 1 ст. 6, ст. 9, 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Согласие на обработку сведений, разрешенных субъектом персональных данных для распространения, должно быть оформлено отдельно (ч. 1 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Согласие может быть дано на бумажном носителе или в электронной форме (ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ). Утвержденной формы согласия нет, но требования к его содержанию установлены законодательством (пп. 1–9 ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ). Так, оно должно содержать:
• сведения о лице, данные которого будут переданы;
• цель сбора и хранения информации;
• перечень действий с данными, на совершение которых соглашается лицо;
• общее описание используемых оператором способов обработки персональных данных.

Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 № 18.

В некоторых случаях получение согласия не требуется. Об этом расскажем ниже.

Субъект наделен правом на отзыв согласия, которое было им дано ранее (п. 2 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ).

В определенных законодательством ситуациях лицо обязано предоставить свои персональные данные или дать согласие на их обработку. Например, при покупке сим-карты необходимо предъявить свой паспорт. Оператор в таком случае обязан разъяснить, какие последствия наступят, если он откажется от предоставления данных или дачи согласия на их обработку (ч. 2 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ). В нашем примере лицу будет отказано в оказании услуги по продаже карты.

Кроме этого, по требованию субъекта оператор должен предоставить ему информацию, которая определена в п. 7 ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ. Перечень таких сведений достаточно обширный и не является исчерпывающим.

Обработка персональных данных несовершеннолетних осуществляется в общеустановленном порядке. Единственным отличием является то, что согласие на обработку сведений дают законные представители.

Установлены особенности для использования и хранения биометрических данных. Хранить их можно как с использованием информационной системы, так и вне таковой. В последнем случае хранение должно осуществляться с использованием таких материальных носителей и с применением такой технологии хранения информации, которые обеспечат защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения (ч. 10 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ).

Требования к материальным носителям и технологиям их хранения вне информационных систем установлены Постановлением Правительства РФ от 06.07.2008 № 512.
При этом материальный носитель определен как машиночитаемый носитель информации (п. 2 требований, утвержденных Постановлением Правительства РФ от 06.07.2008 № 512). То есть на хранение биометрических персональных данных на бумажных носителях они не распространяются.

Тип материального носителя оператор, как правило, может выбрать по своему усмотрению (п. 7 требований, утвержденных Постановлением Правительства РФ от 06.07.2008 № 512). Это может быть внешний накопитель данных (внешний жесткий диск, карта памяти, внешний SSD-накопитель, USB-накопитель). При этом нужно вести учет количества таких материальных носителей и присваивать каждому носителю свой уникальный идентификационный номер. Это позволит определить оператора, осуществившего запись биометрических персональных данных на материальный носитель (п. 8 требований, утвержденных Постановлением Правительства РФ от 06.07.2008 № 512).

Цели обработки персональных данных

Обработка персональных данных должна происходить со строго определенной целью (ч. 2 ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ). Все действия с данными, которые совершает оператор в ходе обработки, должны быть связаны с такой целью. За несоблюдение такого требования оператор может быть привлечен к ответственности.

Так, работодатель может получать и использовать только те сведения, которые необходимы для заключения трудового договора и характеризуют лицо как сотрудника.
При этом цель должна быть:
• законной;
• заранее определенной. Она должна быть известна еще до момента получения сведений и оглашена человеку, который будет данные предоставлять;
• сформулирована конкретно. Это необходимо, чтобы избежать вопросов со стороны контролирующих органов.

Чтобы обработка данных соответствовала поставленной цели, нужно удостовериться в том, что (ч. 3—7 ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ):
• содержание и объем данных соответствуют целям их обработки. Излишним может быть признано такое получение данных, когда у лица истребуют информацию, не нужную для оказания конкретной услуги. Например, в стоматологии гражданина просят указать его семейное положение;
• созданы раздельные базы для персональных данных, обработка которых осуществляется в несвязанных друг с другом целях. В частности, нужно разделить базы данных сотрудников и клиентов;
• обеспечивается точность и достаточность, а при необходимости и актуальность данных по отношению к целям их обработки. Например, периодически нужно актуализировать базу телефонных номеров клиентов. В противном случае может быть нарушен закон. Ярким примером является смена абонента телефонного номера. Прежний владелец дал свое согласие на получение рекламной информации от компании, а новый пользователь — нет. Соответственно, направление ему рекламных сообщений будет нарушать законодательство. Неполные или неточные данные должны быть удалены или дополнены;
• после достижения цели данные уничтожаются или обезличиваются.

Уведомление об обработке персональных данных в Роскомнадзор

Уведомлять Роскомнадзор не нужно, если (пп. 7—9 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):
• происходит обработка данных, которые включены в соответствующие государственные информационные системы, созданные в целях обеспечения безопасности как государства, так и общественного порядка;
• оператор не использует средства автоматизации;
• обработка производится в соответствии с требованием законодательства о транспортной безопасности.

В остальных случаях необходимо направить уведомление в ведомство (ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).

При этом сообщить о том, что лицо собирается производить обработку сведений, нужно еще до ее начала (ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).
Составляется уведомление по форме, которая приведена в приложении № 1 к Приказу Роскомнадзора от 28.10.2022 № 180. В нем нужно указать (ч. 3, 3.1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):
• наименование организации (фамилию, имя, отчество), адрес;
• цель, с которой будет производиться сбор и хранение информации. Для каждой цели необходимо указать: категорию персональных сведений, субъектов и способы обработки;
• дату начала осуществления действия с данными;
• срок или условия, наступление которых будет основанием для прекращения обработки;
• сведения о том, как будет обеспечена безопасность хранения данных. Способы должны соответствовать установленным требованиям к защите таких сведений.

После получения уведомления ведомство внесет информацию об операторе в специальный реестр. На это ему отведено 30 дней (ч. 4 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ).

Если произошли изменения в сведениях, которые уже были направлены ранее, об этом также нужно сообщить. Сделать это необходимо в месяце, следующем за месяцем наступления таких изменений не позднее 15-го числа (форма документа приведена в приложении № 2 к Приказу Роскомнадзора от 28.10.2022 № 180).

В течение 10 рабочих дней необходимо сообщить ведомству и о том, что все действия с данными были прекращены (ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ). Форма уведомления об этом приведена в приложении № 3 к Приказу Роскомнадзора от 28.10.2022 № 180).

О трансграничной передаче данных нужно направлять отдельное уведомление (ч. 3 ст. 12 Федерального закона от 27.07.2006 № 152-ФЗ).

Важно помнить, что ИП также обязаны направлять указанные выше сообщения в ведомство, если производит обработку данных своих сотрудников или клиентов. Исключений для них нет.

Положение о защите персональных данных

Положение о защите персональных данных является локальным документом, который должен иметь каждый работодатель. Этот документ регламентирует порядок сбора и хранения данных сотрудников, перечень лиц, которые будут иметь доступ к сведениям, правила хранения личных дел и других кадровых документов, способы защиты электронных документов (ст. 88 ТК РФ, п. 15 положения об обработке персональных данных).

Составить документ можно в произвольной форме.

Его структура может выглядеть следующим образом (п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ):
• «Общие положения» — в этом разделе будут отражены вопросы, которые регулирует положение, порядок его вступления в силу, внесение изменений;
• «Категории субъектов персональных данных» — тут будут указаны физлица, сведения о которых будут обрабатываться согласно документу. Например, сотрудники или соискатели;
• «Цель сбора и хранения сведений, категории и перечни обрабатываемых данных» — здесь указывают цели обработки и данные, сбор и хранение которых необходимы для ее достижения;
• «Порядок и условия обработки данных» — в этом разделе могут быть указаны способы обработки;
• «Сроки обработки и хранения» — нужно прописать срок, в течение которого будут храниться документы, содержащие персональные данные;
• «Порядок уничтожения» — тут будет указан порядок уничтожения документов с персональными сведениями, срок хранения которых истек;
• «Защита сведений. Процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений» — перечисляются локальные нормативные акты, которые принимаются во исполнение положения, отображается порядок осуществления контроля за соблюдением у работодателя требований законодательства в области персональных данных и прочее;
• «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных» — нужно указать последствия нарушения законодательства в области персональных данных.

Сотрудники должны быть под подпись ознакомлены с положением об обработке и защите персональных данных работников (ст. 68, 86 ТК РФ). Факт ознакомления с документом может быть зафиксирован как в трудовом договоре, так и в отдельном акте.

Согласие на обработку персональных данных: образец

Форма согласия не утверждена. Ниже приведен образец согласия на обработку персональных данных.

Срок действия согласия на обработку персональных данных

Законодательством не ограничен срок действия согласия. Поэтому субъект может определить его самостоятельно и указать в тексте документа. Срок может быть любой. Он может быть определен моментом отзыва ранее данного лицом согласия (п. 8 ч. 4 ст. 9 закона о персональных данных).

Установлены сроки, в течение которых оператор обязан уничтожить полученные данные:
• 7 рабочих дней со дня поступления сведений о том, что данные были получены незаконно или не являются необходимыми для указанной цели обработки. Такая информация может поступить не только от владельца данных, но и от его представителя (ч. 1 ст. 14, ч. 3 ст. 20 Федерального закона от 27.07.2006 3 152-ФЗ);
• 10 рабочих дней со дня выявления незаконной обработки персональных данных. При этом невозможно обеспечить ее правомерность (ч. 3 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ);
• 30 дней после того, как была достигнута цель сбора информации (ч. 4 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ);
• 30 дней с момента, когда был получен отзыв ранее данного согласия, если хранение не требуется для целей обработки (ч. 5 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ);
• 10 рабочих дней со дня получения требования лица о прекращении обработки сведений о нем. Этот срок допускается продлить, но не более чем на 5 рабочих дней (ч. 5.1 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ).

Закон определяет, что в договоре, стороной которого является владелец личных данных, могут быть установлены иные сроки для их уничтожения. Лицо также может быть приобретателем выгоды или поручителем по указанному соглашению. Также сроки могут быть установлены федеральным законом (ч. 7 ст. 5, ч. 4, 5 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ).

Если у оператора нет возможности уничтожить данные в указанные выше сроки, он обязан их заблокировать. После этого уничтожить их нужно в срок, не превышающий 6 месяцев (ч. 6 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ).

Какие персональные данные можно передавать без согласия

Случаи, когда нет необходимости получать согласие лица на обработку его данных, указаны в пп. 2—11 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ.

Согласие не нужно, если получение сведений нужно:
• для заключения договора по инициативе гражданина. Владелец данных также может приобретать выгоду по такому соглашению или быть поручителем по нему. Например, при заключении договора на оказание услуг в нем указывают данные потребителя;
• исполнения договора, стороной которого либо выгодоприобретателем или поручителем является гражданин. Так, продавец запрашивает адрес лица, чтобы доставить ему приобретенный товар;
• соблюдения требований законодательства. Так, при запросе адреса электронной почты или номера телефона, необходимых для направления электронного чека, согласие не потребуется. Обязанность по направлению документа, подтверждающего оплату, закреплена законом;
• осуществления прав и законных интересов граждан либо для достижения общественно значимых целей. Важным условием является то, что это не должно нарушать прав самого субъекта.

Во всех остальных ситуациях согласие необходимо будет получить (п. 1 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ).

Это требование законодательства справедливо и по отношению к биометрическим данным лица (ч. 1 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ). Примером такой ситуации может быть фотографирование клиентов для выдачи им пропуска (письмо Минцифры РФ от 17.07.2020 № ОП-П24-070-19433).

Согласие нужно получить, если обработку таких данных производит непосредственно оператор.

Обратите внимание, что под биометрическими данными понимаются только такие сведения, которые вы используете для установления личности гражданина. Не будут достаточными для установления личности сведения об отдельных физиологических показателях гражданина (вес, рост, цвет волос и прочее).

Без получения согласия такая категория сведений может обрабатываться, если она необходима (п. 2 ст. 11 Федеральный закон от 27.07.2006 № 152-ФЗ):
• для реализации международных договоров Ф о реадмиссии;
• осуществления правосудия и исполнения судебных актов;
• проведения обязательной государственной дактилоскопической регистрации;
• обязательной государственной геномной регистрации;
• в случаях, предусмотренных законодательством РФ, об обороне, о безопасности, противодействии терроризму, о транспортной безопасности, противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством РФ, законодательством и о порядке выезда из России и въезда в Российскую Федерацию, о гражданстве РФ, законодательством о нотариате.

Усиление ответственности в 2025 году

Федеральный закон от 30.11.2024 № 420-ФЗ внес изменения в КоАП РФ, которые коснулись ответственности за нарушение требований законодательства по защите персональных данных. Данные изменения вступят в силу с 30 мая 2025 года.

Так, появились составы правонарушений, которых раньше не было. Теперь будет грозить ответственность за деяние (бездействие), которое повлекло неправомерную передачу информации о людях в количестве от 1 до 10 тыс. человек или от 10 до 100 тыс. идентификаторов (п. 12 ст. 13.11 КоАП РФ в редакции Федерального закона от 30.11.2024 № 420-ФЗ):
 штраф для граждан в размере от 100 до 200 тыс. рублей;
 для должностных лиц государственного или муниципального органа или некоммерческой организации предусмотрен штраф от 200 до 400 тыс. рублей;
 для предпринимателей и юридических лиц размер санкции составит уже от 3 до 5 млн рублей.

Если произошла утечка данных большего количества лиц (от 10 до 100 тыс. человек или от 100 тыс. до 1 млн идентификаторов), размер штрафа будет выше (п. 13 ст. 13.11 КоАП РФ в редакции Федерального закона от 30.11.2024 № 420-ФЗ):
 для граждан его размер составит от 200 до 300 тыс. рублей;
 должностных лиц — от 300 до 500 тыс. рублей;
 юридических лиц — от 5 до 10 млн рублей.

В случае утечки информации более чем 100 тыс. человек или более 1 млн идентификаторов грозит денежное взыскание (п. 14 ст. 13.11 КоАП РФ в редакции Федерального закона от 30.11.2024 № 420-ФЗ):
 для граждан в размере от 300 до 400 тыс. рублей;
 должностных лиц от 400 до 600 тыс. рублей;
 юридических лиц — от 10 до 15 млн рублей.

Неправомерное распространение персональных данных, которые относятся к специальной категории, будет грозить применением санкций в виде штрафа (п. 16 ст. 13.11 КоАП РФ в редакции Федерального закона от 30.11.2024 № 420-ФЗ):
 на граждан в размере от 300 до 400 тыс. рублей;
 должностных лиц — от 1 млн до 1 млн 300 тыс. рублей;
 юридических лиц — от 10 до 15 млн рублей.
Отдельно предусмотрена ответственность за несанкционированное распространение данных биометрии (п. 17 ст. 13.11 КоАП РФ в редакции Федерального закона от 30.11.2024 № 420-ФЗ). Санкция за такое нарушение существенно строже указанных выше:
 на граждан в размере от 400 до 500 тыс. рублей;
 должностных лиц — от 1 млн 300 тыс. до 1 млн 500 тыс. рублей;
 юридических лиц — от 15 до 20 млн рублей.

Кроме того, КоАП РФ устанавливает и ответственность за повторное совершение указанных правонарушений (п. 15 ст. 13.11 КоАП РФ в редакции Федерального закона от 30.11.2024 № 420-ФЗ).

На данный момент за подобные нарушения операторов привлекают по ч. 6 ст. 13.11 КоАП РФ, штрафы по которой существенно ниже:
 на граждан в размере от 1,5 до 4 тыс. рублей;
 должностных лиц — от 8 до 20 тыс. рублей;
 ИП — от 20 до 40 тыс. рублей;
 юридических лиц – от 50 до 100 тыс. рублей.

Как мы видим, размеры действующих санкций и будущих несоизмеримы.

Также появится состав, устанавливающий ответственность за несообщение Роскомнадзору о нарушении прав субъектов персональных данных. Будут предусмотрены следующие штрафы (п. 11 ст. 13.11 КоАП РФ в редакции Федерального закона от 30.11.2024 № 420-ФЗ):
— должностным лицам — от 400 до 800 тыс. рублей;
— ИП и организациям — от 1 до 3 млн рублей.

За ненаправление уведомления о намерении обрабатывать личную информацию грозит штраф (п. 10 ст. 13.11 КоАП РФ в редакции Федерального закона от 30.11.2024 № 420-ФЗ):
— должностным лицам — от 30 до 50 тыс. рублей;
— ИП и компаниям — от 100 до 300 тыс. рублей.

Наказание будет грозить и в случае, когда такое уведомление было направлено не вовремя. На данный момент за подобные действия (бездействие) привлекают к ответственности по ст. 19.7 КоАП РФ. Санкции данная норма предусматривает более мягкие. Юридическим лицам, например, может быть назначен максимальный штраф в размере 5 тыс. рублей.

Появится также норма, которая устанавливает ответственность за отказ заключить, исполнить, изменить или расторгнуть договор с потребителем из-за того, что он не стал проходить идентификацию (аутентификацию) по биометрии (п. 8 ст. 14.8 КоАП РФ в редакции Федерального закона от 30.11.2024 № 420-ФЗ). Санкции за такие действия такие:
— для любых должностных лиц и ИП — от 50 до 100 тыс. рублей;
— любых компаний — от 200 до 500 тыс. рублей.

Нужно уточнить, что речь идет о ситуации, когда предоставление указанных данных не является обязательным в силу закона.

Читайте также
эту статью еще не обсуждали
Вы можете оставить первый комментарий

Авторизуйтесь, чтобы оставлять комментарии

Нет аккаунта? Зарегистрируйтесь