С 23 декабря прошлого года власти ужесточили ответственность за нарушения в области персональных данных. Штрафы могут быть внушительные — до полутора миллионов рублей. Кроме того, готовят поправки в КоАП РФ с еще более крупными суммами. Обо всех изменениях рассказали в статье.
Новые штрафы
С 23 декабря 2023 года вступили в силу изменения КоАП РФ. Увеличилась ответственность за обработку персональных данных без письменного согласия. Кроме того, в кодексе появилась новая статья 13.11.3, которая предусматривает ответственность за нарушения при размещении и обновлении биометрических персональных данных в единой системе.
Обработка персональных данных без письменного согласия субъекта
С 23 декабря 2023 года увеличились штрафы за обработку персональных данных без письменного согласия или с нарушением требований к его содержанию (ч. 2, 2.1 ст. 13.11 КоАП РФ).
Сравнительная таблица со старыми и новыми суммами штрафов:
До 23 декабря 2023 г. | После 23 декабря 2023 г. | |
Первоначальное нарушение | ||
Граждане | 6 000–10 000 руб. | 10 000–15 000 руб. |
Должностные лица | 20 000–40 000 руб. | 100 000–300 000 руб. |
Организации | 30 000–150 000 руб. | 300 000–700 000 руб. |
Повторное нарушение | ||
Граждане | 10 000–20 000 руб. | 15 000–30 000 руб. |
Должностные лица | 40 000–100 000 руб. | 300 000–500 000 руб. |
Индивидуальные предприниматели | 100 000–300 000 руб. | 500 000–1 000 000 руб. |
Организации | 300 000–500 000 руб. | 1 000 000–1 500 000 руб. |
Обратите внимание, данные штрафы касаются ситуаций, когда для обработки персональных данных необходимо именно письменное согласие, но оператор его не взял или взял, но с нарушениями к его содержанию. Такое согласие нужно не во всех случаях. Согласие можно дать в любой форме, главное, чтобы можно было подтвердить факт его получения (ст. 9 Закона № 152-ФЗ).
Внимание
В законе могут быть исключения, когда согласие обязательно должно быть в письменной форме. Именно на такие исключения распространяются новые штрафы.
Например, письменное согласие необходимо, когда обрабатываются следующие категории персональных данных:
- Специальные персональные данные: информация о расе и национальности, религиозные и философские взгляды на жизнь, политические убеждения, подробности о личной жизни и иная подобная информация (ст. 10 Закона № 152-ФЗ).
- Биометрические персональные данные: информация о физиологических и биологических особенностях человека, по которым можно его идентифицировать. Например, рост и вес гражданина, его фотографии и видео с ним, отпечатки пальцев, радужная оболочка глаза и другая информация (ст. 11 Закона № 152-ФЗ).
- Персональные данные, разрешенные для распространения: информация, которую субъект разрешил распространять неопределенному кругу лиц, дав на это отдельное согласие. Например, когда работник дает работодателю согласие на то, чтобы его персональные данные разместили на сайте организации в разделе «Лучшие сотрудники» (ст. 10.1 Закона № 152-ФЗ).
Оштрафовать по новым составам КоАП РФ могут не только за то, что такие персональные данные обрабатываются без письменного согласия, но и когда нарушены требования к его содержанию (ст. 9 Закона № 152-ФЗ).
Внимание
Для согласия на обработку персональных данных, разрешенных для распространения, есть особые требования (Приказ Роскомнадзора № 18 от 24.02.2021).
Еще полезное по теме:
Согласие на обработку персональных данных Образец согласия работника на обработку его персональных данных Образец согласия на обработку персональных данных, разрешенных для распространения |
Нарушение требований в области размещения биометрических персональных данных
23 декабря в КоАП РФ появилась новая статья о нарушении требований в области размещения биометрических персональных данных.Статья устанавливает ответственность для банков и ряда других юрлиц за нарушение требований к тому, как размещать и обновлять биометрические персональные данные в единой системе идентификации и аутентификации физических лиц с использованием биометрических персональных данных. Штрафы:
- для должностных лиц – от 100 000 до 300 000 руб.;
- для организаций – от 500 000 до 1 000 000 руб.
Планируемые изменения
Ответственность за нарушения в области персональных данных ужесточилась с 23 декабря, но на этом изменения не заканчиваются. Сейчас в Госдуме на рассмотрении находится проект федерального закона, который устанавливает новую ответственность за нарушения и увеличивает действующие штрафы (проект закона № 502104-8).
Незаконная обработка персональных данных
Законодатели планируют увеличить штрафы за незаконную обработку персональных данных, а также за обработку персональных данных, несовместимую с целями сбора (ч. 1, 1.1 ст. 13.11 КоАП РФ).
Пример
Обработка, несовместимая с целями сбора: к примеру, это когда оператор собирает персональные данные сотрудников, а после их увольнения переносит контакты в клиентскую базу и использует для повышения продаж.
Сравнительная таблица с действующими и планируемыми суммами штрафов
Действующий штраф | Планируемый штраф | |
Первоначальное нарушение | ||
Граждане | 2 000–6 000 руб. | 10 000–15 000 руб. |
Должностные лица | 10 000–20 000 руб. | 50 000–100 000 руб. |
Организации | 60 000–100 000 руб. | 150 000–300 000 руб. |
Повторное нарушение | ||
Граждане | 4 000–12 000 руб. | 15 000–30 000 руб. |
Должностные лица | 20 000–50 000 руб. | 100 000–200 000 руб. |
Организации | 100 000–300 000 руб. | 300 000–500 000 руб. |
Уведомление в Роскомнадзор
В КоАП РФ планируют ввести новый состав нарушения – неуведомление Роскомнадзора о намерении обрабатывать персональные данные.
Такое уведомление должны направлять все организации (ст. 22 Закона № 152-ФЗ).
Существуют исключения, но на практике они встречаются редко. Уведомление не нужно направлять, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности или если оператор обрабатывает данные исключительно без средств автоматизации.
Сейчас за неподачу уведомления могут оштрафовать по ст. 19.7 КоАП РФ. Суммы относительно небольшие. Для должностных лиц штраф от 300 до 500 рублей, для организаций – от 3 000 до 5 000 рублей.
Планируют выделить нарушение в отдельный состав. По проекту федерального закона за неподачу уведомления штрафы могут составить:
- для должностных лиц – от 30 000 до 50 000 руб.;
- для организаций – от 100 000 до 300 000 руб.
Если данный факт обнаружат в случае установления факта неправомерной передачи, предоставления, распространения или доступа к персональным данных, которые повлекли нарушение прав субъектов, сумма штрафа увеличится:
- для должностных лиц – от 400 000 до 800 000 руб.;
- для организаций – от 1 000 000 до 3 000 000 руб.
Если вы еще не направляли уведомление, рекомендуем сделать это как можно скорее, пока закон не приняли. Требование относительно подачи уведомления действует уже не первый год. Соответственно, если уведомление не подано, то организацию могут оштрафовать сразу после вступления закона в силу.
Внимание
Рекомендуем проверить актуальность информации в уведомлении, если ранее вы его уже подавали. Это связанно с тем, что по закону, если что-то в уведомлении поменялось, то необходимо уведомить об этом госорган.
Еще полезное по теме:
Представление уведомления об обработке персональных данных Образец уведомления о намерении обрабатывать персональные данные |
Утечка персональных данных
Законодатели планируют ввести внушительную ответственность за утечку персональных данных. [KB2]
Таблица с планируемыми составами правонарушений
Состав | Граждане | Должностные лица государственного или муниципального органа | Организации, не являющиеся государственными или муниципальными структурами |
Действия или бездействие оператора, повлекшие утечку персональных данных от 1 000 до 10 000 субъектов персональных данных или от 10 000 до 100 000 идентификаторов, по которым можно определить субъектов | 100 000– 200 000 руб. | 800 000–1 000 000 руб. | 3 000 000–5 000 000 руб. |
Действия или бездействие оператора, повлекшие утечку персональных данных от 10 000 до 100 000 субъектов персональных данных или от 100 000 до 1 000 000 идентификаторов, по которым можно определить субъектов | 200 000–300 000 руб. | 1 000 000–1 500 000 руб. | 5 000 000–10 000 000 руб. |
Действия или бездействие оператора, повлекшие утечку персональных данных более 100 000 субъектов персональных данных или более 1 000 000 идентификаторов, по которым можно определить субъектов | 300 000–400 000 руб. | 1 500 000–2 000 000 руб. | 10 000 000–15 000 000 руб |
Повторное нарушение | 400 000–600 000 руб. | 2 000 000–4 000 000 руб. | От 0,1 до 3 % выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 000 000 и не более 500 000 000 рублей |
Сейчас таких составов в КоАП РФ нет. Планируются и другие поправки, но сейчас это пока только проект федерального закона.