Эксперты Nextons подготовили обзор основных изменений законодательства и практики.
(Окончание. Начало в IT News № 3/2024)
6. Ужесточение ответственности за несоблюдение требований к письменному согласию на обработку персональных данных и правил обработки биометрических данных
С 23 декабря 2023 года повышены штрафы за обработку персональных данных с нарушением требований к письменному согласию на обработку персональных данных до 1,5 млн рублей для юридических лиц, а также введены штрафы за нарушение правил размещения биометрических персональных данных (ФЗ от 12.12.2023 № 589-ФЗ).
Увеличены размеры административных штрафов за обработку персональных данных без письменного согласия или с нарушением требований к составу сведений, которые должны содержаться в письменном согласии.
Напомним, что письменное согласие – это одно из возможных правовых оснований для обработки персональных данных. В частности, оно может применяться при обработке специальных категорий персональных данных (например, сведений о здоровье), персональных данных работников (например, когда персональные данные работников передаются третьим лицам) и в ряде иных случаев, установленных законодательством. В этой связи рекомендуем компаниям проверить, соответствуют ли имеющиеся у них формы письменных согласий законодательным требованиям, а также получают ли они такие письменные согласия во всех необходимых случаях.
Было
Стало
Должностное лицо
20–40 тыс. рублей
100–300 тыс. рублей
40–100 тыс. рублей
(за повторное нарушение)
300–500 тыс. рублей
(за повторное нарушение)
Юридическое лицо
30–150 тыс. рублей
300–700 тыс. рублей
300–500 тыс. рублей
(за повторное нарушение)
1–1,5 млн рублей
(за повторное нарушение)
Помимо этого, введена административная ответственность за нарушение требований в сфере биометрических персональных данных. Данная ответственность установлена в развитие Федерального закона от 29 декабря 2022 года № 572-ФЗ, который ввел требование о размещении биометрических персональных данных (изображений лица и записей голоса) в контуре государственной единой биометрической системы (далее – ЕБС).
К административной ответственности могут быть привлечены банки, МФЦ и иные организации при размещении или обновлении биометрических персональных данных в ЕБС с нарушением требований законодательства.
Должностное лицо
Юридическое лицо
100–300 тыс. рублей
500 тыс. –1 млн рублей
7. Ограничение способов авторизации на российских сайтах
1 декабря 2023 года вступили в силу законодательные изменения, согласно которым авторизацию российских пользователей необходимо проводить с использованием: 1) российского номера телефона, 2) ЕСИА, 3) ЕБС, 4) иной российской информационной системы, соответствующей требованиям защиты безопасности (Федеральный закон от 27.07.2006 № 149-ФЗ) и находящейся под российским контролем.
До 1 января 2025 года для владельцев систем авторизации установлено послабление в части критериев определения их нахождения под российским контролем (например, допускается использование систем, принадлежащих лицам, участником которых является международный фонд или находящихся под контролем владельцев информационных ресурсов) (Федеральный закон от 12.12.2023 № 588-ФЗ).
Новые правила авторизации распространяются на владельцев информационных ресурсов, принадлежащих российским лицам, осуществляющим деятельность в Интернете на территории РФ, если доступ к информации, размещенной на таких ресурсах, предоставляется пользователям под условием авторизации.
Как разъяснил разработчик данных правил, российские сайты и приложения должны убрать возможность авторизации через иностранные сервисы. К ним же относится возможность авторизации через иностранную электронную почту. Последнее, однако, вызвало вопрос относительно правомерности использования адреса иностранной электронной почты в качестве логина при регистрации. Позже было разъяснено, что использование адреса иностранной электронной почты в качестве логина является правомерным.
