Соблюдение закона «О персональных данных» — прямая обязанность всех, кто тем или иным образом выступает в роли оператора этих самых данных. Это касается работодателей, продавцов, владельцев сайтов и т.д. Игнорирование положений закона может достаточно дорого обойтись. Особенно после 2023 года, который принес с собой некоторые изменения условий, в результате которых размеры штрафов существенно увеличились. Сегодня подробно рассмотрим сколько и за что придется заплатить в текущих реалиях.
Обработка ПД без согласия физлица
Одну из наиболее существенных грах «расходов» в случае игнорирования условий закона №152-ФЗ от 27.07.2006 представляет обработка данных без согласия на то физического лица.
Важно: Согласие для работы с ПД может быть как письменным, так и устным. Пример: нажатие на определенную клавишу телефона при разговоре с диспетчером или хорошо знакомая всем галочка на сайте в регистрационной форме.
Если оператор обрабатывает ПДн без согласия их субъекта, то ему придется оплатить:
Аналогичные штрафы действуют в том случае, если условия работы с ПД не соответствуют актуальным требованиям законодательства. В первую очередь это касается самого документа, который должен быть представлен человеку для изучения особенностей обработки его личных сведений. В нем обязательно должны быть отражены:
- Данные оператора ПД;
- Цель сбора и работы с личными данными;
- Перечень ПД, которые необходимы оператору для достижения конкретных целей;
- Перечень точных действий с ПД со стороны оператора;
- Срок хранения и обработки ПД;
- Список информационных и интернет ресурсов, где будут использоваться ПД.
Отсутствие в соглашении обязательной информации воспринимается законом как недостаточное уведомление субъекта персональных данных и, соответственно, относится к категории несогласованной обработки последних.
Подготовка к обработке персональных данных
Все процессы, проходящие в рамках обработки персональных данных, в обязательном порядке должны быть отражены в соответствующей документации. В первую очередь это касается локальных актов. Они представляют собой документы, в которых отражается вся информация по работе ПД в определенной организации. Именно они в первую очередь проверяются Роскомнадзором.
Интересно: Локальные акты — обязательный документ при обработке ПД. Но точное и четкое количество входящих в их состав компонентов законом не установлено.
При игнорировании оператором требования о подготовке локальных актов штрафы будут следующими:
Обязательным документом, который составляется в рамках работы с персональными данными, является политика конфиденциальности. Вот три основных требования, которым он должна отвечать:
- Отражение индивидуальных особенностей работы с личными данными в конкретной компании;
- Четкая последовательность структуры (общие положения -> основания работы с ПД -> права и обязанности и т.д.);
- Общедоступность (в случае с получением данных через интернет-ресурс, политика конфиденциальности должна быть размещена непосредственно на сайте).
Несоблюдение хотя бы одного из данных пунктов может привести к следующим штрафам:
Также столкнуться со штрафом можно в случае несвоевременного предоставления сведений или предоставления неполных сведений касательно обработки ПД в соответствующий контролирующий орган. При первом столкновении с такой проблемой оператор может ограничиться предупреждением или штрафом в размере от 100 до 500 рублей (для физлиц и должностных лиц) и от 3 000 до 5 000 рублей (для юрлиц).
Размещение биометрических данных
Одним из основных новых положений 2023 года в области обработки персональных данных стало требование о работе с биометрическими параметрами. К ним относятся биологические и физиологические сведения о конкретном человеке, по которым можно определить его личность. Используются они, как правило, банками и МФЦ. Поэтому и новое требование закона в первую очередь направлено на такие организации. В случае размещения персональных биометрических данных без письменного согласия их субъекта предусмотрены следующие штрафные санкции:
С 2023 года максимальный штраф за несанкционированную работу с биометрическими данными увеличился вдвое — ранее его размер мог достигать только 500 000 рублей.
Хранение и обработка данных на территории РФ
Самым «затратным» в плане штрафных санкций можно назвать несоблюдение требования о необходимости использования для хранения и обработки личных данных серверов, находящихся исключительно на территории России (при работе с гражданами РФ). Если Роскомнадзор выявит, что оператор хранит личную информацию людей за пределами страны, то он может выдвинуть следующие административные штрафы:
Такое требование касается всех интернет-ресурсов, основной целевой аудиторией которых являются россияне. В том числе — иностранных сайтов, доставляющих продукцию в Россию и принимающих регистрацию от жителей РФ.
Как избежать штрафных санкций?
Единственным вариантом исключения штрафов за обработку персональных данных является строгое соблюдение актуальных требований законодательства. В первую очередь внимательно изучите все действующие правила закона №152-ФЗ с последними правками. Если вы не уверены в готовности самостоятельно работать с таким объемом юридической информации, обратитесь за консультацией к нашим специалистам. Сотрудники KPIB изучат все условия обработки персональных данных конкретно в вашем случае и помогут вам выстроить деятельность в полном соответствии с актуальными положениями законодательства во избежании штрафов в будущем.
Официальный сайт - https://kpib.ru/
Номер телефона - +7(812) 240-8166
