Очень дорогие персональные данные: 18 млн рублей за ошибку

Поговорим сегодня о свеженьком, только подписанном президентом федеральном законе, который наверняка вызывает у вас если не восторг, то какие-нибудь физические реакции.

Добрый день, друзья.

Поговорим сегодня о свеженьком, только подписанном президентом федеральном законе, который наверняка вызывает у вас если не восторг, то какие-нибудь физические реакции. Итак, Федеральный закон от 02.12.2019 №405-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации».

Что же Владимир Владимирович подписал? В какие отдельные законодательные акты РФ будут внесены изменения?

Первый законодательный акт – это №152-ФЗ от 26 июля 2006 года «О персональных данных». Что такое персональные данные, вы знаете, но давайте немножко повторим эти моменты. Итак, «персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Например, номер телефона, вес, рост, группа крови, адрес проживания, ИНН, биометрические данные, день рождения и т. д.

А кто такой оператор персональных данных? Оператором персональных данных является «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными». То есть вы, будучи физлицом, тоже являетесь оператором, потому что у вас в мобильном телефоне есть персональные данные. Например, я кому-то из вас давал свой номер телефона, адрес электронной почты, соответственно, мои персональные данные у вас уже есть. Поэтому вы являетесь тоже оператором персональных данных.

Вынужден разъяснять вам все эти вещи, чтобы вы потом поняли всю глубину творческой мысли нашего президента, подписавшего этот закон. Всю широту его души, всю его заботу о вас, дорогие мои. Ст. 18 №152-ФЗ называется «Обязанности оператора при сборе персональных данных». То есть я и вы – все мы тоже являемся операторами. Плюс вы как работодатель являетесь оператором, и ваша организация тоже является оператором. Итак, «при сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона.

Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных;

5) источник получения персональных данных».

То есть, если вы заселяетесь в гостиницу и отказываетесь предоставить свои данные, вас туда не поселят.

 Не буду вас путать этой статьей, в ней очень много перекрестных ссылок. Но идея довольно проста:

  • во-первых, оператор персональных данных должен получить письменное разрешение на хранение и обработку персональных данных, если берет их у третьих лиц;
  • во-вторых, «при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации…»

Также КоАП дополнится ч. 8 и ч. 9 ст. 13.1: «Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, – влечет наложение административного штрафа…»

  • Физлица – от 30 тысяч до 50 тысяч рублей;
  • Должностные лица – от 100 тысяч до 200 тысяч рублей;
  • Юрлица – от 1 млн до 6 млн рублей.

«Повторное совершение административного правонарушения, предусмотренного частью 8 настоящей статьи, – влечет наложение административного штрафа на граждан в размере от пятидесяти тысяч до ста тысяч рублей; на должностных лиц – от пятисот тысяч до восьмисот тысяч рублей; на юридических лиц – от шести миллионов до восемнадцати миллионов рублей».

И, внимание, ИП несут административную ответственность, как юрлица, а соответственно их будут штрафовать от 6 до 18 млн рублей. Я сейчас еще кое-что скажу, а вы не забудьте это прокомментировать.

Мне кажется, это хороший способ уничтожить практически любого ИП-шника и любую организацию. Я, конечно, когда этот закон был еще в законопроекте, написал всем своим директорам: «Блин, делайте, что хотите, но чтобы все было идеально в части, касающейся персональных данных». Если честно, у меня есть какое-то опасение. А вдруг мы где-нибудь что-то недовыполним? Потому что если моя организация что-то недовыполнит в части, касающейся сбора, обработки и хранения персональных данных через телекоммуникационную сеть Интернет – мы банкроты. Сразу. Ну, какие 18 миллионов? Я офис тогда закрою и все, бизнес на этом будет закончен! Я не в состоянии заплатить 18 млн рублей, понимаете? Одна организация – 18 млн рублей, другая моя организация – 18 млн рублей, третья – 18 млн рублей, ну, нет у меня 54 млн рублей! Может быть, у вас есть?

Дальше могу продолжить, но не знаю, стоит ли… Потому что, согласно ст. 13.31 КоАП максимальное наказание для операторов, пересылающих почту, сообщения и прочее, – штраф до 6 млн рублей, если он начал работу, не уведомив государство. 

У меня вот какой вопрос, помогите, пожалуйста, разобраться: нет ли такого, что у страха глаза велики? Я сейчас о себе говорю. Потому что, по моим ощущениям, это область хранения, обработки, учета, систематизации, погрузки, выгрузки и так далее, всех этих персональных данных не имеет четких границ, и из-за этого под санкции может попасть чуть ли не каждый. Было бы желание со стороны государства докопаться. Вот мне так кажется, но, может быть, я ошибаюсь. Наверняка у кого-то из вас намного больше опыта в хранении, обработке всех этих персональных данных, и, может быть, вы понимаете, где эти границы? Может быть, вы скажете: «Да не, на самом деле есть четкие границы. Если ты делаешь вот так, никто до тебя докопаться не сможет, и никто тебе 18-миллионный штраф не припаяет». Если такие опытные ребята среди вас есть, напишите в комментариях свои контактные телефоны, я вас готов прорекламировать. Давайте сделаем миру бизнеса хорошо.

Записаться на семинар

Спасибо и удачи в делах.

 

Комментарии

5
  • Ян

    А если наш НЭСК присылает мне чужие(!) квитанции, причем ни я, ни "абонент с квитанции" не давали согласия высылать его квитанцию мне, это тоже будет нарушением? :)