30 ноября 2024 года был принят новый закон, регулирующий обработку персональных данных. Этот закон призван усилить защиту прав граждан на конфиденциальность их личной информации. Глобально закон увеличивает штрафы и создает новые по трём темам - утечка персональных данных; неподача уведомления в Роскомнадзор; нарушение прав потребителей. В статье я рассмотрю основные изменения, которые принёс этот закон, только по двум последним и дам рекомендации по подготовке к его соблюдению.
________________________________________________________________________
Уведомление в Роскомнадзор: что это, когда обязательно, новые штрафы
Уведомление об обработке персональных данных в Роскомнадзор — это документ, который обязаны подавать все операторы, обрабатывающие персональные данные.
Кто является оператором персональных данных?
Данное разъяснение напрямую закреплено в Законе «О персональных данных».
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
п. 2 ст. 3 Закона «О персональных данных»
Таким образом, даже если вы самозанятый, то не следует думать, что вам не нужно соблюдать данный закон. На вас полностью и целиком распространяются все требования и штрафы.
Когда вы становитесь оператором персональных данных?
По факту когда к вам попадают персональные данные для какой-то цели, вы понимаете зачем они вам нужны и что будете с ними делать. Например,
— когда вы просите предоставить клиентов свои данные для заключения договора;
— когда вы нанимаете на работу сотрудника или ассистента по договору гражданско-правового характера;
— когда вы просите заполнить анкету/форму обратную связи, как вариант использовав Яндекс.Форму;
— когда клиенты оставляют данные на ваших сайтах (для получения обратного звонка, консультации, покупки, оформления предзаказа и т.д.);
— когда на сайте устанавливаете Яндекс.Метрику;
— когда с помощью чат-ботов собираете информацию и т.д.
Все эти и иные подобные случаи говорят о том, что вы оператор обработки персональных данных независимо от вашего официального статуса и режима налогообложения, поэтому вы ОБЯЗАНЫ направить уведомление об обработке персональных данных в Роскомнадзор. Об этом прямо написано также в законе.
оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи
ч. 1 ст. 22 Закона «О персональных данных»
Что за исключения, когда все же можно не подавать уведомление?
Раньше их было 9, сейчас всего лишь 3.
1. Персональные данные содержатся в специальных государственных информационных системах (например, дактилоскопическая система полиции).
2. Персональные данные обрабатываются без средств автоматизации, что в наш век цифровых технологий очень маловероятно (то есть, как в старые добрые времена используется только бумага, и нигде не фиксируете на компьютере).
3. Исключения предусмотрены специальными законами о транспортной безопасности (например, видеонаблюдения в жд вокзалах).
Как видите, в 99,9% случаев, когда вы ведете обычный деловой оборот с клиентами и сотрудниками, то данное уведомление все же должно быть направлено вами.
Что будет, если не подать уведомление?
Федеральным законом, который был принят 30.11.2024 г., прям предусмотрена отдельная норма за такое нарушение с увеличенными штрафами.
На сегодняшний день тоже есть штрафы за неподачу уведомления (ст. 19.7 КоАП РФ). Но они ничтожно малы, поэтому многие принимают данный риск:
— для физических лиц (самозанятых) - от 100 до 300 рублей;
— для ИП - от 300 до 500 рублей;
— для юридических лиц - от 3 000 до 5 000 рублей.
В новой редакции закона ответственность за неподачу уведомления будет уже квалифицироваться по ч. 10 ст. 13.11 КоАП РФ, и там уже штрафы не такие смешные:
— для физических лиц (самозанятых) - от 5 000 до 10 000 рублей;
— для ИП и юридических лиц - от 100 000 до 300 000 рублей.
Когда необходимо подать уведомление?
Уведомление подается до начала обработки персональных данных или с момента внесения изменений, то есть если вы создаете сайт, то сначала подаете уведомление, потом запускаете его в работу, чтобы клиенты оставляли свои данные. Если вы создаете ИП или ООО с работниками и множеством других процессов, то сначала проводите у себя аудит, чтобы понимать, когда и какие данные обрабатываете, а потом уже подаете уведомление.
Как Роскомнадзор узнает, нарушается ли мной закон, ведь организаций и самозанятых миллион?
Роскомнадзор рандомно из всеобщедоступных баз (источников) смотрит список организаций, далее смотрят свой реестр (внесли ли вы о себе информацию), если не обнаруживают вас, то приходят к вас с неприятными новостями.
Рекомендации, как не допустить штраф
Поскольку новые штрафы начнут действовать с 30 мая 2025 г., у вас есть еще почти полгода все привести у себя в порядок:
1) провести внутренний аудит и понять какие и чьи персональные данные к вам попадают, каким способом, где и как долго вы их храните, что с ними делаете;
2) разработать локально-нормативные акты, устанавливающие и обеспечивающие безопасность обработки персональных данных;
3) проверить подавали ли вы ранее уведомление в Роскомнадзор
Переходите по этой ссылке, вводите свой ИНН и смотрите, что отобразилось.
Если вас нет в этом списке, то обязательно нужно подавать уведомление.
Если вы есть в этом списке, но сведения не актуальны, то обязательно нужно подавать уведомление о внесении изменений.
Если вы есть в этом списке, уведомление подано до декабря 2022 г. и у вас ничего не поменялось (в части обработки персональных данных), то нужно его подать все равно заново по новой форме.
________________________________________________________________________
Нарушение прав потребителей: нельзя делать все то, что вам хочется, и так, как вам хочется
Ещё в 2022 г. была принята норма, которая запрещает отказывать в заключении договора, если клиент отказывается предоставлять свои данные, которые непосредственно не связаны с исполнением договора.
Например, клиент обращается к вам за проектированием и установкой кухонного гарнитура, а вы просите у него еще предоставить контакты близких родственников на случай, если вы не будете отвечать на звонки и сообщения.
Или, например, вы не заключите договор, пока клиент не даст согласие на получение рекламных рассылок. Эта частая ошибка, которую я наблюдаю на сайтах: человек не может оформить заказ или зарегистрировать личный кабинет, пока не нажмет галочку в чек-боксе о том, что согласен на получения рекламных рассылок.
За такие случаи есть риск получить штраф до 1 000 000 рублей от ФАС, и даже уже есть кейсы. Один из них вы можете почитать в посте моего Telegram-канала. Основная мысль в том, что если человек вынужден согласиться на получение рекламы, лишь бы с ним заключили договор, то это нарушение закона.
Что нового с 30 мая 2025 г.?
Дополнительно к вышеназванному, будет еще новый штраф за отказ заключить, исполнить, изменить или расторгнуть договор с потребителем из-за того, что он не стал проходить идентификацию (аутентификацию) по биометрии. То есть вы не имеете право отказать в заключении договора, если клиент не хочет проходить идентификацию (аутентификацию) по биометрии, иное будет нарушением закона:
— штраф для ИП от 50 000 до 100 000 рублей;
— штраф для юридических лиц от 200 000 до 500 000 рублей.
Рекомендации, как не допустить штраф
1) пройдите сами пользовательский путь клиента и убедитесь, что вы не обязываете дать дополнительно согласие на рекламу или пройти идентификацию (аутентификацию) по биометрии
2) проверьте договоры. В них вы не должны собирать больше персональных данных, чем вам необходимо для исполнения договора, а также в них нет должно быть зашито согласие на получение рекламных рассылок.
________________________________________________________________________
Контакты для юридической помощи в проведении аудита и подачи уведомления в Роскомнадзор:
Эл.почта: kurowa.snezhana@yandex.ru
Telegram-канал: Чепа | Заметки юриста
С заботой и любовью о вашем бизнесе!