По своей сути, гражданин оставлен один на один с Оператором, у которого есть заведомое преимущество в этом вопросе. Принципы обработки персональных данных, заложенные в статье 5 Федерального закона №152-ФЗ «О персональных данных» (далее — Закон) , многие организации трактуют в свою пользу, а именно в этой норме права заложены принципы справедливости и законности обработки данных граждан.

Наиболее распространенные злоупотребления Операторов:

• Сбор избыточных персональных данных, не соответствующих целям обработки;
• Обработка персональных данных без наличия правовых оснований, установленных законом;
• Не поименованный список третьих лиц в текстах согласий, которым Оператор передает персональные данные;
• Установленные Оператором «бессрочные» сроки обработки персональных данных.
  
  

Все это привело к тому, что накопленные за прошедшие годы огромные массивы персональных данных хранятся на серверах компаний, в облачных хранилищах сторонних организаций, передаются от организации к организации, в том числе и за пределы территории России.

Спам-звонки, рассылки писем, сообщения в мессенджерах, утечки персональных данных — всё это стало головной болью всех россиян, а сами персональные данные – предметом торга. Операторы, в обмен на выгодное для покупателя предложение, собирают персональные данные и личную информацию граждан.

В последний день ноября был подписан Президентом и официально опубликован Федеральный закон «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Его рассмотрение и введение в действие было обусловлено острой необходимостью усиления юридической ответственности Операторов персональных данных, злоупотребляющих своими правами, и установление для них с 30 мая 2025 года повышенной ответственности за нарушение порядка обработки персональных данных.

1. Изменена норма ч.1 ст.13.11 КоАП

Повышаются штрафы за обработку персональных данных в неустановленных законом случаях, либо за обработку, несовместимую с целями сбора персональных данных:

• С 60 тыс. – 100 тыс. рублей до 150 тыс.- 300 тыс. руб.;
• При повторном нарушении с 100 тыс.-300 тыс. до 300 тыс.-500 тыс. рублей.
  
  

Пояснения:

В цифровую эпоху значительную роль в процессах коммуникаций с субъектами персональных данных занимают сайты (цифровые платформы) компаний. Сбор персональных данных именно с их помощью является наиболее массовым. При этом Операторы забывают о том, что частью 3 статьи 9 Закона именно на них возлагается ответственность предоставить доказательство наличия законных оснований обработки персональных данных.

Одной из распространенных ошибок является сбор персональных данных без правового основания. Вариантов при этом бывает несколько.

Одним из них является размещение оператором «Политики в отношении обработки персональных данных» возле веб-формы сбора персональных данных и требование согласиться с ее содержимым. Хотелось бы обратить внимание, что такое согласие с «Политикой» не является согласием субъекта на обработку его персональных данных, а сам Закон не содержит нормы, требующей его получить. В приведенном примере Оператор обрабатывает персональные данные в отсутствие правового основания.

Второй распространенной ошибкой является заранее проставленная «галочка» возле согласия на обработку персональных данных на сайте. В этом случае субъект персональных данных не совершает никаких активных действий и не подтверждает, что согласие им дано.
Третьей распространенной ошибкой является совмещение дачи согласия на обработку персональных данных и получение рекламных сообщений в едином тексте одного согласия.

В этом случае согласия необходимо разделить на:

• согласие на обработку персональных данных в соответствии со статьей 9 Закона;
• предварительное согласие в целях продвижения товаров, работ, услуг в соответствии со статьей 15 Закона.
  
  

А также помнить, что механизм отзыва каждого из этих согласий и сроки, в течение которых оператор обязан прекратить обработку персональных данных по каждой из этих целей – различны.

Рекомендации:

Необходимо правильно определять цель сбора и объем персональных данных для заявленной цели, сроки обработки и правовое основание сбора персональных данных.

Размещать на своем сайте «Политику в отношении обработки персональных данных» таким образом, чтобы Политика была доступна для ознакомления субъекту персональных данных на всех страницах сайта; наилучшим способом будет ее расположение в «подвале» сайта.

Размещать возле каждой веб-формы, с помощью которой собираются персональные данные, правовое основание. При этом необходимо помнить, что согласие субъекта на обработку его персональных данных является не единственным правовым основанием, перечисленным в ст. 6 Закона. В деятельности коммерческой организации из правовых оснований обработки персональных данных, перечисленных в статье 6 Закона, используются, как правило, три основных:

• согласие субъекта персональных данных на обработку его персональных данных;
• договор, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
• закон, на основании которого Оператор обязан обрабатывать персональные данные.
  
  

2. Начнет действовать новая норма ч.10 ст. 13.11 КоАП, устанавливающая величину штрафа за неуведомление (несвоевременное уведомление) Роскомнадзора о начале обработки персональных данных:

• Для юридических лиц в размере от 100 тыс. руб. до 300 тыс. руб.;
• Для граждан в размере от 5 тыс. руб. до 10 тыс. руб.
  
  

При этом индивидуальные предприниматели по этому правонарушению будут нести ответственность как юридические лица.

Пояснения:

С 1 сентября 2022 в ч. 2 ст. 22 Закона осталось только три вида оснований, по которым Оператор не обязан предоставлять такие уведомления в Роскомнадзор и практически всех Операторов эти основания не затрагивают никаким образом.

Подать уведомление необходимо, вопрос — когда это сделать лучше? Роскомнадзор в своем письме от 6 сентября 2022 г. N 08-80975 пояснил, что поскольку предельный срок такого уведомления не определен в Законе, то сама дата 01.09.2022 года не является контрольной датой обязательного предоставления уведомления в Роскомнадзор. Но с 30.05.2025 ситуация изменится.

Рекомендации:

За невыполнение обязанности по уведомлению Роскомнадзора о начале обработки персональных данных на текущий момент применяется ст. 19.7 КоАП, штраф в соответствии с которой составляет от 3 тыс. до 5 тыс. рублей. Подав уведомление до 30.05.2025г., организация минимизирует свои риски по начислению повышенных размеров штрафа.

3. Частью 10 ст 13.11 КоАП введена новая норма ответственности за невыполнение (несвоевременное) выполнение оператором обязанности, установленной ч.3.1 ст. 21 ФЗ-152 по уведомлению Роскомнадзора о произошедшем инциденте и о результатах проведенного расследования в случае неправомерной или случайной передаче персональных данных (утечка персональных данных), в результате которой произошло нарушение прав субъектов персональных данных.

Правонарушение влечет наложение штрафов на Операторов:

• На граждан -от 50 тыс. руб. до 100 тыс. руб.;
• На должностных лиц — от 400 тыс. руб. до 800 тыс. руб.;
• На юридических лиц — от 1 млн. руб. до 3 млн. руб.
  
  

Частями 11-18 ст. 13.11 КоАП введены штрафы для Оператора, за  действия (бездействия),  повлекшие утечку персональных данных в зависимости от объема неправомерно переданных персональных данных, категории персональных данных  и с учетом наличия фактов привлечения Операторов ранее по аналогичным правонарушениям.

В зависимости от перечисленных выше факторов и применимой к ним нормы права,  величины штрафов для Операторов будут  разные:

• На граждан — от 100 тыс. руб. до 800 тыс. руб.;
• На должностных лиц — от 200 тыс. руб. до 2 млн. руб.;
• На юридических лиц — от 3 млн. руб. до «оборотного» штрафа до 3 % от объема выручки за предшествующий год, но не менее 25 млн. руб. и не более 500 млн. руб.
  
  

Рекомендации:

Пересмотреть объемы и правовые основания сбора персональных данных. Содержание и объем собираемых персональных данных не должны быть избыточны по отношению к цели обработки и обязаны ей соответствовать. Необходимо вовремя уничтожать персональных данные, не накапливать их массив «на всякий случай вдруг пригодится». Своевременно и правильно переводить в архив документы, содержащие персональные данные.

И обязательно применять все необходимые меры по защите персональных данных!