Защита персональных данных

Новые штрафы за нарушение закона о персональных данных: как компаниям избежать рисков на 1,5 млн рублей

Закон о персональных данных действует уже с 2006 года, за это время штрафы за его нарушения поднимались неоднократно. С 23 декабря 2023 года они возросли еще больше — до 1,5 млн рублей. В связи с этим мы решили рассказать, как же компании должны работать с персональными данными, чтобы избежать рисков.
Новые штрафы за нарушение закона о персональных данных: как компаниям избежать рисков на 1,5 млн рублей
Иллюстрация: Вера Ревина/Клерк.ру

Что изменилось в законе о персональных данных в 2023 году

Новые штрафы

Любая компания или ИП обязаны перед обработкой персональных данных получить на это согласие физлица: в письменной форме либо же в форме электронного документы, подписанного ЭЦП. Согласие на обработку персональных данных обязательно должно быть конкретным, предметным, информированным, сознательным и однозначным (ч. 1 ст. 9 закона № 152-ФЗ).

Кроме того, согласие может быть в любой момент отозвано (ст. 9 закона № 152-ФЗ). Тогда оператор обязан прекратить обработку персональных данных и уничтожить те, что ранее собрал. 

Обработка персональных данных без согласия физлица, в том числе и в случаях, когда согласие на обработку было отозвано, является основанием для привлечения организации и ИП к административной ответственности по ч. 2 ст. 13.11 КоАП

С 23 декабря 2023 года вступает в силу закон от 12.12.2023 № 589-ФЗ, который увеличил размер штрафов за обработку персональных данных без согласия.

Было

Стало

Физлицо

от 6000 до 10 000 рублей

от 10 000 до 15 000 рублей

Должностное лицо или ИП

от 20 000 до 40 000 рублей

от 100 000 до 300 000 рублей

Компания

от 30 000 до 150 000 рублей

от 300 000 до 700 000 рублей

Штрафы за повторное нарушение также подняли в разы: 

Было

Стало

Физлицо

от 10 000 до 20 000 рублей

от 15 000 до 30 000 рублей

Должностное лицо 

от 40 000 до 100 000 рублей

от 300 000 до 500 000 рублей

ИП

от 100 000 до 300 000 рублей

от 500 000 до 1 000 000 рублей

Компания

от 300 000 до 500 000 рублей

от 1 000 000 до 1 500 000 рублей

Важно! Компанию и ИП также оштрафуют, даже если согласие будет, но в нем будут отсутствовать обязательные сведения. 

Требования к содержанию согласия на обработку персональных данных установлены в соответствии с приказом Роскомнадзора от 24.02.2021 № 18. Согласие должно содержать не только Ф. И. О. и паспортные данные, но и наименование и адрес оператора, цель обработки данных, перечень обрабатываемых данных, действий с данными, сведения об информационных ресурсах оператора, срок действия согласия и подпись физлица, предоставляющего свои данные.

Если часть требований не учесть при составлении согласия, обработка будет считаться проведенной без согласия, а оператору будет грозить крупный штраф.

Кроме того, появились и новые штрафы за нарушение правил работы с биометрическими персональными данными. С 23 декабря 2023 года вводится в действие новая ст. 13.11.3 КоАП «Нарушение требований в области размещения биометрических персональных данных».

Биометрические персональные данные — это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (ст. 11 закона от 27.07.2006 № 152-ФЗ). Обработкой биометрических персональных данных занимаются банки и МФЦ. Он размещают данные в Единой биометрической системе. Сделать это можно только с письменного согласия физлица. За нарушение банкам и МФЦ грозит штраф по новой статье КоАП.

Штрафы за размещение и обновление персональных данных в Единой биометрической системе без согласия физлица:

  • для должностных лиц банков и МФЦ — от 100 000 до 300 000 рублей;

  • для банков и МФЦ — от 500 000 до 1 000 000 рублей.

Комментарий эксперта

«Всего пару лет назад были популярны финансовые криптопирамиды, и многие граждане оказались их участниками из-за утечек персональных данных. Незаконные действия работодателей и сотрудников привели к тому, что персональные данные попали в руки мошенников, которые оформили на сотрудников этих компаний микрозаймы. О кредитах субъекты персональных данных узнали только тогда, когда их долги достигли нескольких миллионов. При этом у них не было доступа к личным кабинетам, что привело к значительным финансовым потерям граждан. Компании, из которых произошла утечка, поплатились репутацией, также им пришлось выплатить штрафы в Роскомнадзор. 

Эта история может произойти с любой организацией, если не принимать действий по защите персональных данных и не соблюдать законодательство в этой сфере. Нередки случаи, когда кто-то из сотрудников продает базу персональных данных сторонним организациями, в том числе занимающимся незаконной деятельностью, с целью финансового обогащения. 

Особенно аккуратными надо быть компаниям, у которых есть свои интернет-ресурсы, так как в силу алгоритмов работы Роскомнадзора, подобные ресурсы подвергаются первостепенному контролю.

Собственно, очередное повышение штрафов свидетельствует о том, что проблема все еще актуальна. По-прежнему утечкой персональных данных пользуются те или иные мошеннические структуры, что прибавляет работы правоохранительным органам. Поэтому с целью организации внутренней политики страны Роскомнадзор принял решение поднять штрафы, чтобы стимулировать компании тщательнее соблюдать закон о персональных данных».

Ирина Пашкова, эксперт по правовой защите персональных данных Первой Экспертной Бухгалтерии.

Новые требования

Некоторые правила поменялись еще с весны 2023 года, но многие обратили внимание на изменения только после того, как штрафы за нарушения выросли.

Итак, вспомним, что же изменилось с 1 марта 2023 года.

1. Новые требования к оценке вреда в случае утечки персональных данных. 

Оператор обязан оценивать степень вреда, которую нанесет утечка персональных данных их владельцу. С 1 марта 2023 года требования к такой оценке стали конкретными. 

Приказ Роскомнадзора № 178 от 27.10.2022 обязывает операторов организовать комиссию для оценки вреда от утечки персональных данных и результат оформить актом об оценке возможного вреда субъектам персональных данных. 

Всего степеней вреда три: высокая, средняя и низкая. 

Высокая степень присуждается, если у оператора есть:

  • биометрические персданные;

  • сведения личного характера о религии, здоровье, судимостях, национальности, политических взглядах субъекта персональных данных и другие данные особой категории;

  • персональные данные несовершеннолетних;

  • обезличенные персональные данные;

  • персданные, которые обрабатывает иностранное лицо;

  • персданные, которые собирают иностранные базы данных за пределами России.

Средняя степень присуждается, если у оператора есть:

  • персональные данные, которые распространяются на сайте компании и которые может увидеть неограниченный круг лиц;

  • персданные, цель использования которых изменилась;

  • базы данных другого оператора, которые он использует для продвижения товаров или услуг;

  • персданные пользователей, которые они оставляют на сайте компании с согласием на использование, но которые не проверены на подлинность;

  • персданные, которые получены с согласием на обработку по положению, в котором указаны разные, несовместимые друг с другом, цели использования.

Низкая степень присуждается оператором, если:

  • персональные данные хранятся в общедоступном архиве, например, справочнике или адресной книге, с согласия субъекта;

  • ответственный за обработку персональных данных сотрудник не входит в постоянный штат.

Формы акта о степени вреда не утверждена, поэтому оператор персональных данных составляет ее в свободной форме. Однако существуют требования к этому документу (приказ №178) — он обязательно должен содержать: 

  • наименование и адрес оператора либо его Ф. И. О. и адрес;

  • дату создания акта;

  • дату проведения оценки вреда;

  • Ф. И. О. и должность того, кто проводил оценку, его подпись;

  • степень вреда.

Акт можно составить на бумаге либо в электронном формате, подписав его ЭЦП.

2. Уведомление о намерении осуществить трансграничную передачу персональных данных.

Организации и ИП, которые собираются передавать персданные за границу, должны заранее подать уведомление об этом в Роскомнадзор. После этого Роскомнадзор в течение 10 дней примет решение, разрешить или запретить такую передачу.

3. Уведомление об изменениях в персональных данных, содержащихся в уведомлении о намерении осуществлять обработку персональных данных.

Если персональные данные, по которым оператор уведомлял Роскомнадзор, изменились, он должен уведомить об этом орган государственной власти до 15 числа месяца, следующего за месяцем, в котором произошли изменения.

4. Акт об уничтожении персданных.

Уничтожение персональных данных оператор должен подтвердить актом и выгрузкой из журнала регистрации событий, если он обрабатывал персданные в электронном виде.

Хотите защитить свой бизнес от штрафов на 1,5 млн от Роскомнадзора?

Возьмем на себя все заботы о персональных данных и защитим от претензий Роскомнадзора

Оставьте заявку, мы перезвоним:

Принимаю оферту и даю согласие на сбор персональных данных и их распространение

Что такое персональные данные

Закон №152 «О персональных данных» дает следующее определение:

Персональные данные (ПДн) — это любая информация, относящаяся к прямо или косвенно к определенному физическому лицу.

Простыми словами, персональные данные — это Ф. И. О., паспортные данные, номера телефона, адреса электронных почт, адреса проживания, фотографии и т.д. Однако если данные не относятся к конкретному человеку, то персональными они не являются. Так, просто номер телефона, без Ф. И. О. его владельца, ПДн не будет, а вот если в данных есть сведения, кому этот номер принадлежит, то это уже ПДн. По персональным данным можно идентифицировать конкретного человека.

Роскомнадзор относит к категории персональных данных:

  • паспортные данные,

  • СНИЛС,

  • ИНН,

  • адрес регистрации,

  • номер телефона,

  • фотографии,

  • адрес электронной почты,

  • должность,

  • национальность,

  • политические, философские и религиозные взгляды,

  • информацию о здоровье, 

  • отпечатки пальцев и образцы голоса,

  • информацию о судимостях,

  • ссылки на личные страницы,

  • cookies и т.д.

Перечень открытый, так как в зависимости от контекста те или иные данные будут относится с персональным или нет — в зависимости от того, можно ли по ним идентифицировать личность человека. Если по данным можно идентифицировать человека, то это персональные данные. Если для идентификации нужны дополнительные сведения — это уже не персональные данные.

Кто такой субъект и оператор персональных данных

Субъект персональных данных — физическое лицо, которое прямо или косвенно определено с помощью персональных данных.

Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных (п. 2 ст. 3 ФЗ №152).

Простыми словами, субъект — тот, чьи данные обрабатываются, а оператор — тот, кто эту обработку осуществляет. 

Например, если вы запросили у сотрудника данные об образовании при трудоустройстве, то сами данные — это ПДн, сотрудник — субъект ПДн, а вы — оператор ПДн. 

Любой бизнес является оператором персональных данных. Если вы не уверены, касается ли вас ФЗ №152 «О персональных данных», вы можете проверить себя, ответив на следующие вопросы:

  • У вас есть сотрудники?

  • Вы сотрудничаете с самозанятыми? 

  • Собираете Ф. И. О. и номера телефонов клиентов на сайте?

  • Для регистрации на вашем сайте нужны Ф.И,О. и почта?

  • Продаете по холодной базе? 

  • Ищите сотрудников и собираете резюме?

  • Ведете CRM-систему с базой клиентов? 

  • У вас есть фото сотрудников на сайте? Может быть размещаете фото с производства в соцсетях и на них есть лица ваших сотрудников? Публикуете статьи в СМИ и указываете фамилию и имя эксперта из вашей компании? 

Думаем, общий смысл уже понятен. Если вы хотя бы один раз ответили «да», вы оператор персональных данных. А значит, вы должны соблюдать закон №152 «О персональных данных».

Если вы все еще не уверены, являетесь ли оператором персональных данных — проконсультируйтесь с нашим юристом.

Что такое обработка ПДн

Это сбор, запись, систематизация, анализ, хранение, передача, уничтожение персональных данных, т.е. любое действие с персональными данными. Вы запросили имя и номер телефона на сайте — вы стали оператором и занимаетесь обработкой персональных данных, взяли документы для трудоустройства сотрудника — обрабатываете персданные и т.д.

Обработка бывает автоматизированной, смешанной и неавтоматизированной, то есть происходит вручную.

На обработку персональных данных обязательно нужно получать письменное согласие физлица. В согласии должны быть четко прописаны цели обработки ПДн, например, для рассылки полезных статей редакции или для анализа потребительского поведения на сайте компании. 

Важно! В зависимости от целей обработки собирать можно только определенные данные. Например, при трудоустройстве сотрудника работодатель не имеет права запрашивать справку о семейном положении или отсутствии беременности.

Что должна сделать компания

Когда обрабатывает персональные сотрудников

Шаг 1. Убедитесь, что вы числитесь в реестре операторов Роскомнадзора.

Если нет — срочно подайте уведомление в Роскомнадзор о том, что являетесь оператором персональных данных и собираетесь осуществлять их обработку. В идеале это уведомление необходимо подать до того, как началась обработка, то есть еще до сбора персональных данных.

Шаг 2. Создайте и внедрите систему информирования Роскомнадзора об инцидентах по утечке персданных.

Также разработайте порядок расследования таких инцидентов внутри компании.

Шаг 3. Актуализируйте документы о защите персональных данных.

Проверьте, соответствуют ли положение о персональных данных и политика защиты и обработки персональных данных всем требованиям законодательства. 

Шаг 4. Назначьте ответственного по работе с персональными данными

Чаще всего в компании этим сотрудником является кадровик.

Шаг 5. Если еще не — возьмите согласие сотрудника на обработку персональных данных.

Как мы уже писали выше, обработка персданных может происходить только после получения письменного согласия физлица на это. Причем согласие должно быть написано четко, ясно, предметно и конкретно: кому и для чего человек дает согласие на обработку. Общие формулировки по типу «согласен на любую обработку персональных данных с целью ведения бизнеса на неопределенный срок» контролирующий орган не примет.

Когда обрабатывает персональные данные клиентов через интернет

Шаг 5. Актуализируйте документы на сайте.

Проверьте, соответствуют ли политика обработки персональных данных посетителей сайта всем требованиям законодательства. 

Шаг 6. Создайте регламент ответов на запросы посетителей сайта.

Пользователи могут запрашивать у владельца сайта, для каких целей собираются их данные, как они обрабатываются, где хранятся и т.д. У компании есть месяц, чтобы ответить на такое обращение. 

Также пользователь имеет право в любой момент потребовать удалить персональные данные о нем из базы.

Шаг 7. Получите согласие на обработку персональных данных пользователей сайта.

Не забудьте разместить на странице сайта поле для галочки о согласии пользователя на обработку данных.

Хранение и защита персональных данных

Персональные данные могут хранится на серверах, облаке, жестких дисках, на бумаге в сейфе — все это называется хранение персональных данных, и к нему много требований:

  • Хранить данные нужно столько, сколько требуется для их обработки.

  • По данным должно быть возможно определить их субъекта.

  • Если данных не хватает, оператор должен их уточнить. 

  • Персональные данные, собранные для разных целей, должны храниться отдельно.

  • После обработки ПДн должны быть уничтожены или обезличены.

Подробности правил хранения прописаны в 149-ФЗ и 152-ФЗ

За защиту всегда отвечает оператор, даже если привлекает для обработки сторонних лиц. Места хранения персональных данных должны быть хорошо защищены, т.е. отвечать требованиям уровня защиты. Всего уровней защиты четвертые, а требования к ним прописаны приказом ФСТЭК от 2 июня 2020 г. № 76. Перечислим основные:

  • серверы должны быть установлены в защищенном месте;

  • к серверам должен быть ограниченный доступ;

  • должно быть запрещено прямое подключение к серверам;

  • доступ к данным должен быть только у тех, у кого есть на это права;

  • должно быть установлено ПО, которое защищает от угроз, например, антивирус. 

Порядок работы, в том числе меры защиты персональных данных, может быть прописан в политике конфиденциальности. Там можно прописать подробно, как хранить, защищать, уничтожать персональные данные. Также можно составить отдельную инструкцию о порядке работы сотрудников с персональными данными в компании.

Уничтожение

Уничтожать ПДн необходимо после того, как все цели обработки были достигнуты. Или после того, как субъект персональных данных потребовал их уничтожить. 

Чтобы документально зафиксировать уничтожение, необходимо издать акт и подтвердить уничтожение выгрузкой из журнала регистрации событий, если обрабатывали персданные в электронном виде.

Чек-лист: 24 документа по персональным данным, которые должны быть в компании

Для сотрудников 

  1. Уведомление о намерении осуществлять обработку персональных данных.

  2. Положение о работе с персональными данными работников. 

  3. Политика защиты и обработки персональных данных. 

  4. Приказ о назначении ответственного по работе с персональными данными. 

  5. Согласие сотрудника на обработку персональных данных. 

  6. Уведомление Роскомнадзора об осуществлении трансграничной передачи персональных данных. 

  7. Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных.

  8. Акт об оценке возможного вреда субъектам персональных данных.

  9. Регламент допуска работников к обработке персональных данных. 

  10. Обязательство о неразглашении персональных данных работников  

  11. Дополнительное соглашение о допуске к персональным данным. 

  12. Уведомление Роскомнадзора о намерении осуществить трансграничную передачу персональных данных. 

  13. Согласие на получение персональных данных у третьих лиц. 

  14. Согласие сотрудника на распространение его персональных данных.

  15. Согласие на обработку биометрических персональных данных. 

  16. Акт об уничтожении персональных данных. 

  17. Выгрузка из журнала регистрации событий в информационной системе персональных данных. 

  18. Уведомление Роскомнадзора об уничтожении персональных данных сотрудника. 

  19. Ответ на запрос Роскомнадзора о дополнении неполных сведений в уведомлении о трансграничной передаче персданных. 

  20. Ответ на запрос Роскомнадзора об исправлении неточных сведений об организации в уведомлении о трансграничной передаче персданных. 

Для клиентов в интернете

21. Политика обработки персональных данных посетителей сайта.

22. Регламент ответов на запросы посетителей сайта.

23. Согласие на обработку персональных данных пользователей сайта.

24. Поручение на обработку персональных данных контрагенту.

Настроим работу с персональными данными с нуля

Проведем аудит, подготовим недостающие документы и подадим уведомления в Роскомнадзор

Реклама: ООО «Центр Бухгалтерских Решений», ИНН 5902063551, erid: LjN8KWwZC

Начать дискуссию