Власти ужесточили ответственность за нарушения в области персональных данных. Теперь штрафы могут быть до полутора миллионов рублей. Кроме того, готовят поправки в КоАП РФ с еще более крупными суммами. Рассказываем, что за изменения ждут бизнес.
Чтобы следить за актуальными материалами для бухгалтера, подписывайтесь на наш Телеграм — Что делать Консалт | Всё о налогах и законах. Публикуем новости об изменениях, кейсы, ответы на вопросы клиентов, ссылки на мероприятия, напоминания, что нужно сдать отчет. А еще разыгрываем бесплатные консультации от наших экспертов.
Что уже изменили в КоАП
С 23 декабря 2023 года вступили в силу изменения КоАП РФ. Увеличилась ответственность за обработку персональных данных без письменного согласия. Кроме того, в кодексе появилась новая статья 13.11.3, которая предусматривает ответственность за нарушения при размещении и обновлении биометрических персональных данных в единой системе.
Обработка персональных данных без письменного согласия субъекта
С 23 декабря 2023 года увеличились штрафы за обработку персональных данных без письменного согласия или с нарушением требований к его содержанию (ч. 2, 2.1 ст. 13.11 КоАП РФ).
Сравнительная таблица со старыми и новыми суммами штрафов
Перечисленные штрафы касаются ситуаций, когда для обработки персональных данных необходимо именно письменное согласие, но оператор его не взял или взял, но с нарушениями к его содержанию. Такое согласие нужно не во всех случаях. Согласие можно дать в любой форме, главное, чтобы можно было подтвердить факт его получения (ст. 9 Закона № 152-ФЗ).
В законе могут быть исключения, когда согласие обязательно должно быть в письменной форме. Именно на такие исключения распространяются новые штрафы.
Например, письменное согласие необходимо, когда обрабатываются следующие категории персональных данных:
- специальные персональные данные: информация о расе и национальности, религиозные и философские взгляды на жизнь, политические убеждения, подробности о личной жизни и иная подобная информация (ст. 10 Закона № 152-ФЗ);
- биометрические персональные данные: информация о физиологических и биологических особенностях человека, по которым можно его идентифицировать. Например, рост и вес человека, его фотографии и видео с ним, отпечатки пальцев, радужная оболочка глаза и другая информация (ст. 11 Закона № 152-ФЗ);
- персональные данные, разрешенные для распространения: информация, которую субъект разрешил распространять неопределенному кругу лиц, дав на это отдельное согласие. Например, когда работник дает работодателю согласие на то, чтобы его персональные данные разместили на сайте организации в разделе «Лучшие сотрудники» (ст. 10.1 Закона № 152-ФЗ).
Оштрафовать по новым составам КоАП РФ могут не только за то, что такие персональные данные обрабатываются без письменного согласия, но и когда нарушены требования к его содержанию (ст. 9 Закона № 152-ФЗ).
Для согласия на обработку персональных данных, разрешенных для распространения, есть особые требования (Приказ Роскомнадзора № 18 от 24.02.2021).
Нарушение требований в области размещения биометрических персональных данных
23 декабря в КоАП РФ появилась новая статья о нарушении требований в области размещения биометрических персональных данных. Статья устанавливает ответственность для банков и ряда других юрлиц за нарушение требований к тому, как размещать и обновлять биометрические персональные данные в единой системе идентификации и аутентификации физических лиц с использованием биометрических персональных данных. Штрафы:
- для должностных лиц – от 100 000 до 300 000 руб.;
- для организаций – от 500 000 до 1 000 000 руб.
Смотреть по теме: Новые штрафы по персональным данным
Что власти еще планируют изменить
Ответственность за нарушения в области персональных данных ужесточилась с 23 декабря, но на этом изменения не заканчиваются. Сейчас в Госдуме на рассмотрении находится проект федерального закона, который устанавливает новую ответственность за нарушения и увеличивает действующие штрафы (проект закона № 502104-8).
Незаконная обработка персональных данных
Законодатели планируют увеличить штрафы за незаконную обработку персональных данных, а также за обработку персональных данных, несовместимую с целями сбора (ч. 1, 1.1 ст. 13.11 КоАП РФ).
Пример. Обработка, несовместимая с целями сбора: это когда оператор собирает персональные данные сотрудников, а после их увольнения переносит контакты в клиентскую базу и использует для повышения продаж.
Сравнительная таблица с действующими и планируемыми суммами штрафов
Уведомление в Роскомнадзор
В КоАП РФ планируют ввести новый состав нарушения – неуведомление Роскомнадзора о намерении обрабатывать персональные данные.
Такое уведомление должны направлять все организации (ст. 22 Закона № 152-ФЗ).
Существуют исключения, но на практике они встречаются редко. Уведомление не нужно направлять, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности или если оператор обрабатывает данные исключительно без средств автоматизации.
Сейчас за неподачу уведомления могут оштрафовать по ст. 19.7 КоАП РФ. Суммы относительно небольшие. Для должностных лиц штраф от 300 до 500 рублей, для организаций – от 3 000 до 5 000 рублей.
Планируют же выделить нарушение в отдельный состав. По проекту федерального закона за неподачу уведомления штрафы могут составить:
- для должностных лиц – от 30 000 до 50 000 руб.;
- для организаций – от 100 000 до 300 000 руб.
Если этот факт обнаружат в случае установления факта неправомерной передачи, предоставления, распространения или доступа к персональным данных, которые повлекли нарушение прав субъектов, то сумма штрафа увеличится:
- для должностных лиц – от 400 000 до 800 000 руб.;
- для организаций – от 1 000 000 до 3 000 000 руб.
Если вы еще не направляли уведомление, рекомендуем сделать это как можно скорее, пока закон не приняли. Требование относительно подачи уведомления действует уже не первый год. Соответственно, если уведомление не подано, то организацию могут оштрафовать сразу после вступления закона в силу.
Кроме того, стоит проверить актуальность информации в уведомлении, если ранее вы его уже подавали. Это связанно с тем, что по закону, если что-то в уведомлении поменялось, то необходимо уведомить об этом госорган.
Утечка персональных данных
Законодатели планируют ввести внушительную ответственность за утечку персональных данных.
Таблица с планируемыми составами правонарушений
Сейчас таких составов в КоАП РФ нет. Планируются и другие поправки, но сейчас это пока только проект федерального закона.
Другие новости законодательства
Уже завтра, 1 февраля в экспертном стриме узнаете, как сейчас складывается судебная практика по трудовым спорам и как работодателю выстроить свою работу так, чтобы не довести дело до суда.
