1. С чего все началось?
Тема о подаче уведомления об обработке персональных данных в Роскомнадзор (далее - "РКН") стала особенно актуальной после принятия Федерального закона от 30.11.2024 N 420-ФЗ. Федеральным законом были внесены изменения в КоАП, в частности в статью 13.11., которая предусматривает ответственность за нарушение законодательства в области персональных данных.
Федеральный закон был подписан еще 30 ноября 2024 года, при этом согласно статье 2 упомянутого ФЗ, изменения вступают в силу через 180 дней после официального опубликования, то есть с 30.05.2025. Ниже представлены все изменения, которые были внесены в статью 13.11. КоАП РФ (нумерация соответствует частям статьи в законе, текст норм сокращен для удобства восприятия):
10. Невыполнение оператором персональных данных обязанности по уведомлению уполномоченного органа о намерении осуществлять обработку персональных данных -
влечет наложение административного штрафа на юридических лиц - от ста тысяч до трехсот тысяч рублей.
11. Невыполнение обязанности по уведомлению уполномоченного органа об утечке персональных данных -
влечет наложение административного штрафа на юридических лиц - от одного миллиона до трех миллионов рублей.
12. Утечка персональных данных от одной тысячи до десяти тысяч субъектов персональных данных и (или) от десяти тысяч до ста тысяч идентификаторов (СНИЛС, ИНН) -
влекут наложение административного штрафа на юридических лиц - от трех миллионов до пяти миллионов рублей.
13. Утечка персональных данных от десяти тысяч до ста тысяч субъектов персональных данных и (или) от ста тысяч до одного миллиона идентификаторов (СНИЛС, ИНН) -
влекут наложение административного штрафа на юридических лиц - от пяти миллионов до десяти миллионов рублей.
14. Утечка персональных данных более ста тысяч субъектов персональных данных и (или) более одного миллиона идентификаторов -
влекут наложение административного штрафа на юридических лиц - от десяти миллионов до пятнадцати миллионов рублей.
16. Неправомерное распространение информации, включающей специальную категорию персональных данных, -
влекут наложение административного штрафа на юридических лиц - от десяти миллионов до пятнадцати миллионов рублей.
17. Неправомерное распространение информации, включающей биометрические персональные данные -
влекут наложение административного штрафа на юридических лиц - от пятнадцати миллионов до двадцати миллионов рублей.
Как показывают изменения, штрафы значительно увеличились, при это штраф за неуведомление РКН об обработке персональных данных принят впервые, в связи с этим в юридическом и предпринимательских сообществах возникли дискуссии.
2. Кто такой оператор персональных данных и почему под это понятие подпадают почти все организации?
Определение понятия "Оператор персональных данных" прямо закреплено в законе. Согласно пункту 2 статьи 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных":
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Понятие "обработка персональных данных" закреплено в пункте 3 статьи 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных":
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Многие ошибочно полагают, что не признаются операторами персональных данных, и соответственно не обязаны следовать положениям норм законодательства в области персональных данных. Наиболее часто причиной данной ошибки становится неверное понимание понятия "персональные данные", многие относят к ним только профессиональные базы данных контактов или клиентов. Отсюда формируется следующее суждение: "я не имею дело с профессиональными базами данных (персональными данными), соответственно меня не могут признать оператором их обработки". Теперь разберемся с тем, что на самом деле признается законодательством персональными данными. Согласно пункту 1 статьи 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных":
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Определение исчерпывающе дает характеристику понятию "персональные данные", но для более детального понимания, обратимся к судебной практике, в постановлении Арбитражного суда Северо-Западного округа от 10.08.2020 N Ф07-8215/2020 по делу N А56-137254/2019 указано:
В соответствии с пунктом 1 статьи 3 Закона о персональных данных под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положении, образование, профессия, доходы, другая информация.
То есть, если вы взяли номер телефона коллеги по работе, записали его в телефон вместе с ФИО, можно сказать, что тем самым вы совершили обработку персональных данных. Другой вопрос, что согласно положениям статьи 2 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных":
действие ФЗ не распространяется на отношения, возникающие при обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных.
Поэтому, в данном случае суд не признает нарушением неуведомление РКН об обмене контактами с коллегами.
В остальных случаях, когда обработка осуществляется юридическим лицом, самозанятым, ИП, любой другой организацией или физическим лицом с другими целями (к примеру коммерческими), необходимо следовать требованиям законодательства РФ в области персональных данных. Кратко опишите суть проблемы и мы займемся этим (VSL.info@mail.ru).
3. Что нужно сделать, чтобы не получить штраф?
Требования установлены Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", и среди прочего накладывают на оператора обработки персональных данных обязанность уведомить РКН об обработке персональных данных (пункт 1 статьи 22):
Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
С учетом нововведений, размер штрафа за неисполнение данной нормы может составить денежную сумму в размере до 300 000 рублей для юридических лиц.
По сути выполнить данную обязанность не так уж и сложно, необходимо только правильно составить уведомление, с указанием целей, категорий и форм персональных данных, которые будут обрабатываться, порядка действий с ними, основных способов их защиты и правильно подать его в РКН. Важно обратить внимание на форму, по которой составляется уведомление, образец на сайте РКН не совсем соответствует утвержденной форме.
При этом, подача уведомления в РКН - это только первый шаг. Законодательство возлагает на оператора обязанности по принятию определенных мер. Существует два вида таких мер, установленных соответствующими статьями ФЗ "О персональных данных":
- Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом;
- Статья 19. Меры по обеспечению безопасности персональных данных при их обработке.
Безусловно, лучше всего сначала принять данные меры в организации и только потом подавать уведомление в РКН, но в условиях сжатых сроков (штрафы уже вступили в законную силу с 30.05.2025) возможен и обратный порядок.
В статье 18.1. из существенных мер, отсутствие которых будет явно заметно можно выделить следующие:
1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности;
В свою очередь в статье 19 наиболее существенными представляются следующие пункты:
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
Как становится ясно, оператор персональных данных в соответствии с законодательством обязан назначить ответственного за организацию обработки персональных данных, принять несколько локальных НПА и политику обработки персональных данных, после чего подать уведомление в РКН.
Мы оказываем услуги по составлению и подаче уведомлений в РКН, а также комплексные услуги по составлению всех необходимых документов, для полного соответствия требованиям законодательства в области персональных данных. Стоимость составления и подачи уведомления об обработке персональных данных в РКН - не превышает 1 000 р, а срок изготовления - 1 день.
Мы имеем богатый опыт в данной сфере и оказываем услуги по детальной юридической проверке договоров, написанию претензий, исков и разрешению споров в короткие сроки. Кратко опишите суть проблемы и мы займемся этим (VSL.info@mail.ru).