Что случилось
Ровно год понадобился законодателям, чтобы принять закон об ужесточении ответственности за незаконные сбор, использование, передачу и хранение персональных данных. Два законопроекта были внесены в Госдуму в начале декабря прошлого года.
Рассмотрение в первом чтении состоялось ещё в январе текущего года, а второе и третье чтение законопроекты прошли в конце ноября. Сразу же были приняты Советом Федерации и подписаны президентом.
Мы подробно писали об этих законопроектах, в статье вы можете найти размеры штрафов (они практически не изменились) и занимательную статистику по утечкам персональных данных от МВД.
Кстати, год назад участники рынка активно обсуждали законопроект и просили внести в него поправки. Участники рынка обращали внимание, что наказание предусматривается наказание за сбор и хранение данных независимо от наличия умысла. В этом случае привлечь к уголовной ответственности можно будет практически кого угодно, в частности, любого владельца сайта, который использует данные клиентов.
Какие установлены штрафы в УК РФ
Здесь скажем вкратце, что в Уголовном кодексе установлены штрафы и сроки наказания в зависимости от вида нарушений и количества людей, работа с чьими данными была нарушена.
▶ В частности, за нарушения при сборе, использовании, передачи информации юрлица заплатят до 300 тыс. рублей (сегодня это ещё 100 тыс. рублей), а руководство может отправиться на принудительные работы или в тюрьму на срок до 4 лет.
▶ Если нарушения повлекли тяжкие последствия или совершены организованной группой, штраф увеличивается до 3 млн рублей, а срок до 10 лет. Также повышенная ответственность устанавливается за нарушения с персональными данными несовершеннолетний, специальных категорий (например, относительно здоровья) и др.
За повторные нарушения будут оборотные штрафы — до 3% от доходов.
▶ Если компания отказывается предоставлять услугу без сдачи или подтверждения биометрических данных, то должностных лиц ждёт дисквалификация или штраф до 25 тыс. рублей.
▶ За создание сайта с целью незаконного хранения персональной информации до 700 тыс. рублей, принудительные работы или лишение свободы на срок до пяти лет.
Штрафы в КоАП РФ
В Кодексе об административных правонарушениях также выросли штрафы. В частности, за сбор персданных без согласия владельцев придётся заплатить до 700 тыс. (сегодня до 150 тыс.), повторно — до 1,5 млн рублей.
За незаконное размещение и обновление персданных должностные лица до 300 тыс. рублей, юрлица до 1 млн.
Что делать
Хотим напомнить, что в связи со всем этим нужно сделать предпринимателям.
▶ Во-первых, вспомнить, что почти все компании так или иначе являются операторами персональных данных, если есть работники или вы работаете с клиентами (любым образом взаимодействуете с персданными других людей).
▶ Во-вторых, запомнить, что операторы персданных должны извещать Роскомнадзор о намерении обрабатывать данные (ст. 22 № 152-ФЗ от 27.07.06), после чего их помещают в отдельный реестр.
Ещё сегодня пока что нет возможности оштрафовать компанию за неподачу уведомлений в Роскомнадзор, возможно оштрафовать только по ст. 19.7 КоАП за неподачу сведений в контролирующие госорганы — штраф до 500 рублей.
Однако с завтрашнего дня по новой статье в КоАП за не уведомление или несвоевременное уведомление назначат штраф до 300 тыс. рублей.
Но подачей уведомления всё не ограничивается, нужно провести целый комплекс мероприятий — назначить ответственного сотрудника за обработку персональных данных; разработать локальную документацию; регулярно проводить проверки соответствия обработки данных требованиям закона; оценивать степень потенциального вреда субъекту персональных данных и др.
Более того, если после подачи в Роскомнадзор уведомления об обработке персональных данных изменятся сведения, которые в нём содержатся (например, наименование компании или ФИО ИП), то следует не позднее 15-го числа следующего месяца снова уведомить РКН (письмо № 45697-10/77 от 24.05.24).
Знаете ли вы, что если в компании есть сотрудники и ведётся кадровый или воинский учёт, то следует получать согласия у работников на обработку персональных данных. Какие предусмотрены штрафы за нарушения, мы написали выше.
При этом брать согласие непосредственно для военкомата, налоговой инспекции или отделения Социального фонда не требуется. Органы исполнительной власти и некоторые другие категории операторов персданных при осуществлении возложенных на них функций и достижения общественно значимых целей вправе обрабатывать данные без согласия субъектов таких данных.
Немного статистики
Недавно Сбер приводил данные о том, что 90% взрослых россиян находятся в открытом доступе из-за утечек — это около 3,5 млрд строк информации. Основным источником проблем являются интернет-магазины и медучреждения, на банки приходится около 2% случаев утечек данных.
В Роскомнадзоре приводят свои данные — в 2023 году зафиксировано 168 утечек персданных, в открытый доступ попало более 300 млн записей. В 2022-ом было более 140 случаев, в интернете оказалось около 600 млн сведений.
