Новые штрафы за нарушение закона о персональных данных: как компаниям избежать рисков на 1,5 млн рублей

Закон о персональных данных действует уже с 2006 года, за это время штрафы за его нарушения поднимались неоднократно. С 23 декабря 2023 года они возросли еще больше — до 1,5 млн рублей. В связи с этим мы решили рассказать, как же компании должны работать с персональными данными, чтобы избежать рисков.
8,1 тыс. 635
Новые штрафы за нарушение закона о персональных данных: как компаниям избежать рисков на 1,5 млн рублей
Иллюстрация: Вера Ревина/Клерк.ру

Что изменилось в законе о персональных данных в 2023 году

Новые штрафы

Любая компания или ИП обязаны перед обработкой персональных данных получить на это согласие физлица: в письменной форме либо же в форме электронного документы, подписанного ЭЦП. Согласие на обработку персональных данных обязательно должно быть конкретным, предметным, информированным, сознательным и однозначным (ч. 1 ст. 9 закона № 152-ФЗ).

Кроме того, согласие может быть в любой момент отозвано (ст. 9 закона № 152-ФЗ). Тогда оператор обязан прекратить обработку персональных данных и уничтожить те, что ранее собрал. 

Обработка персональных данных без согласия физлица, в том числе и в случаях, когда согласие на обработку было отозвано, является основанием для привлечения организации и ИП к административной ответственности по ч. 2 ст. 13.11 КоАП

С 23 декабря 2023 года вступает в силу закон от 12.12.2023 № 589-ФЗ, который увеличил размер штрафов за обработку персональных данных без согласия.

Было

Стало

Физлицо

от 6000 до 10 000 рублей

от 10 000 до 15 000 рублей

Должностное лицо или ИП

от 20 000 до 40 000 рублей

от 100 000 до 300 000 рублей

Компания

от 30 000 до 150 000 рублей

от 300 000 до 700 000 рублей

Штрафы за повторное нарушение также подняли в разы: 

Было

Стало

Физлицо

от 10 000 до 20 000 рублей

от 15 000 до 30 000 рублей

Должностное лицо 

от 40 000 до 100 000 рублей

от 300 000 до 500 000 рублей

ИП

от 100 000 до 300 000 рублей

от 500 000 до 1 000 000 рублей

Компания

от 300 000 до 500 000 рублей

от 1 000 000 до 1 500 000 рублей

Важно! Компанию и ИП также оштрафуют, даже если согласие будет, но в нем будут отсутствовать обязательные сведения. 

Требования к содержанию согласия на обработку персональных данных установлены в соответствии с приказом Роскомнадзора от 24.02.2021 № 18. Согласие должно содержать не только Ф. И. О. и паспортные данные, но и наименование и адрес оператора, цель обработки данных, перечень обрабатываемых данных, действий с данными, сведения об информационных ресурсах оператора, срок действия согласия и подпись физлица, предоставляющего свои данные.

Если часть требований не учесть при составлении согласия, обработка будет считаться проведенной без согласия, а оператору будет грозить крупный штраф.

Кроме того, появились и новые штрафы за нарушение правил работы с биометрическими персональными данными. С 23 декабря 2023 года вводится в действие новая ст. 13.11.3 КоАП «Нарушение требований в области размещения биометрических персональных данных».

Биометрические персональные данные — это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (ст. 11 закона от 27.07.2006 № 152-ФЗ). Обработкой биометрических персональных данных занимаются банки и МФЦ. Он размещают данные в Единой биометрической системе. Сделать это можно только с письменного согласия физлица. За нарушение банкам и МФЦ грозит штраф по новой статье КоАП.

Штрафы за размещение и обновление персональных данных в Единой биометрической системе без согласия физлица:

  • для должностных лиц банков и МФЦ — от 100 000 до 300 000 рублей;

  • для банков и МФЦ — от 500 000 до 1 000 000 рублей.

Комментарий эксперта

«Всего пару лет назад были популярны финансовые криптопирамиды, и многие граждане оказались их участниками из-за утечек персональных данных. Незаконные действия работодателей и сотрудников привели к тому, что персональные данные попали в руки мошенников, которые оформили на сотрудников этих компаний микрозаймы. О кредитах субъекты персональных данных узнали только тогда, когда их долги достигли нескольких миллионов. При этом у них не было доступа к личным кабинетам, что привело к значительным финансовым потерям граждан. Компании, из которых произошла утечка, поплатились репутацией, также им пришлось выплатить штрафы в Роскомнадзор. 

Эта история может произойти с любой организацией, если не принимать действий по защите персональных данных и не соблюдать законодательство в этой сфере. Нередки случаи, когда кто-то из сотрудников продает базу персональных данных сторонним организациями, в том числе занимающимся незаконной деятельностью, с целью финансового обогащения. 

Особенно аккуратными надо быть компаниям, у которых есть свои интернет-ресурсы, так как в силу алгоритмов работы Роскомнадзора, подобные ресурсы подвергаются первостепенному контролю.

Собственно, очередное повышение штрафов свидетельствует о том, что проблема все еще актуальна. По-прежнему утечкой персональных данных пользуются те или иные мошеннические структуры, что прибавляет работы правоохранительным органам. Поэтому с целью организации внутренней политики страны Роскомнадзор принял решение поднять штрафы, чтобы стимулировать компании тщательнее соблюдать закон о персональных данных».

Ирина Пашкова, эксперт по правовой защите персональных данных Первой Экспертной Бухгалтерии.

Новые требования

Некоторые правила поменялись еще с весны 2023 года, но многие обратили внимание на изменения только после того, как штрафы за нарушения выросли.

Итак, вспомним, что же изменилось с 1 марта 2023 года.

1. Новые требования к оценке вреда в случае утечки персональных данных. 

Оператор обязан оценивать степень вреда, которую нанесет утечка персональных данных их владельцу. С 1 марта 2023 года требования к такой оценке стали конкретными. 

Приказ Роскомнадзора № 178 от 27.10.2022 обязывает операторов организовать комиссию для оценки вреда от утечки персональных данных и результат оформить актом об оценке возможного вреда субъектам персональных данных. 

Всего степеней вреда три: высокая, средняя и низкая. 

Высокая степень присуждается, если у оператора есть:

  • биометрические персданные;

  • сведения личного характера о религии, здоровье, судимостях, национальности, политических взглядах субъекта персональных данных и другие данные особой категории;

  • персональные данные несовершеннолетних;

  • обезличенные персональные данные;

  • персданные, которые обрабатывает иностранное лицо;

  • персданные, которые собирают иностранные базы данных за пределами России.

Средняя степень присуждается, если у оператора есть:

  • персональные данные, которые распространяются на сайте компании и которые может увидеть неограниченный круг лиц;

  • персданные, цель использования которых изменилась;

  • базы данных другого оператора, которые он использует для продвижения товаров или услуг;

  • персданные пользователей, которые они оставляют на сайте компании с согласием на использование, но которые не проверены на подлинность;

  • персданные, которые получены с согласием на обработку по положению, в котором указаны разные, несовместимые друг с другом, цели использования.

Низкая степень присуждается оператором, если:

  • персональные данные хранятся в общедоступном архиве, например, справочнике или адресной книге, с согласия субъекта;

  • ответственный за обработку персональных данных сотрудник не входит в постоянный штат.

Формы акта о степени вреда не утверждена, поэтому оператор персональных данных составляет ее в свободной форме. Однако существуют требования к этому документу (приказ №178) — он обязательно должен содержать: 

  • наименование и адрес оператора либо его Ф. И. О. и адрес;

  • дату создания акта;

  • дату проведения оценки вреда;

  • Ф. И. О. и должность того, кто проводил оценку, его подпись;

  • степень вреда.

Акт можно составить на бумаге либо в электронном формате, подписав его ЭЦП.

2. Уведомление о намерении осуществить трансграничную передачу персональных данных.

Организации и ИП, которые собираются передавать персданные за границу, должны заранее подать уведомление об этом в Роскомнадзор. После этого Роскомнадзор в течение 10 дней примет решение, разрешить или запретить такую передачу.

3. Уведомление об изменениях в персональных данных, содержащихся в уведомлении о намерении осуществлять обработку персональных данных.

Если персональные данные, по которым оператор уведомлял Роскомнадзор, изменились, он должен уведомить об этом орган государственной власти до 15 числа месяца, следующего за месяцем, в котором произошли изменения.

4. Акт об уничтожении персданных.

Уничтожение персональных данных оператор должен подтвердить актом и выгрузкой из журнала регистрации событий, если он обрабатывал персданные в электронном виде.

Хотите защитить свой бизнес от штрафов на 1,5 млн от Роскомнадзора?

Возьмем на себя все заботы о персональных данных и защитим от претензий Роскомнадзора

Оставьте заявку, мы перезвоним:

Принимаю оферту и даю согласие по перс.данным

Что такое персональные данные

Закон №152 «О персональных данных» дает следующее определение:

Персональные данные (ПДн) — это любая информация, относящаяся к прямо или косвенно к определенному физическому лицу.

Простыми словами, персональные данные — это Ф. И. О., паспортные данные, номера телефона, адреса электронных почт, адреса проживания, фотографии и т.д. Однако если данные не относятся к конкретному человеку, то персональными они не являются. Так, просто номер телефона, без Ф. И. О. его владельца, ПДн не будет, а вот если в данных есть сведения, кому этот номер принадлежит, то это уже ПДн. По персональным данным можно идентифицировать конкретного человека.

Роскомнадзор относит к категории персональных данных:

  • паспортные данные,

  • СНИЛС,

  • ИНН,

  • адрес регистрации,

  • номер телефона,

  • фотографии,

  • адрес электронной почты,

  • должность,

  • национальность,

  • политические, философские и религиозные взгляды,

  • информацию о здоровье, 

  • отпечатки пальцев и образцы голоса,

  • информацию о судимостях,

  • ссылки на личные страницы,

  • cookies и т.д.

Перечень открытый, так как в зависимости от контекста те или иные данные будут относится с персональным или нет — в зависимости от того, можно ли по ним идентифицировать личность человека. Если по данным можно идентифицировать человека, то это персональные данные. Если для идентификации нужны дополнительные сведения — это уже не персональные данные.

Кто такой субъект и оператор персональных данных

Субъект персональных данных — физическое лицо, которое прямо или косвенно определено с помощью персональных данных.

Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных (п. 2 ст. 3 ФЗ №152).

Простыми словами, субъект — тот, чьи данные обрабатываются, а оператор — тот, кто эту обработку осуществляет. 

Например, если вы запросили у сотрудника данные об образовании при трудоустройстве, то сами данные — это ПДн, сотрудник — субъект ПДн, а вы — оператор ПДн. 

Любой бизнес является оператором персональных данных. Если вы не уверены, касается ли вас ФЗ №152 «О персональных данных», вы можете проверить себя, ответив на следующие вопросы:

  • У вас есть сотрудники?

  • Вы сотрудничаете с самозанятыми? 

  • Собираете Ф. И. О. и номера телефонов клиентов на сайте?

  • Для регистрации на вашем сайте нужны Ф.И,О. и почта?

  • Продаете по холодной базе? 

  • Ищите сотрудников и собираете резюме?

  • Ведете CRM-систему с базой клиентов? 

  • У вас есть фото сотрудников на сайте? Может быть размещаете фото с производства в соцсетях и на них есть лица ваших сотрудников? Публикуете статьи в СМИ и указываете фамилию и имя эксперта из вашей компании? 

Думаем, общий смысл уже понятен. Если вы хотя бы один раз ответили «да», вы оператор персональных данных. А значит, вы должны соблюдать закон №152 «О персональных данных».

Если вы все еще не уверены, являетесь ли оператором персональных данных — проконсультируйтесь с нашим юристом.

Что такое обработка ПДн

Это сбор, запись, систематизация, анализ, хранение, передача, уничтожение персональных данных, т.е. любое действие с персональными данными. Вы запросили имя и номер телефона на сайте — вы стали оператором и занимаетесь обработкой персональных данных, взяли документы для трудоустройства сотрудника — обрабатываете персданные и т.д.

Обработка бывает автоматизированной, смешанной и неавтоматизированной, то есть происходит вручную.

На обработку персональных данных обязательно нужно получать письменное согласие физлица. В согласии должны быть четко прописаны цели обработки ПДн, например, для рассылки полезных статей редакции или для анализа потребительского поведения на сайте компании. 

Важно! В зависимости от целей обработки собирать можно только определенные данные. Например, при трудоустройстве сотрудника работодатель не имеет права запрашивать справку о семейном положении или отсутствии беременности.

Что должна сделать компания

Когда обрабатывает персональные сотрудников

Шаг 1. Убедитесь, что вы числитесь в реестре операторов Роскомнадзора.

Если нет — срочно подайте уведомление в Роскомнадзор о том, что являетесь оператором персональных данных и собираетесь осуществлять их обработку. В идеале это уведомление необходимо подать до того, как началась обработка, то есть еще до сбора персональных данных.

Шаг 2. Создайте и внедрите систему информирования Роскомнадзора об инцидентах по утечке персданных.

Также разработайте порядок расследования таких инцидентов внутри компании.

Шаг 3. Актуализируйте документы о защите персональных данных.

Проверьте, соответствуют ли положение о персональных данных и политика защиты и обработки персональных данных всем требованиям законодательства. 

Шаг 4. Назначьте ответственного по работе с персональными данными

Чаще всего в компании этим сотрудником является кадровик.

Шаг 5. Если еще не — возьмите согласие сотрудника на обработку персональных данных.

Как мы уже писали выше, обработка персданных может происходить только после получения письменного согласия физлица на это. Причем согласие должно быть написано четко, ясно, предметно и конкретно: кому и для чего человек дает согласие на обработку. Общие формулировки по типу «согласен на любую обработку персональных данных с целью ведения бизнеса на неопределенный срок» контролирующий орган не примет.

Когда обрабатывает персональные данные клиентов через интернет

Шаг 5. Актуализируйте документы на сайте.

Проверьте, соответствуют ли политика обработки персональных данных посетителей сайта всем требованиям законодательства. 

Шаг 6. Создайте регламент ответов на запросы посетителей сайта.

Пользователи могут запрашивать у владельца сайта, для каких целей собираются их данные, как они обрабатываются, где хранятся и т.д. У компании есть месяц, чтобы ответить на такое обращение. 

Также пользователь имеет право в любой момент потребовать удалить персональные данные о нем из базы.

Шаг 7. Получите согласие на обработку персональных данных пользователей сайта.

Не забудьте разместить на странице сайта поле для галочки о согласии пользователя на обработку данных.

Хранение и защита персональных данных

Персональные данные могут хранится на серверах, облаке, жестких дисках, на бумаге в сейфе — все это называется хранение персональных данных, и к нему много требований:

  • Хранить данные нужно столько, сколько требуется для их обработки.

  • По данным должно быть возможно определить их субъекта.

  • Если данных не хватает, оператор должен их уточнить. 

  • Персональные данные, собранные для разных целей, должны храниться отдельно.

  • После обработки ПДн должны быть уничтожены или обезличены.

Подробности правил хранения прописаны в 149-ФЗ и 152-ФЗ

За защиту всегда отвечает оператор, даже если привлекает для обработки сторонних лиц. Места хранения персональных данных должны быть хорошо защищены, т.е. отвечать требованиям уровня защиты. Всего уровней защиты четвертые, а требования к ним прописаны приказом ФСТЭК от 2 июня 2020 г. № 76. Перечислим основные:

  • серверы должны быть установлены в защищенном месте;

  • к серверам должен быть ограниченный доступ;

  • должно быть запрещено прямое подключение к серверам;

  • доступ к данным должен быть только у тех, у кого есть на это права;

  • должно быть установлено ПО, которое защищает от угроз, например, антивирус. 

Порядок работы, в том числе меры защиты персональных данных, может быть прописан в политике конфиденциальности. Там можно прописать подробно, как хранить, защищать, уничтожать персональные данные. Также можно составить отдельную инструкцию о порядке работы сотрудников с персональными данными в компании.

Уничтожение

Уничтожать ПДн необходимо после того, как все цели обработки были достигнуты. Или после того, как субъект персональных данных потребовал их уничтожить. 

Чтобы документально зафиксировать уничтожение, необходимо издать акт и подтвердить уничтожение выгрузкой из журнала регистрации событий, если обрабатывали персданные в электронном виде.

Чек-лист: 24 документа по персональным данным, которые должны быть в компании

Для сотрудников 

  1. Уведомление о намерении осуществлять обработку персональных данных.

  2. Положение о работе с персональными данными работников. 

  3. Политика защиты и обработки персональных данных. 

  4. Приказ о назначении ответственного по работе с персональными данными. 

  5. Согласие сотрудника на обработку персональных данных. 

  6. Уведомление Роскомнадзора об осуществлении трансграничной передачи персональных данных. 

  7. Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных.

  8. Акт об оценке возможного вреда субъектам персональных данных.

  9. Регламент допуска работников к обработке персональных данных. 

  10. Обязательство о неразглашении персональных данных работников  

  11. Дополнительное соглашение о допуске к персональным данным. 

  12. Уведомление Роскомнадзора о намерении осуществить трансграничную передачу персональных данных. 

  13. Согласие на получение персональных данных у третьих лиц. 

  14. Согласие сотрудника на распространение его персональных данных.

  15. Согласие на обработку биометрических персональных данных. 

  16. Акт об уничтожении персональных данных. 

  17. Выгрузка из журнала регистрации событий в информационной системе персональных данных. 

  18. Уведомление Роскомнадзора об уничтожении персональных данных сотрудника. 

  19. Ответ на запрос Роскомнадзора о дополнении неполных сведений в уведомлении о трансграничной передаче персданных. 

  20. Ответ на запрос Роскомнадзора об исправлении неточных сведений об организации в уведомлении о трансграничной передаче персданных. 

Для клиентов в интернете

21. Политика обработки персональных данных посетителей сайта.

22. Регламент ответов на запросы посетителей сайта.

23. Согласие на обработку персональных данных пользователей сайта.

24. Поручение на обработку персональных данных контрагенту.

Настроим работу с персональными данными с нуля

Проведем аудит, подготовим недостающие документы и подадим уведомления в Роскомнадзор

Реклама: ООО «Центр Бухгалтерских Решений», ИНН 5902063551, erid: LjN8KWwZC

Начать дискуссию

Российским банкам теперь доступен выбор канала биометрического обслуживания

Задача внедрения биометрии станет проще и дешевле для 200+ банков. Ниже порог — выше выполнимость задачи.

Курсы повышения
квалификации

20
Официальное удостоверение с занесением в госреестр Рособрнадзора

⚡️Новые санкции США: 11 российских банков и НСПК

США объявляют санкции против 11 российских банков, включая известные Модульбанк и Авангард, а также Национальную систему платежных карт (НСПК). В список попали и значимые финансовые структуры, среди которых БСФ Капитал и Эльбрус Капитал, что говорит о расширении масштабов ограничительных мер.

256

🪡 Бизнес на иголках. Колючая история Рязанского предпринимательства

Без чего невозможно представить всю текстильную промышленность? Без мелочи. Без иголки. Давайте ненадолго переместимся в те времена, когда одно предприятие Рязанской губернии обеспечивало игольными изделиями не только всю Россию, но и было известно далеко за ее пределами. Переяславль-Рязанский, 1700 год.

🪡 Бизнес на иголках. Колючая история Рязанского предпринимательства
Лучшие спикеры, новый каждый день
Бесплатно с Кадровый учет

Трудовой договор с дистанционным работником в 2024 году: образец

Дистанционная работа (ст. 312.1 ТК) выполняется вне места нахождения работодателя, вне стационарного рабочего места, территории или объекта, прямо или косвенно находящихся под контролем работодателя. Как правило, для выполнения трудовой функции и взаимодействия используются информационно-телекоммуникационные сети общего пользования, в том числе интернет.

Трудовой договор с дистанционным работником в 2024 году: образец

Должен ли бухгалтер компенсировать ущерб из-за своей ошибки?

Ошибки бухгалтера. Коллеги, добрый день. Поделитесь. Если из-за ошибки бухгалтера организация несёт расход. В моём случае, больничный лист переплата, около 10 тыс руб. Первый раз такое за 17 лет. Должен ли бухгалтер возместить эти суммы работодателю? Малый бизнес, главбух в единственном лице 🤦‍♀

85

С Днём защитника Отечества!

Дорогие коллеги! От имени всего коллектива поздравляем вас с Днём защитника Отечества!

Опытом делятся эксперты-практики, без воды
IT-компании

Иностранные IT-компании не смогут получать льготы в РФ

Из реестра аккредитованных IT-компаний уберут иностранный бизнес. Предприятия не смогут получать налоговые преференции и отсрочку от армии для своих сотрудников.

Утвердят бланк, чтобы останавливать упрощенную ликвидацию компании

С 1 июля 2023 года действует процедура упрощенной ликвидации компаний малого бизнеса. Но если учредители передумали и решили продолжить бизнес, надо подать заявление об остановки процесса ликвидации. Формы такого заявления сейчас нет. Но оно будет.

Новости ФНС

ФНС будет получать данные о загранпаспортах

МВД будет сообщать налоговикам сведения о выдаче россиянам загранпаспортов. Форму таких сведений утвердят.

351

Празднование 23 февраля. Самый лучший подарок мужу

Я сломала раковину в кухне. И это самое лучшее поздравление сильному мужчине ❤️

Празднование 23 февраля. Самый лучший подарок мужу

🙎 Бухгалтеры не понимают, как считать НДФЛ 15% и зачем ФНС сравнивает 6-НДФЛ с уведомлениями. Топ новостей за неделю

Мы собрали для вас самые важные бухгалтерские новости прошлой недели, которые вы могли пропустить.

Вклады

Банки начнут открывать вклады по биометрии

Взять кредит или открыть вклад будет можно без личного визита в офис банка, идентификацию клиентов будут проводить по биометрии.

Миникурсы, текстовые и видеоинструкции для бухгалтеров
Маркетинг

Цветы к 8 Марта подорожают на 15-20%

Из-за проблем с логистикой и высокого спроса средняя стоимость праздничного букета вырастет до 3,4 тысяч рублей.

143

Как реагировать на критику клиентов и конкурентов? 5 моментов

Критика в бизнесе — не только неприятный момент столкновения с обратной связью покупателей и конкурентов, но и шанс на улучшения. Предприниматели должны уметь трезво оценить её и использовать для роста компании. Чтобы это сделать, можно воспользоваться следующим алгоритмом.

Как реагировать на критику клиентов и конкурентов? 5 моментов
Инвестиции

Отчётность по РСБУ и МСФО: в чём отличия и что важно знать инвесторам

Если компания становится публичной и присутствует на бирже, она обязана раскрывать свою финансовую информацию. У нас чаще всего используются отчётности по РСБУ (российским стандартам бухгалтерского учета) и МСФО (международным стандартам финансовой отчетности).

Отчётность по РСБУ и МСФО: в чём отличия и что важно знать инвесторам
202
Новости ФНС

Как восстановить пароль от своего личного кабинета налогоплательщика

Иногда налогоплательщик не может войти в личный кабинет на сайте ФНС по причине утери пароля доступа. Пароль можно восстановить.

Сколько зарабатывает аналитик 1С без опыта

Обошли весь сайт hh.ru и нашли вакансии для начинающих аналитиков 1С. Оказалось, что в среднем выпускники курсов без опыта могут получать до 75 тыс. рублей, а стажеры около 40-50 тыс. рублей.

Трудовые отношения

За год Роструд восстановил права 300 тысяч сотрудников

Работодатели погасили долги по зарплате на 12 млрд рублей, число жалоб от сотрудников на нарушение их трудовых прав сократилось на треть.

Законопроекты

Кабмин против того, чтобы производители крупно писали объем и вес продуктов

Правительство не согласилось с тем, чтобы информация о весе и объеме продуктов питания занимала не меньше 15% от площади упаковки или этикетки.

Банки

Банк «Точка»: все сервисы и услуги работают бесперебойно

В Трибуне «Клерка» пользователь написал пост, в котором постарался разобраться, что же произошло в результате отзыва лицензии у Банка КИВИ и как это повлияло на клиентов другого банка — «Точки». Пост получился жестким и набрал много комментариев, в которые заглянули и представители банка.