Новые штрафы за нарушение закона о персональных данных

Новые штрафы за нарушение закона о персональных данных

Закон о персональных данных действует с 2006 года, за это время штрафы за его нарушения поднимались неоднократно, но с 23 декабря 2023 года штрафы за нарушение закона о персональных данных возросли еще больше — до 1,5 млн рублей. В связи с этим мы решили рассказать, как же компании должны работать с персональными данными, чтобы избежать рисков.

Что изменилось в законе о персональных данных в 2023 году

Новые штрафы

Любая компания или ИП обязаны перед обработкой персональных данных получить на это согласие физлица: в письменной форме либо же в форме электронного документы, подписанного ЭЦП. Согласие на обработку персональных данных обязательно должно быть конкретным, предметным, информированным, сознательным и однозначным (ч. 1 ст. 9 закона N 152-ФЗ).

Кроме того, согласие может быть в любой момент отозвано (ст. 9 закона N 152-ФЗ). Тогда оператор обязан прекратить обработку персональных данных и уничтожить те, что ранее собрал.

Обработка персональных данных без согласия физлица, в том числе и в случаях, когда согласие на обработку было отозвано, является основанием для привлечения организации и ИП к административной ответственности по ч. 2 ст. 13.11 КоАП РФ.

С 23 декабря 2023 года вступает в силу закон от 12.12.2023 N 589-ФЗ, который увеличил размер штрафов за обработку персональных данных без согласия.

Таблица. Штрафы за нарушение закона о персональных

Кто штрафуетсяБылоСтало
Физлицоот 6 000 до 10 000 руб.от 10 000 до 15 000 руб.
Должностное лицо или ИПот 20 000 до 40 000 руб.от 100 000 до 300 000 руб.
Компанияот 30 000 до 150 000 руб.от 300 000 до 700 000 руб.

Таблица. Штрафы за повторное нарушение закона о персональных

Кто штрафуетсяБылоСтало
Физлицоот 10 000 до 20 000 руб.от 15 000 до 30 000 руб.
Должностное лицоот 40 000 до 100 000 руб.от 300 000 до 500 000 руб.
ИПот 100 000 до 300 000 руб.от 500 000 до 1 000 000 рублей
Компанияот 300 000 до 500 000 руб.от 1 000 000 до 1 500 000 руб.

Важно! Компанию и ИП также оштрафуют, даже если согласие будет, но в нем будут отсутствовать обязательные сведения.

Требования к содержанию согласия на обработку персональных данных установлены в соответствии с приказом Роскомнадзора от 24.02.2021 N 18. Согласие должно содержать не только Ф.И.О. и паспортные данные, но и наименование и адрес оператора, цель обработки данных, перечень обрабатываемых данных, действий с данными, сведения об информационных ресурсах оператора, срок действия согласия и подпись физлица, предоставляющего свои данные.

Если часть требований не учесть при составлении согласия, обработка будет считаться проведенной без согласия, а оператору будет грозить крупный штраф.

Кроме того, появились и новые штрафы за нарушение правил работы с биометрическими персональными данными. С 23 декабря 2023 года вводится в действие новая ст. 13.11.3 КоАП РФ «Нарушение требований в области размещения биометрических персональных данных».

Биометрические персональные данные — это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (ст. 11 закона от 27.07.2006 N 152-ФЗ). Обработкой биометрических персональных данных занимаются банки и МФЦ. Он размещают данные в Единой биометрической системе. Сделать это можно только с письменного согласия физлица. За нарушение банкам и МФЦ грозит штраф по новой статье КоАП РФ.

Штрафы за размещение и обновление персональных данных в Единой биометрической системе без согласия физлица:

  • для должностных лиц банков и МФЦ — от 100 000 до 300 000 руб.;
  • для банков и МФЦ — от 500 000 до 1 000 000 руб.

Новые требования

Некоторые правила поменялись еще с весны 2023 года, но многие обратили внимание на изменения только после того, как штрафы за нарушения выросли.

Итак, вспомним, что же изменилось с 1 марта 2023 года.

1. Новые требования к оценке вреда в случае утечки персональных данных

Оператор обязан оценивать степень вреда, которую нанесет утечка персональных данных их владельцу. С 1 марта 2023 года требования к такой оценке стали конкретными.

Приказ Роскомнадзора N 178 от 27.10.2022 обязывает операторов организовать комиссию для оценки вреда от утечки персональных данных и результат оформить актом об оценке возможного вреда субъектам персональных данных.

Всего степеней вреда три: высокая, средняя и низкая.

Высокая степень присуждается, если у оператора есть:

  • биометрические персональные данные;
  • сведения личного характера о религии, здоровье, судимостях, национальности, политических взглядах субъекта персональных данных и другие данные особой категории;
  • персональные данные несовершеннолетних;
  • обезличенные персональные данные;
  • персональные данные, которые обрабатывает иностранное лицо;
  • персональные данные, которые собирают иностранные базы данных за пределами России.

Средняя степень присуждается, если у оператора есть:

  • персональные данные, которые распространяются на сайте компании и которые может увидеть неограниченный круг лиц;
  • персональные данные, цель использования которых изменилась;
  • базы данных другого оператора, которые он использует для продвижения товаров или услуг;
  • персональные данные пользователей, которые они оставляют на сайте компании с согласием на использование, но которые не проверены на подлинность;
  • персональные данные, которые получены с согласием на обработку по положению, в котором указаны разные, несовместимые друг с другом, цели использования.

Низкая степень присуждается оператором, если:

  • персональные данные хранятся в общедоступном архиве, например, справочнике или адресной книге, с согласия субъекта;
  • ответственный за обработку персональных данных сотрудник не входит в постоянный штат.

Формы акта о степени вреда не утверждена, поэтому оператор персональных данных составляет ее в свободной форме. Однако существуют требования к этому документу (приказ N178) — он обязательно должен содержать:

  • наименование и адрес оператора либо его Ф.И.О. и адрес;
  • дату создания акта;
  • дату проведения оценки вреда;
  • Ф.И.О. и должность того, кто проводил оценку, его подпись;
  • степень вреда.

Акт можно составить на бумаге либо в электронном формате, подписав его ЭЦП.

Скачать образец акта об оценке возможного вреда субъектам персональных данных

Скачать бланк акта об оценке возможного вреда субъектам персональных данных

2. Уведомление о намерении осуществить трансграничную передачу персональных данных

Организации и ИП, которые собираются передавать персональные данные за границу, должны заранее подать уведомление об этом в Роскомнадзор. После этого Роскомнадзор в течение 10 дней примет решение, разрешить или запретить такую передачу.

Скачать пример уведомления о трансграничной передаче персональных данных

Скачать бланк уведомления о трансграничной передаче персональных данных

3. Уведомление об изменениях в персональных данных, содержащихся в уведомлении о намерении осуществлять обработку персональных данных

Если персональные данные, по которым оператор уведомлял Роскомнадзор, изменились, он должен уведомить об этом орган государственной власти до 15 числа месяца, следующего за месяцем, в котором произошли изменения.

Скачать пример уведомления об изменении сведений

Скачать бланк уведомления об изменении сведений

4. Акт об уничтожении персональных данных

Уничтожение персональных данных оператор должен подтвердить актом и выгрузкой из журнала регистрации событий, если он обрабатывал персональные данные в электронном виде.

Скачать образец акта об уничтожении персональных данных

Скачать бланк акта об уничтожении персданных

Скачать образец выгрузки из журнала регистрации событий

Что такое персональные данные

Закон N 152-ФЗ «О персональных данных» дает следующее определение:

Персональные данные (ПДн) — это любая информация, относящаяся к прямо или косвенно к определенному физическому лицу.

Простыми словами, персональные данные — это Ф.И.О., паспортные данные, номера телефона, адреса электронных почт, адреса проживания, фотографии и т.д. Однако если данные не относятся к конкретному человеку, то персональными они не являются. Так, просто номер телефона, без Ф.И.О. его владельца, ПДн не будет, а вот если в данных есть сведения, кому этот номер принадлежит, то это уже ПДн. По персональным данным можно идентифицировать конкретного человека.

Роскомнадзор относит к категории персональных данных:

  • паспортные данные;
  • СНИЛС;
  • ИНН;
  • адрес регистрации;
  • номер телефона;
  • фотографии;
  • адрес электронной почты;
  • должность;
  • национальность;
  • политические, философские и религиозные взгляды;
  • информацию о здоровье;
  • отпечатки пальцев и образцы голоса;
  • информацию о судимостях;
  • ссылки на личные страницы;
  • cookies и т.д.

Перечень открытый, так как в зависимости от контекста те или иные данные будут относится с персональным или нет — в зависимости от того, можно ли по ним идентифицировать личность человека. Если по данным можно идентифицировать человека, то это персональные данные. Если для идентификации нужны дополнительные сведения — это уже не персональные данные.

Кто такой субъект и оператор персональных данных

Субъект персональных данных — физическое лицо, которое прямо или косвенно определено с помощью персональных данных.

Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных (п. 2 ст. 3 ФЗ N 152-ФЗ).

Простыми словами, субъект — тот, чьи данные обрабатываются, а оператор — тот, кто эту обработку осуществляет.

Например, если вы запросили у сотрудника данные об образовании при трудоустройстве, то сами данные — это ПДн, сотрудник — субъект ПДн, а вы — оператор ПДн.

Любой бизнес является оператором персональных данных. Если вы не уверены, касается ли вас закон N 152-ФЗ «О персональных данных», вы можете проверить себя, ответив на следующие вопросы:

  • У вас есть сотрудники?
  • Вы сотрудничаете с самозанятыми?
  • Собираете Ф.И.О. и номера телефонов клиентов на сайте?
  • Для регистрации на вашем сайте нужны Ф.И.О. и почта?
  • Продаете по холодной базе?
  • Ищите сотрудников и собираете резюме?
  • Ведете CRM-систему с базой клиентов?
  • У вас есть фото сотрудников на сайте? Может быть размещаете фото с производства в соцсетях и на них есть лица ваших сотрудников? Публикуете статьи в СМИ и указываете фамилию и имя эксперта из вашей компании?

Думаем, общий смысл уже понятен. Если вы хотя бы один раз ответили «да», вы оператор персональных данных. А значит, вы должны соблюдать закон N 152-ФЗ «О персональных данных».

Если вы все еще не уверены, являетесь ли оператором персональных данных — проконсультируйтесь с нашим юристом.

Что такое обработка ПДн

Это сбор, запись, систематизация, анализ, хранение, передача, уничтожение персональных данных, т.е. любое действие с персональными данными. Вы запросили имя и номер телефона на сайте — вы стали оператором и занимаетесь обработкой персональных данных, взяли документы для трудоустройства сотрудника — обрабатываете персональные данные и т.д.

Обработка бывает автоматизированной, смешанной и неавтоматизированной, то есть происходит вручную.

На обработку персональных данных обязательно нужно получать письменное согласие физлица. В согласии должны быть четко прописаны цели обработки ПДн, например, для рассылки полезных статей редакции или для анализа потребительского поведения на сайте компании.

Важно! В зависимости от целей обработки собирать можно только определенные данные. Например, при трудоустройстве сотрудника работодатель не имеет права запрашивать справку о семейном положении или отсутствии беременности.

Что должна сделать компания

Когда обрабатывает персональные сотрудников

Шаг 1. Убедитесь, что вы числитесь в реестре операторов Роскомнадзора

Если нет — срочно подайте уведомление в Роскомнадзор о том, что являетесь оператором персональных данных и собираетесь осуществлять их обработку. В идеале это уведомление необходимо подать до того, как началась обработка, то есть еще до сбора персональных данных.

Скачать пример уведомления о намерении осуществлять обработку персональных данных

Скачать бланк уведомления о намерении осуществлять обработку персональных данных

Шаг 2. Создайте и внедрите систему информирования Роскомнадзора об инцидентах по утечке персональных данных

Также разработайте порядок расследования таких инцидентов внутри компании.

Шаг 3. Актуализируйте документы о защите персональных данных

Проверьте, соответствуют ли положение о персональных данных и политика защиты и обработки персональных данных всем требованиям законодательства.

Скачать пример положения о работе с персональными данными сотрудников

Скачать пример политики защиты и обработки персональных данных

Шаг 4. Назначьте ответственного по работе с персональными данными

Чаще всего в компании этим сотрудником является кадровик.

Скачать образец приказа о назначении ответственного по работе с персональными данными

Скачать бланк приказа о назначении ответственного по работе с персональными данными

Шаг 5. Если еще не — возьмите согласие сотрудника на обработку персональных данных

Как мы уже писали выше, обработка персональных данных может происходить только после получения письменного согласия физлица на это. Причем согласие должно быть написано четко, ясно, предметно и конкретно: кому и для чего человек дает согласие на обработку. Общие формулировки по типу «согласен на любую обработку персональных данных с целью ведения бизнеса на неопределенный срок» контролирующий орган не примет.

Скачать образец согласия сотрудника на обработку персональных данных

Скачать бланк согласия сотрудника на обработку персональных данных

Когда обрабатывает персональные данные клиентов через интернет

Шаг 1. Актуализируйте документы на сайте

Проверьте, соответствуют ли политика обработки персональных данных посетителей сайта всем требованиям законодательства.

Шаг 2. Создайте регламент ответов на запросы посетителей сайта

Пользователи могут запрашивать у владельца сайта, для каких целей собираются их данные, как они обрабатываются, где хранятся и т.д. У компании есть месяц, чтобы ответить на такое обращение.

Также пользователь имеет право в любой момент потребовать удалить персональные данные о нем из базы.

Шаг 3. Получите согласие на обработку персональных данных пользователей сайта

Не забудьте разместить на странице сайта поле для галочки о согласии пользователя на обработку данных.

Хранение и защита персональных данных

Персональные данные могут хранится на серверах, облаке, жестких дисках, на бумаге в сейфе — все это называется хранение персональных данных, и к нему много требований:

  • Хранить данные нужно столько, сколько требуется для их обработки.
  • По данным должно быть возможно определить их субъекта.
  • Если данных не хватает, оператор должен их уточнить.
  • Персональные данные, собранные для разных целей, должны храниться отдельно.
  • После обработки ПДн должны быть уничтожены или обезличены.

Подробности правил хранения прописаны в законе N 149-ФЗ «Об информации, информационных технологиях и о защите информации» и законе N 152-ФЗ «О персональных данных».

За защиту всегда отвечает оператор, даже если привлекает для обработки сторонних лиц. Места хранения персональных данных должны быть хорошо защищены, т.е. отвечать требованиям уровня защиты. Всего уровней защиты четвертые, а требования к ним утв. приказом ФСТЭК России от 14.04.2023 N 64. Перечислим основные:

  • серверы должны быть установлены в защищенном месте;
  • к серверам должен быть ограниченный доступ;
  • должно быть запрещено прямое подключение к серверам;
  • доступ к данным должен быть только у тех, у кого есть на это права;
  • должно быть установлено ПО, которое защищает от угроз, например, антивирус.

Порядок работы, в том числе меры защиты персональных данных, может быть прописан в политике конфиденциальности. Там можно прописать подробно, как хранить, защищать, уничтожать персональные данные. Также можно составить отдельную инструкцию о порядке работы сотрудников с персональными данными в компании.

Уничтожение

Уничтожать ПДн необходимо после того, как все цели обработки были достигнуты. Или после того, как субъект персональных данных потребовал их уничтожить.

Чтобы документально зафиксировать уничтожение, необходимо издать акт и подтвердить уничтожение выгрузкой из журнала регистрации событий, если обрабатывали персональные данные в электронном виде.

Скачать образец акта об уничтожении персональных данных

Скачать бланк акта об уничтожении персданных

Скачать образец выгрузки из журнала регистрации событий

Документы по персональным данным, которые должны быть в компании

Для сотрудников

  1. Уведомление о намерении осуществлять обработку персональных данных.
  2. Положение о работе с персональными данными работников.
  3. Политика защиты и обработки персональных данных.
  4. Приказ о назначении ответственного по работе с персональными данными.
  5. Согласие сотрудника на обработку персональных данных.
  6. Уведомление Роскомнадзора об осуществлении трансграничной передачи персональных данных.
  7. Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных.
  8. Акт об оценке возможного вреда субъектам персональных данных.
  9. Регламент допуска работников к обработке персональных данных.
  10. Обязательство о неразглашении персональных данных работников.
  11. Дополнительное соглашение о допуске к персональным данным.
  12. Уведомление Роскомнадзора о намерении осуществить трансграничную передачу персональных данных.
  13. Согласие на получение персональных данных у третьих лиц.
  14. Согласие сотрудника на распространение его персональных данных.
  15. Согласие на обработку биометрических персональных данных.
  16. Акт об уничтожении персональных данных.
  17. Выгрузка из журнала регистрации событий в информационной системе персональных данных.
  18. Уведомление Роскомнадзора об уничтожении персональных данных сотрудника.
  19. Ответ на запрос Роскомнадзора о дополнении неполных сведений в уведомлении о трансграничной передаче персональных данных.
  20. Ответ на запрос Роскомнадзора об исправлении неточных сведений об организации в уведомлении о трансграничной передаче персональных данных.

Для клиентов в интернете

  1. Политика обработки персональных данных посетителей сайта.
  2. Регламент ответов на запросы посетителей сайта.
  3. Согласие на обработку персональных данных пользователей сайта.
  4. Поручение на обработку персональных данных контрагенту.

В своих статьях мы используем только первоисточники: материалы и обзоры справочной правовой системы «КонсультантПлюс», а также материалы и обзоры сайтов ФНС России, Социальный фонд России, Банка России, официального канала Минтруда России, Федеральной службы судебных приставов, Новости с сайта kdelo.ru, Онлайн журнала «Главбух», сайта nalog-nalog.ru, сайта klerk.ru, а также материалы и обзоры из их телеграм-каналов.

Владельцам бизнеса

Штрафы за нарушение закона о персональных данных возросли. Защитите свой бизнес от штрафов на 1,5 млн от Роскомнадзора.
Возьмем на себя все заботы о персональных данных и защитим от претензий Роскомнадзора, настроим работу с персональными данными с нуля.
Проведем аудит, подготовим недостающие документы и подадим уведомления в Роскомнадзор.

ООО «Аврора Консалт» — команда аттестованных специалистов, которая готова взять на себя: бухгалтерский, налоговый и кадровый учёт, составление отчётности, ведение 1С, расчёт заработной платы, а также юридическую поддержку. Если бухгалтерский и налоговый учёт, уплата и возврат налогов вызывают у вас затруднения, то мы подхватим его на лету.

Заключайте с нами Договор на оказание Бухгалтерских услуг в любом формате:

В настоящее время ООО «Аврора Консалт» заключает договоры аутсорсинга бухгалтерских услуг с ООО, ИП, ТСЖ, ТСН и ЖСК зарегистрированными и ведущими свою деятельность на территории Санкт-Петербурга и Ленинградской области.

Отзывы о нашей компании вы можете прочитать на странице Отзывы и на соответствующих сервисах Google и Яндекса по ссылкам на странице Отзывов.

Для заключения договора проводится предварительная встреча в офисе вашей или нашей компании, по договорённости достигнутой накануне.

Все возникающие вопросы вы можете задать, связавшись с нами любым удобным для вас способом: позвонить по телефону (812) 209-02-00, воспользоваться альтернативными способами связи, например, мессенджерами:

или оставить заявку в чате.

Вы можете поделиться этой новостью с друзьями
Мы используем файлы cookie для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием файлов cookie.
Принять