Работаем со всеми регионами РФ
Защита персональных данных находится на повестке уже не одно десятилетие. Федеральный закон № 152 «О персональных данных» действует в нашей стране уже без малого 20 лет. В государственных учреждениях его исполнение хоть как-то претворяли в жизнь, или пытались. А вот для большого количества коммерческих организаций защита персональных данных (далее ПДн) оставалась факультативным мероприятием.
Корнем проблемы являлся низкий уровень штрафных санкций для нарушителей. Зачастую, ЮЛ проще и дешевле было заплатить штраф. Предпринимать меры по приведению обработки ПДн в организации в соответствие требованиям законодательства было дольше и кратно дороже.
О необходимости отправки уведомления об обработке ПДн в Роскомнадзор и вовсе знали единицы.
В связи со сложившейся ситуацией регулятор решил «подкрутить гайки». Федеральный закон от 30.11.2024 №420-ФЗ заметно повышает действующие размеры штрафов.
За какие проступки теперь придется раскошелиться кратно больше:
– Утечка ПДн;
– Неуведомление Роскомнадзора (об утечке ПДн или о факте обработки ПДн);
– Нарушение прав потребителей (при работе с биометрическими ПДн).
Под «Утечкой», в данном случае, следует понимать преднамеренную, незаконную передачу ПДн ответственными лицами и/или организациями (Операторами ПДн).
Стоит отличать непреднамеренное (со стороны оператора ПДн) распространение ПДн в следствии, например, хакерской атаки или технического сбоя. В таких случаях потребуются дополнительные разбирательства, назначение комиссии, внутренняя проверка, внешняя проверка и т.д. Это не значит, что в данном случае штрафа не будет, но ситуативно это другой случай.
С терминологией разобрались, теперь о штрафных санкциях:
В случае незаконной передачи информации о людях в количестве от 1 тыс. до 10 тыс. человек будет грозить штраф:
– должностным лицам государственного или муниципального органа, либо некоммерческой организации – от 200 тыс. до 400 тыс. руб.;
– ИП и ЮЛ – от 3 млн до 5 млн руб.
На аналогичные суммы оштрафуют при утечке от 10 тыс. до 100 тыс. идентификаторов физических лиц. Это уникальные обозначения, которые находятся в информационных системах операторов ПДн. Обычно идентификаторы используются для обезличивания ПДн в информационных системах.
Более крупные штрафы грозят при росте масштабов утечки:
Неправомерное распространение персональных данных спецкатегорий обернется штрафом:
– для должностных лиц (госорган или муниципалитет) и некоммерческой организации – от 1 млн до 1,3 млн руб.;
– для ИП и ЮЛ – от 10 млн до 15 млн руб.
Как видим размер штрафов очень сильно вырос. И теперь, за намеренный слив базы, например, оператору сотовой связи или крупному ритейлеру, придется внушительно раскошелится за нерадивых сотрудников. Для небольшого бизнеса штрафы и вовсе могут стать катастрофическими, с последствиями вплоть до банкротства.
В части неуведомления Роскомнадзора (далее РКН) стоит различать два нарушения:
– неуведомление об уже случившейся утечке персональных данных;
– неуведомление о намерении обрабатывать персональные данные или об уже осуществляющейся обработке ПДн;
Данные нарушения имеют разные последствия для Оператора ПДн. Факт утечки, более злостный проступок, с точки зрения регятора. При этом, наказание за неуведомление о работе с ПДн так же кратно выросло.
Таким образом, помимо штрафа за сам факт утечки, дополнительно можно схлопотать немалый штраф за неуведомления регулятора о факте утечки. Особое внимание будет к утечкам, в процессе которых нарушены права субъектов персональных данных. В данном случае штрафы составят:
– для должностных лиц (госорган или муниципалитет) и некоммерческой организации – от 400 тыс. до 800 тыс. руб.;
– для ИП и ЮЛ – от 1 млн до 3 млн руб.
В случае если организация намерена обрабатывать персональные данные или уже обрабатывает их – то нужно так же совершить определенные мероприятия. Уведомить регулятор об обработке ПДн и подать заявление о включении юридического лица (ИП) в реестр Операторов ПДн. Если данные процедуры не выполнить, то нарушителя ждут следующие штрафы:
– для должностных лиц (госорган или муниципалитет) и некоммерческой организации – от 30 тыс. до 50 тыс. руб.;
– для ИП и ЮЛ – от 100 тыс. до 300 тыс. руб.
Таким образом, даже неуведомление РКН о намерении обрабатывать персональные данные теперь грозит организациям штрафами в сотни тысяч рублей. Учитывая серьезность подхода регулятора к данному вопросу, организациям не стоит затягивать с подачей уведомления в РКН. Если у вас возникли сложности, наши специалисты помогут вам в вопросе подачи уведомления.
Так же не стоит забывать, что если вы заявляетесь как оператор ПДн, то должны обеспечить должную защиту ПДн, обработку которых планируете осуществлять. Основных направлений подготовки два:
Каждое из направлений имеет свои нюансы. В рамках правового поля, основной упор идет на нормативную базу по обработке ПДн, выстроенную внутри организации. Что касается технического вопроса, то здесь основой является реализация технических мер в части защиты ПДн, как того требует законодательство. Более подробно эти вопросы раскрыты в соответствующих статьях на нашем сайте.
Таким образом регистрация организации в качестве Оператора ПДн, это только начало пути в части реализации требований законодательства. Но всегда нужно с чего-то начинать!
Еще одна насущная тема, которая является довольно обширной и захватывает многие сферы. В контексте персональных данных, у субъектов ПДн (физических лиц) есть форматы взаимодействия с ЮЛ при котором они подтверждают свои намерения при помощи биометрических ПДн. Например, во всем известном банке есть функция оплаты «улыбкой», фактически клиент передает банку свой биометрический идентификатор – фотография лица. Банк, используя эту фотографию, может проводить идентификацию клиента, например, через камеру терминала оплаты.
Так вот, сейчас законодательно увеличены штрафные санкции для Оператора ПДн (в описанном случае банка), за отказ в обслуживании клиента, если последний решил не использовать биометрию. Здесь речь о том, что ни один оператор не может вас насильно заставить передать свои биометрические персональные данные (фотографию лица, отпечатки пальцев, скан радужной оболочки глаза и т.д.). Другими словами, данная возможность лишь опция, а не обязательное условие для обслуживания клиента.
Если Оператор ПДн все же настаивает на применении биометрии и отказывается совершить какие-либо юридические действия без её использования, то теперь ему будут грозить новые штрафы:
– для любых должностных лиц и ИП – от 50 тыс. до 100 тыс. руб.;
– для любых компаний – от 200 тыс. до 500 тыс. руб.
Из приведенной информации, можно сделать вывод, что государство все более пристально следит за защитой ПДн. Организациям, осуществляющим обработку ПДн, теперь будет затруднительно игнорировать требования регуляторов в части защиты ПДн. Неизбежно, с течением времени, последует поступательное ужесточение требований и штрафных санкций в сфере защиты ПДн.
Наша рекомендация – если организация является Оператором ПДн, то вопросом защиты ПДн однозначно не стоит пренебрегать. Дешевле, безопаснее и продуктивнее проделать необходимые мероприятия в части защиты ПДн заблаговременно. В этом случае дальнейшая работа будет в рамках правового поля. И в этом случае организация нивелирует возможные негативные последствия при потенциальном общении с регуляторм.
Руководствуясь принципом «голова в песок – ни чего не вижу, ни чего не знаю» – не стоит удивляться огромным штрафам и репрессиям со стороны государственных надзорных органов. Планомерное и заблаговременное решение задачи, всегда происходит проще. Если на пороге уже стоит проверка регулятора, авральная подготовка обойдется вам кратно дороже. При этом качество такой подготовки, по объективным причинам будет кратно хуже.
Если у вас остались вопросы, обязательно напишите или позвоните нам, что бы получить бесплатную консультацию.
Ниже представлены ссылки на основные услуги ООО “ЕЦАС”в части защиты и обработки ПДн:
Берегите свои персональные данные!
