Федеральным законом от 30 ноября 2024 г. № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» увеличены размеры штрафов за нарушения в сфере персональных данных, введена ответственность за нарушения, связанные с порядком обработки и защиты биометрических персональных данных.
Давайте разберемся, что проверить в своей деятельности в первую очередь, чтобы избежать возможного риска привлечения к ответственности.
Что такое персональные данные?
Согласно ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Приведенное определение довольно широкое, в связи с чем к персональным данным относят в том числе номер телефона, адрес электронной почты, и любые другие сведения, которые сами по себе или совместно с другой информацией могут потенциально идентифицировать субъекта персональных данных.
Кем является оператор персональных данных?
Согласно п. 2 ст. 3 Закона о персональных данных оператор персональных данных - это лицо, которое организует или осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия, совершаемые с персональными данными.
Так, оператором можно назвать лицо, которое определяет, с какой целью и каким способом обрабатываются персональные данные:
Физическое лицо в статусе самозанятого, продающее товары и услуги клиентам (например, деятельность репетитора или кондитера)
Любое юридическое лицо и индивидуальные предприниматели, имеющие сотрудников и/или продающее товары и услуги клиентам (например, деятельность автошколы, фитнес-студии)
1. Ответственность за невыполнение оператором персональных данных обязанности по подаче уведомления о начале обработки персональных данных в Роскомнадзор
Как подать уведомление о начале обработки персональных данных в Роскомнадзор, чтобы не получить штраф? [MOU2]
Вы должны заполнить онлайн уведомление по ссылке:
Уведомление можно распечатать и направить в территориальный орган Роскомнадзора (форма по ссылке самостоятельно определяет адрес, ничего искать не нужно) либо подать онлайн посредством ЭЦП.
Государственная пошлина не уплачивается.
Срок внесения информации в реестр - не более 30 дней с даты поступления уведомления в Роскомнадзор.
2. Ответственность за невыполнение или несвоевременное уведомление Роскомнадзора об утечке персональных данных, повлекшей нарушение прав субъектов персональных данных
Как уведомить Роскомнадзор в случае утечки персональных данных, чтобы не получить штраф?
В случае утечки персональных данных в течение 24 часов с момента выявлении утечки необходимо направить в Роскомнадзор первое уведомление (о произошедшем инциденте). Далее вы должны провести внутренне расследование, устранить утечку. В течение 72 часов
с момента выявления утечки направляется второе уведомление (о результатах внутреннего расследования инцидента).
Вы можете найти и заполнить уведомления по ссылке:
Уведомление можно распечатать и направить в территориальный орган Роскомнадзора (форма по ссылке самостоятельно определяет адрес, ничего искать не нужно) либо подать онлайн посредством сервиса ЕСИА через портал Госуслуг (если вы подаете уведомление от компании за организацию, ваша учетная запись должна быть привязана к данной организации на портале Госуслуг).
3. Ответственность за утечку (предоставление, распространение, доступ к информации) персональных данных (в том числе специальной категории и биометрических персональных данных).
4. Ответственность за обработку персональных данных без согласия субъекта персональных данных в письменной форме
Как правильно оформить согласие на обработку персональных данных, чтобы не получить штраф?
Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных.
В случае, если субъект персональных данных дает согласие на обработку персональных данных на сайте, необходимо разместить согласие
(в форме регистрации на сайте, во всплывающем окне, в форму заполнения данных при регистрации) и под текстом согласия или в форме заполнения данных добавить кликабельную кнопку «Согласен» или поле для проставления галочки, чтобы подтвердить передачу согласия на обработку персональных данных.
Также обращаем внимание, что оператор персональных данных не вправе ограничивать доступ пользователя к информации, в связи с отказом потребителя предоставить персональные данные за исключением случаев, если обязанность предоставления таких данных предусмотрена законодательством Российской Федерации.
5. Ответственность за отсутствие опубликования или обеспечения иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях
к защите персональных данных
6. Ответственность за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в
области персональных данных либо обработка персональных данных, несовместимая с целями сбора персональных данных
7. Ответственность за нарушение прав потребителей, а именно отказ в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя от прохождения идентификации и (или) аутентификации с использованием его биометрических персональных данных
Вступление в силу новых норм подчеркивает важность соблюдения конфиденциальности и безопасности информации. Предприниматели должны осознавать, что ответственность за нарушение этих норм будет значительно ужесточена, что требует от них не только соблюдения законодательства, но и активного внедрения современных технологий для защиты персональных данных.
С учетом растущего числа кибератак и утечек информации, компании должны рассматривать инвестиции в системы безопасности как неотъемлемую часть своего бизнеса. Обучение сотрудников и создание культуры ответственности в отношении обработки персональных данных также играют ключевую роль в минимизации рисков.
Юридическое агентство «АргументЪ»
Следите за нами 👉🏼
Сайт: https://argumentkazan.ru
Instagram* https://www.instagram.com/argument__legal
Телеграм: https://t.me/argumentlegal
Ютуб: https://youtube.com/@anoshkina?si=SBCDlXJZv7Ic8oV3
*запрещен на территории РФ
