30 мая 2025 года вступят в силу поправки в КоАП, ужесточающие ответственность операторов персональных данных. Юрист, адвокат Ростовской областной коллегии адвокатов «Советник» Ольга Айгензер рассказала «Деловой газете.Юг» об основных функциях операторов обработки персональных данных, их правах и обязанностях.
Ольга Айгензер
Оператор персональных данных – любая государственная структура, муниципальная организация, коммерческое предприятие или индивидуальные предприниматели, которые занимаются организацией и/или реализацией процессов, связанных с обработкой персональных данных. Данные организации устанавливают цели, для которых проводится обработка, а также определяют перечень необходимой им информации.
Роскомнадзор ведет реестр операторов персональных данных. Сведения вносятся и исключаются из него на основании уведомлений, подаваемых операторами. Проверить, находится ли фирма в списках, можно на сайте.
Любая компания, которая работает с личными данными людей, будь то ее сотрудники или клиенты, автоматически становится оператором персональных данных. Например, учебные заведения хранят информацию об учениках, их родителях, а также о своих сотрудниках.
Важно понимать, что статус оператора и соответствующие обязанности компании по закону «О персональных данных» появляются у компании независимо от включения в реестр Роскомнадзора. Форма собственности компании не играет никакой роли. Будь то ООО или ИП. И это касается не только российских компаний, но и иностранных, работающих на территории России, либо собирающих сведения о россиянах.
Как компании должны соблюдать закон о защите персональных данных
Для определенных организаций, таких как государственные органы, существуют четкие инструкции по защите личной информации. Остальные компании и индивидуальные предприниматели сами определяют, как именно и в каком объеме им защищать персональные данные. Самое важное – чтобы хранение информации гарантировало ее безопасность и неразглашение.
Вот самые важные правила для обеспечения сохранности персональных данных:
– Назначить ответственного за организацию обработки персональных данных;
– Разработать и утвердить:
- Положение о защите персональных данных;
- Политику конфиденциальности персональных данных пользователей сайта (при наличии сайта – разместить на сайте);
- Политику компании в отношении обработки персональных данных.
– Ознакомить работников с документами под роспись;
– Осуществлять внутренний контроль за соблюдением закона «О персональных данных» и актуальностью локальных документов;
– Своевременно представлять отчеты и уведомления в Роскомнадзор;
– Уведомлять Роскомнадзор о трансграничной передаче данных по специальной форме. Это требование только для тех предпринимателей, которые передают персональные данные своих клиентов или работников зарубеж. Например, при бронировании гостиниц за границей, или при отправке документов по электронной почте.
Риски для операторов при неправильной обработке персональных данных
Административная ответственность грозит организации и ее должностным лицам за обработку персональных данных:
– В случаях, не предусмотренных законом (ч. 1 ст. 13.11 КоАП РФ).
– В целях, несовместимых с целями сбора (ч. 1 ст. 13.11 КоАП РФ).
– Без необходимого согласия или с неполными сведениями в согласии (ч. 2 ст. 13.11 КоАП РФ).
– Без использования российских баз данных для записи, систематизации, хранения и извлечения персональных данных граждан РФ (ч. 5 ст. 18 Закона о персональных данных, ч. 8, 9 ст. 13.11 КоАП РФ).
Ответственность за нарушение законодательства о защите персональных данных
В соответствии со ст. 24 ФЗ «О персональных данных», нарушители требований закона несут ответственность согласно действующему законодательству.
Помимо административной и уголовной, предусмотрена гражданско-правовая ответственность: виновник незаконного сбора, обработки и/или передачи персональных данных обязан возместить моральный вред по требованию пострадавшего, независимо от возмещения имущественного вреда и убытков.
Оператор несет прямую ответственность за вред, причиненный субъекту персональных данных. Сотрудники оператора, допустившие нарушения, несут дисциплинарную ответственность перед работодателем в соответствии с Трудовым кодексом.
С 30 мая 2025 года вводятся значительные штрафы за нарушения в сфере обработки персональных данных. Игнорирование запросов субъектов данных, невыполнение требований об уточнении, блокировании или уничтожении неполных/неточных/незаконно полученных данных влечет ответственность по ч. 5, 5.1 ст. 13.11 КоАП РФ.
Неправомерная передача, предоставление, распространение или доступ к персональным данным оператором, если это не уголовное преступление, влечет административные штрафы:
- При утечке данных от 1 000 до 10 000 человек или от 10 000 до 100 000 идентификаторов штрафы составляют: для обычных граждан — от 100 до 200 тысяч рублей, для должностных лиц — от 200 до 400 тысяч, а для организаций — от 3 до 5 миллионов рублей.
- Если утечка затронула от 10 000 до 100 000 человек или от 100 000 до 1 000 000 идентификаторов, то гражданам придется заплатить от 200 до 300 тысяч рублей, должностным лицам — от 300 до 500 тысяч, а компаниям — от 5 до 10 миллионов рублей.
- В случае, когда пострадали более 100 000 человек или утекло больше 1 000 000 идентификаторов, штрафы вырастают до 300-400 тысяч рублей для граждан, 400-600 тысяч — для должностных лиц и 10-15 миллионов рублей — для юридических лиц.
- Несообщение в Роскомнадзор о фактах неправомерной/случайной передачи данных – штраф для юрлиц до 3 млн рублей. (ч.11 ст. 13.11 КоАП РФ).
- Также за неправомерную передачу/распространение биометрических данных предусмотрены штрафы до 20 млн рублей. (ч.17 ст.13.11 КоАП РФ).
Уплата штрафов, выписанных Роскомнадзором, не отменяет ответственности перед пострадавшими физическими лицами.
Кроме этого, сохраняется уголовная ответственность за незаконное использование персональных данных.
Согласие на обработку персональных данных
Обработка персональных данных обычно требует согласия субъекта. Оно может быть оформлено как документ или выражено действиями субъекта (например, проставлением галочки в электронной форме или договоре). Субъект вправе отозвать согласие в любое время. За детей и недееспособных согласие дают законные представители.
Если веб-сайт собирает и обрабатывает персональные данные (включая cookie), он является информационной системой персональных данных. Необходимо уведомлять посетителей о сборе данных и получать их согласие. Если есть пользовательское соглашение (оферта), добавьте ссылку на него, иначе разместите текст согласия на обработку данных на отдельной странице и добавьте ссылку под форму.
Зачем и когда нужно подавать уведомление о начале обработки персональных данных в Роскомнадзор
Законодательство предусматривает три ситуации, освобождающие от необходимости уведомления Роскомнадзора об обработке персональных данных:
– если обрабатываемая информация является частью государственных информационных систем, созданных для обеспечения государственной и общественной безопасности;
– если обработка данных осуществляется в соответствии с законодательными нормами, регулирующими стабильную работу и безопасность транспортной системы;
– если обработка персональных данных происходит исключительно на бумажных носителях, без применения средств автоматизации.
В любой другой ситуации, перед началом обработки персональных данных необходимо уведомить Роскомнадзор. С 30 мая 2025 года вводится административная ответственность за неисполнение или несвоевременное исполнение данного обязательства. Для физических лиц предусмотрен штраф в размере до 10 тыс. рублей, а для юридических лиц – от 100 тыс. до 300 тыс. рублей.
Если организация существует уже давно, но еще не зарегистрирована в реестре операторов, нужно подать уведомление в ближайшее время, и прописать в нем все цели, в которых собираются персональные данные физических лиц.
Диана Клейн