Новые штрафы за нарушение закона о персональных данных: как компаниям избежать рисков на 1,5 млн рублей

Закон о персональных данных действует уже с 2006 года, за это время штрафы за его нарушения поднимались неоднократно. С 23 декабря 2023 года они возросли еще больше — до 1,5 млн рублей. В связи с этим мы решили рассказать, как же компании должны работать с персональными данными, чтобы избежать рисков.

Что изменилось в законе о персональных данных в 2023 году?

Есть целый ряд важных изменений, которые все операторам ПД необходимо отслеживать и зафиксировать. С целью последующего корректного исполнения требований изменившегося законодательства.

Обновленные санкции

Каждая организация или индивидуальный предприниматель обязаны до начала обработки персональной информации получить на это согласие от субъекта данных. Такое согласие может быть оформлено в письменном виде либо в виде электронного документа, заверенного электронной цифровой подписью. Согласие должно быть четко выраженным, предметным, информированным, осознанным и недвусмысленным (ч. 1 ст. 9 закона № 152-ФЗ).

Важно отметить, что согласие на обработку может быть отозвано в любой момент (ст. 9 закона № 152-ФЗ), и в этом случае оператор обязан прекратить обработку и уничтожить уже собранные сведения.

Обработка персональной информации без согласия субъекта, включая случаи отзыва согласия, является основанием для привлечения компании или предпринимателя к административной ответственности по ч. 2 ст. 13.11 КоАП РФ.

С 23 декабря 2023 года вступает в силу закон от 12.12.2023 № 589-ФЗ, который увеличивает размер штрафов за обработку персональных данных без согласия.

Новые размеры санкций распределяются следующим образом:

1. Физические лица:
   • Ранее: от 6000 до 10 000 рублей.
   • Теперь: от 10 000 до 15 000 рублей.
2. Должностные лица или индивидуальные предприниматели (ИП):
   • Ранее: от 20 000 до 40 000 рублей.
   • Теперь: от 100 000 до 300 000 рублей.
3. Юридические лица (компании):
   • Ранее: от 30 000 до 150 000 рублей.
   • Теперь: от 300 000 до 700 000 рублей.

Штрафы за повторное нарушение закона о персональных данных также значительно увеличились. Новые размеры штрафов распределяются следующим образом:

1. Физические лица:
   • Ранее: от 10 000 до 20 000 рублей.
   • Теперь: от 15 000 до 30 000 рублей.
2. Должностные лица:
   • Ранее: от 40 000 до 100 000 рублей.
   • Теперь: от 300 000 до 500 000 рублей.
3. Индивидуальные предприниматели (ИП):
   • Ранее: от 100 000 до 300 000 рублей.
   • Теперь: от 500 000 до 1 000 000 рублей.
4. Юридические лица (компании):
   • Ранее: от 300 000 до 500 000 рублей.
   • Теперь: от 1 000 000 до 1 500 000 рублей.

Внимание! Организация или ИП могут быть подвергнуты штрафу даже в том случае, если согласие на обработку данных получено, но в нем отсутствуют обязательные элементы.

Требования к содержанию такого согласия регулируются приказом Роскомнадзора от 24.02.2021 № 18. Документ должен включать не только имя, фамилию и паспортные данные, но также название и адрес оператора, цель обработки информации, список обрабатываемых данных и действий с ними, сведения об информационных системах оператора, срок действия согласия и подпись лица, предоставляющего свои данные.

Если какие-либо из этих требований не будут учтены при составлении согласия, обработка будет рассматриваться как выполненная без него, что повлечет за собой серьезные штрафные санкции для оператора.

Кроме того, были введены новые санкции за несоблюдение правил обращения с биометрическими данными. С 23 декабря 2023 года начинает действовать новая статья 13.11.3 КоАП РФ «Нарушение требований в области размещения биометрических персональных данных».

Биометрические данные включают информацию, отражающую физиологические и биологические особенности человека, на основе которых возможно его идентифицировать (ст. 11 закона от 27.07.2006 № 152-ФЗ). Обработкой таких данных занимаются, в частности, банки и МФЦ, которые размещают их в Единой биометрической системе. Передача данных в эту систему может осуществляться только при наличии письменного согласия от субъекта данных. Нарушение этих правил влечет за собой штрафные санкции для банков и МФЦ, согласно новой статье КоАП.

Штрафы за размещение и обновление данных в Единой биометрической системе без согласия гражданина составляют:

• для должностных лиц банков и МФЦ — от 100 000 до 300 000 рублей;
• для банков и МФЦ — от 500 000 до 1 000 000 рублей.

Хотите удостовериться в том, что ваша компания уже сейчас не подпадает под штрафные санкции? Пройдите аудит вашей системы работы с персональными данными и выявите грубые нарушения.

Новые требования

Некоторые изменения вступили в силу еще весной 2023 года, однако внимание к ним значительно усилилось лишь после увеличения штрафов за несоблюдение требований.
Рассмотрим, какие нововведения начали действовать с 1 марта 2023 года:

1. Обновленные требования к оценке ущерба в случае утечки персональных данных.
   Теперь операторы обязаны оценивать возможные последствия утечки персональной информации для ее владельцев. С
   1
   марта 2023 года эти требования стали более четко регламентированы.
   Приказ Роскомнадзора № 178 от 27.10.2022 обязывает операторов производить оценку вреда и его степени,
   которая
   может быть нанесена субъектам персональных данных. Оценку должны проводить либо ответственные за организацию
   обработки данных, либо специальная комиссия, сформированная оператором.

   Существует три уровня степени ущерба: высокий, средний и низкий.
   Высокая степень риска устанавливается, если оператор обрабатывает следующие категории данных:

   • биометрическую информацию;
   • сведения личного характера, такие как религиозные убеждения, состояние здоровья, судимости,
     национальность,
     политические взгляды и другие данные особой категории;
   • данные несовершеннолетних;
   • обезличенную информацию, например, собранную для исследований;
   • персональные данные, которые обрабатываются иностранными субъектами;
   • данные, обрабатываемые с использованием баз данных, расположенных за границей, таких как Google Docs.

   Средняя степень риска присваивается в случае, если оператор обрабатывает следующие данные:

   • персональные данные, которые публикуются на сайте компании и доступны для просмотра неограниченным
     числом людей;
   • данные, цель использования которых была изменена;
   • базы данных, полученные от другого оператора и использующиеся для продвижения товаров или услуг;
   • персональные данные пользователей, оставленные на сайте с их согласием на обработку, но не проверенные
     на
     подлинность;
   • данные, полученные с согласия на обработку, в котором указаны различные цели, несовместимые между
     собой.

   Низкая степень риска присваивается оператором в следующих случаях:

   • персональные данные хранятся в общедоступных источниках, таких как справочники или адресные книги, при
     наличии
     согласия субъекта данных;
   • сотрудник, ответственный за обработку персональных данных, не является постоянным членом штата.

   Формат акта о степени риска официально не утвержден, поэтому оператор составляет его в произвольной форме.
   Тем
   не менее, согласно приказу №178, документ должен обязательно включать:

   • наименование и адрес оператора, либо его Ф. И. О. и место проживания;
   • дату создания акта;
   • дату проведения оценки ущерба;
   • Ф. И. О., должность и подпись лица, проводившего оценку;
   • степень ущерба.

   Акт может быть оформлен как в бумажной версии, так и в электронном виде с электронной цифровой подписью.

2. Уведомление о планируемой трансграничной передаче персональных данных.
   Компании и индивидуальные предприниматели, намеренные передавать персональные данные за границу, обязаны
   заранее
   направить уведомление об этом в Роскомнадзор. В течение 10 дней после получения уведомления Роскомнадзор
   примет
   решение о разрешении или запрете на осуществление такой передачи.
3. Уведомление об изменениях в персональных данных, указанных в уведомлении о намерении обрабатывать
   данные.
   В случае изменений в персональных данных, о которых оператор уведомлял. Роскомнадзор, он обязан сообщить об
   этом
   в государственный орган не позднее 15-го числа месяца, следующего за тем, в котором произошли изменения.
4. Акт об уничтожении персональных данных.
   Процедура уничтожения персональных данных должна быть подтверждена соответствующим актом, а также выгрузкой
   данных из журнала регистрации событий, если обработка осуществлялась в электронном формате.

Получить бесплатную консультацию по регистрации в Роскомнадзоре или подготовке документов для работы с персональными данными

Консультация

Что такое персональная информация

Закон №152 «О персональных данных» определяет следующий термин:
Персональная информация (ПДн) — это любые сведения, которые могут прямо или косвенно относиться к конкретному физическому лицу.

Проще говоря, под персональной информацией понимаются такие данные, как фамилия, имя, отчество, паспортные реквизиты, телефонные номера, адреса электронной почты, места проживания, фотографии и т.д. Однако, если сведения не могут быть привязаны к конкретному человеку, они не считаются персональными данными. Например, номер телефона без указания Ф. И. О. владельца не будет персональными данными, но как только появляется информация о владельце номера, это уже ПДн. Персональные данные позволяют идентифицировать определенного человека.

Роскомнадзор относит к категории персональных данных:

• паспортные реквизиты,
• СНИЛС,
• ИНН,
• адрес проживания,
• номер телефона,
• фотографии,
• электронная почта,
• должность,
• национальность,
• политические, философские и религиозные убеждения,
• медицинская информация,
• отпечатки пальцев и голосовые образцы,
• сведения о судимости,
• ссылки на личные страницы,
• cookies и т.д.

Перечень персональных данных является открытым, так как в зависимости от ситуации те или иные сведения могут быть признаны персональными или нет — это определяется тем, позволяют ли они идентифицировать личность человека. Если по имеющейся информации можно установить, кто это, то эти данные считаются персональными. В случаях, когда для идентификации требуются дополнительные сведения, такие данные уже не относятся к категории персональных.

Кто такой субъект и оператор персональных данных

Субъектом персональных данных является физическое лицо, которое прямо или косвенно может быть идентифицировано с помощью этих данных.

Оператором персональных данных выступает государственный или муниципальный орган, а также юридическое или физическое лицо, которое организует и/или осуществляет обработку персональной информации, определяя при этом цели и содержание такой обработки (п. 2 ст. 3 ФЗ №152).

Проще говоря, субъект — это тот, чьи данные используются, а оператор — тот, кто управляет и обрабатывает эти данные.

К примеру, если вы запрашиваете у сотрудника сведения о его образовании для оформления на работу, сами данные — это персональная информация, сотрудник — субъект данных, а вы — оператор этих данных.

Любой бизнес выступает оператором персональных данных. Если вы сомневаетесь, подпадаете ли вы под действие ФЗ №152 «О персональных данных», вы можете проверить это, ответив на следующие вопросы:

• Есть ли у вас сотрудники?
• Сотрудничаете ли вы с самозанятыми?
• Собираете ли вы фамилии, имена, отчества и номера телефонов клиентов на вашем сайте?
• Требуете ли вы Ф. И. О. и адрес электронной почты для регистрации на сайте?
• Осуществляете ли продажи по холодной базе?
• Ищете ли вы сотрудников и собираете резюме?
• Ведете ли CRM-систему с базой клиентов?
• Размещаете ли вы фотографии сотрудников на сайте? Возможно, публикуете фото с производства в соцсетях, на которых видны лица ваших сотрудников?
  Указываете ли вы фамилию и имя эксперта из вашей компании в статьях для СМИ?

Думаем, принцип уже ясен: если хотя бы на один из вопросов вы ответили утвердительно, вы являетесь оператором персональных данных. Это значит, что вам необходимо соблюдать требования закона №152 «О персональных данных».

Если у вас остаются сомнения относительно того, являетесь ли вы оператором, обратитесь за консультацией к нашему юристу.

Что подразумевается под обработкой персональных данных

Обработка персональных данных охватывает все действия, которые осуществляются с этой информацией: сбор, запись, систематизация, анализ, хранение, передача и удаление. Иными словами, любое взаимодействие с персональными данными квалифицируется как их обработка. Например, если вы запросили на сайте имя и номер телефона, вы уже стали оператором и приступили к обработке данных. Если взяли документы для оформления нового сотрудника, это также считается обработкой.

Существует три типа обработки: автоматизированная, смешанная и ручная (неавтоматизированная).

Для законной обработки персональных данных обязательно необходимо письменное согласие от субъекта данных. В согласии должно быть ясно прописано, с какой целью информация будет обрабатываться, будь то рассылка новостей или анализ потребительского поведения на сайте компании.

Важно! В зависимости от целей обработки можно собирать только те данные, которые действительно необходимы. Например, при трудоустройстве работодатель не имеет права запрашивать информацию о семейном положении или отсутствии беременности, так как эти данные не имеют отношения к процессу найма.

Что должна сделать компания при обработке персональных данных сотрудников

Шаг 1. Назначьте ответственного за работу с персональными данными
Как правило, данную функцию в организации берет на себя сотрудник отдела кадров.

Шаг 2. Проверьте наличие вашей компании в реестре операторов Роскомнадзора
Если ваша организация еще не зарегистрирована, необходимо незамедлительно подать уведомление в Роскомнадзор о том, что вы являетесь оператором персональных данных и планируете их обработку. Важно подать это уведомление до начала фактической обработки данных, то есть еще до момента их сбора.

Шаг 3. Актуализируйте документы, связанные с защитой персональных данных
Убедитесь, что ваша политика по защите и обработке персональных данных соответствует всем действующим требованиям законодательства. Важно обеспечить неограниченный доступ к этой политике для всех заинтересованных лиц. Полный пакет документов, касающийся обработки персональных данных, может включать до 60 позиций. Обратите внимание, что для каждого оператора персональных данных (ОПД) набор документов индивидуален и формируется в зависимости от специфики деятельности, характера обработки и передачи данных, а также целей обработки. Разработка и составление полного комплекта документации регулируется многочисленными подзаконными актами.

Шаг 4. Внедрите систему уведомления Роскомнадзора об изменениях
В начале каждого месяца необходимо проверять, произошли ли изменения в персональных данных, которые были переданы ранее в Роскомнадзор. В случае изменений, их нужно сообщить в соответствующий государственный орган до 15 числа месяца, следующего за тем, в котором эти изменения произошли.

Шаг 5. Если еще не сделали — получите согласие сотрудника на обработку персональных данных
Как уже было упомянуто ранее, обработка персональных данных возможна только после того, как будет получено письменное согласие от физического лица. Это согласие должно быть четким, конкретным и ясно определять, кому и для какой цели оно дается. Общие формулировки, такие как «согласен на любую обработку данных в рамках ведения бизнеса на неопределенный срок», не будут приняты контролирующими органами.

Когда вы обрабатываете персональные данные клиентов через интернет

Шаг 1. Актуализируйте документы на сайте
Убедитесь, что политика конфиденциальности на вашем сайте полностью соответствует всем требованиям законодательства.

Шаг 2. Получите согласие пользователей сайта на обработку персональных данных
Обязательно разместите на сайте поле с возможностью для пользователя поставить галочку, подтверждающую его согласие на обработку персональных данных.

Шаг 3. Разработайте регламент для ответов на запросы посетителей сайта
Пользователи могут обратиться к владельцу сайта с вопросами о том, с какой целью собираются их данные, как они обрабатываются и где хранятся. У компании есть 30 дней для предоставления ответа на такие запросы.
Кроме того, пользователь имеет право в любой момент запросить удаление его персональных данных из базы.

Хранение и защита персональных данных
Персональные данные могут находиться на серверах, в облачных хранилищах, на жестких дисках или в бумажном виде, хранящемся в сейфе — всё это считается хранением персональных данных, и к этому процессу предъявляются строгие требования:

• Данные должны храниться столько, сколько необходимо для достижения целей их обработки.
• По собранным данным должно быть возможно установить их владельца (субъекта).
• Если данных недостаточно, оператор обязан уточнить недостающую информацию.
• Персональные данные, собранные для разных целей, должны храниться отдельно друг от друга.
• После завершения обработки данные должны быть либо уничтожены, либо обезличены.

Подробные правила хранения персональной информации регламентируются законами 149-ФЗ и 152-ФЗ.

Ответственность за защиту персональных данных всегда лежит на операторе, даже если он привлекает третьих лиц для обработки информации. Места, где хранятся персональные данные, должны быть надёжно защищены и соответствовать установленным требованиям уровня безопасности. Всего существует четыре уровня защиты, а требования к ним определяются приказом ФСТЭК от 2 июня 2020 года № 76. Вот основные из них:

• Серверы должны находиться в защищённых местах.
• Доступ к серверам должен быть ограничен.
• Прямое подключение к серверам должно быть запрещено.
• Доступ к данным могут иметь только те, у кого есть на это законные полномочия.
• На серверах должно быть установлено программное обеспечение для защиты от угроз, например, антивирус.

Меры по защите данных и порядок их обработки могут быть подробно прописаны в политике конфиденциальности компании. В ней можно описать, как персональные данные хранятся, защищаются и уничтожаются. Также можно разработать отдельную инструкцию для сотрудников о том, как работать с персональными данными внутри организации.

Уничтожение персональных данных
Персональные данные должны быть уничтожены после того, как цели их обработки достигнуты, либо если субъект данных запросил их удаление.

Для документального подтверждения факта уничтожения необходимо составить соответствующий акт и подтвердить уничтожение выгрузкой из журнала регистрации событий, если данные обрабатывались в электронном виде.

Чек-лист: более 60 обязательных документов по защите и обработке персональных данных, которые должны быть в компании

1. Акт о выявлении нарушений в сфере защиты персональных данных
2. Акт об уничтожении машинных носителей персональных данных
3. Акт об уничтожении персональных данных
4. Акт определения необходимого уровня защищенности информационной системы персональных данных
5. Акт оценки вреда, который может быть причинен субъекту персональных данных
6. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных дых
7. Журнал сдачи и приема под охрану помещений
8. Журнал учета лиц, допущенных к работе с персональными данными в информационных системах
9. Журнал учета машинных носителей персональных данных
10. Журнал учета мероприятий по контролю выполнения требований по обеспечению безопасности ПДн при их обработке в ИСПДн
11. Журнал учета нештатных ситуаций, фактов вскрытия и опечатывания АРМ выполнения профилактических работ
12. Журнал учета обращений субъектов ПДн
13. Журнал учета процедур резервного копирования
14. Журнал учета средств защиты информации
15. Журнале учета прохождения первичного инструктажа работниками, допущенными к работе с персональными данными
16. Заявление о предоставлении выписки из реестра операторов
17. Инструкция администратора информационной безопасности
18. Инструкция ответственного за организацию обработки персональных данных
19. Инструкция по применению антивирусных средств защиты
20. Инструкция по работе с машинными носителями, содержащими персональные данные
21. Инструкция по учету лиц, допущенных к работе с персональными данными
22. Инструкция по физической охране и контролю доступа в помещения
23. Инструкция работников обслуживающих информационные системы персональных данных
24. Инструкция по проведению инструктажа работников, допущенных к работе с персональными данными
25. Лист ознакомления
26. Матрица доступа к ИСПДн
27. Обязательство о неразглашении персональных данных работников
28. Отзыв согласия на обработку персональных данных
29. Отказ от согласия на обработку персональных данных
30. План контроля выполнения требований по обеспечению безопасности ПДн при их обработке в ИСПДн
31. Политика оператора в отношении обработки персональных данных
32. Положение о комиссии по обеспечению безопасности персональных данных
33. Положение о парольной защите при обработке персональных данных
34. Положение о порядке уничтожения персональных данных
35. Положение об обработке персональных данных
36. Положение об организации видеонаблюдения
37. Положение об ответственности работников, допущенных к обработке персональных данных
38. Правила выявления инцидентов информационной безопасности информационных систем персональных данных
39. Правила оборудования помещений используемых для обработки персональных данных
40. Правила оценки вреда, который может быть причинен субъекту персональных данных
41. Правила рассмотрения обращений субъектов персональных данных
42. Приказ о назначении администратора информационной безопасности
43. Приказ о назначении ответственного за организацию обработки персональных данных
44. Приказ о создании комиссии по уничтожению персональных данных
45. Приказ об утверждении комиссии по обеспечению безопасности персональных данных
46. Приказ об утверждении локальных нормативных актов
47. Приказ об утверждении перечня должностей работников, доступ которых к персональным данным, обрабатываемым в ИСПДн, необходим для выполнения трудовых обязанностей
48. Приказ об утверждении политики оператора в отношении обработки персональных данных
49. Приказ об утверждении списка помещений, предназначенных для обработки персональных данных
50. Протокол заседания комиссии по обеспечению безопасности персональных данных
51. Регламент резервного копирования и восстановления информации в ИСПДн
52. Согласие на обработку персональных данных
53. Согласие на обработку персональных данных несовершеннолетнего
54. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения
55. Согласие на передачу персональных данных работника третьей стороне
56. Согласие на получение персональных данных от третьих лиц
57. Согласие сотрудника на осуществление видеонаблюдения на рабочем месте
58. Уведомление о намерении осуществлять обработку персональных данных
59. Уведомление о прекращении обработки персональных данных
60. Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных

Для клиентов в интернете

1. Политика конфиденциальности персональных данных пользователей сайта.
2. Регламент ответов на запросы посетителей сайта.
3. Согласие на обработку персональных данных пользователей сайта.
4. Поручение на обработку персональных данных контрагенту.

Вопросы обработки персональных данных в организации – крайне важный и объемный момент, который зачастую компаниям не под силу корректно организовать самостоятельно. Поэтому если вы ранее не сталкивались с ПД и их обработкой, рекомендуется доверить эту сферу опытным юристам, которые под ключ проведут все мероприятия в части персональных данных и обезопасят вашу организацию от существенных штрафов.