Увеличение размера штрафа
В качестве наиболее важных изменений, вносимых данным законом, мы хотели бы отметить следующие:Увеличение штрафов за обработку персональных данных без согласия субъекта
Согласно принятым поправкам, существенно увеличиваются штрафы за обработку персональных данных субъекта персональных, данных без его согласия, которое в соответствии с законом должно быть выдано в письменной форме (например, при обработке биометрических персональных данных, персональных данных специальных категорий, при обработке персональных данных работников, когда необходимо сообщить их третьей стороне) или обработку на основании такого письменного согласия, оформленного с нарушением требований к составу сведений в данном согласии.
В новой редакции штрафы за данное нарушение составляют: для граждан — в размере от 10 000 до 15 000 рублей; должностных лиц ‒ от 100 000 до 300 000 рублей; юридических лиц — от 300 000 до 700 000 рублей.
За повторное нарушение штраф уже составит для граждан — от 15 000 до 30 000 рублей; должностных лиц ‒ от 300 000 до 500 000 рублей; индивидуальных предпринимателей — от 500 000 до 1 000 000 рублей; юридических лиц — от 1 000 000 до 1 500 000 рублей.
Нельзя не заметить, что по сравнению с текущей редакцией ч. 2 и 2.1 ст. 13.11 КоАП РФ штрафы за указанные нарушения вырастут более чем в 3 раза.
Новые штрафы за нарушение требований в области размещения биометрических персональных данныхСведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность
КоАП РФ также дополняется новой статьей 13.11.3, в соответствии с которой размещение и обновление банками, многофункциональными центрами предоставления государственных и муниципальных услуг, иными организациями в случаях, определенных федеральными законами, биометрических персональных данных субъекта персональных данных в ЕБС с нарушением установленных законодательством требований влечет наложение административного штрафа для:
- должностных лиц в размере от 100 000 до 300 000 рублей;
- для юридических лиц ‒ от 500 000 до 1 000 000 рублей.
Напоминаем, что в отношении биометрических персональных данных, размещенных или предполагаемых для размещения в ЕБСГосударственная информационная система «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных», сейчас действует особый правовой режим, который определяется специальным закономФедеральный закон «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации» от 29.12.2022 №572-ФЗ и принятыми в соответствии с ним массивом подзаконных актов.
Необходимо также отметить, что с 2020 года у отдельных лиц, согласно нормам законодательства о противодействии легализации преступных доходов, имеются специальные обязанности по размещению и обновлению данных о гражданах в указанной системе ЕБС.
Практические рекомендации
Сегодня вектор государственной политики направлен на ужесточение ответственности за нарушение правил обработки персональных данных. Как показывает исследование специалистов из «Лаборатории Касперского», за 2023 год количество инцидентов в области защиты данных в крупных компаниях увеличилось в 1,5 раза, при этом более половины «утекших данных» стали публичными уже в течение месяца после «утечки».Повышенные, а также и «оборотные» штрафы (законопроект о введении которых мы освещали ранее) призваны бороться с утечками и другими нарушениями при работе с персональными данными.
Важно отметить, что в некоторых случаях размер штрафа может быть выше, чем предусмотрен Законом. Например, мы не раз слышали позицию представителей Роскомнадзора, озвученную в ходе публичных выступлений, о том, что в случае подачи нескольких жалоб от нескольких субъектов каждое такое нарушение будет рассматриваться отдельно, а значит и налагать штраф Роскомнадзор теоретически сможет по каждому факту нарушения. Это значит, что в случае обращения, например, пяти субъектов персональных данных с жалобой относительно отсутствия письменного согласия, размер штрафа (по логике Роскомнадзора) может составить до 3 500 000 рублей.
Компаниям следует помнить, что в обычной деятельности работодатель, являясь оператором персональных данных, почти всегда сталкивается с необходимостью получения письменного согласия работника, так как в большинстве случаев работодатель передает данные работника третьим лицам (банкам, страховым организациям, контрагентам и т.д.), а такая передача зачастую требует письменного согласия работника. При этом не стоит забывать о позиции Роскомнадзора относительно требований к письменному согласию работников (например, о том, что каждая отдельная цель обработки должна быть указана в отдельном согласии). С увеличением административных штрафов данный вопрос потребует более пристального внимания.
Также отметим, что с практической точки зрения можно рассмотреть вопрос о получении письменных согласий работников через системы кадрового электронного документооборота, чтобы иметь возможность фиксировать и отслеживать факт предоставления согласия каждым работником, а также выполнять требования Роскомнадзора относительно состава сведений, включаемых в такое письменное согласие.
В заключение отметим, что, учитывая вектор государственной политики на ужесточение санкций за нарушения в области обработки персональных данных, особенно в преддверии введения «оборотных» штрафов (о которых мы писали отдельно), целесообразно заблаговременно провести аудит собственных процессов в области обработки персональных данных, выявить проблемные зоны (провести аналог gap analysis) и наметить план по их исправлению.
Наша команда имеет обширный опыт работы с требованиями российского регулирования в области персональных данных и будет рада помочь адаптироваться к новым реалиям российского регулирования.
