Ответственность за обработку персональных данных

13.01.2023
19/02/25
Б-152
Ответственность за обработку персональных данных
Ответственность за обработку персональных данных ужесточается ежегодно.

Что такое персональные данные

Персональные данные ― это любые сведения о человеке, с помощью которых его можно идентифицировать. Это может быть ФИО, дата и место рождения, адрес, паспортные данные человека, а также биометрия и многое другое.

Персональные данные требуются при оформлении трудовых отношений, учете рабочего времени, расчете зарплаты, ведении кадрового делопроизводства и решении множества других задач, которые связаны с деятельностью работника. Кроме того, сбор персональных данных клиентов ведут государственные учреждения, а также различные магазины, турагентства и прочие коммерческие организации.

Обработка личных данных включает сбор, систематизацию, использование, обезличивание, уничтожение и прочие виды взаимодействия с информацией о человеке.

Как правильно организовать обработку персональных данных

Правила обработки ПДн регламентирует ФЗ-152. В законе прописано, что обязанность оператора ― предотвращать утечку личных данных сотрудников и клиентов. То есть правильная организация работы с персональными данными крайне важна. Меры, которые обязан предпринять оператор, прописаны в ст. 18.1.

Укажем основные:

  • В компании необходимо разработать локальные нормативные акты, касающиеся работы с личными данными. Если ЛНА в компании нет ― возможны крупные штрафы за обработку персональных данных как для должностных лиц, так и непосредственно для индивидуального предпринимателя и компании. В локальных нормативных актах прописывают правила обработки, хранения, использования личных сведений, перечень ответственных лиц, которые имеют доступ к персональным данным, а также документацию, которая содержит персональные данные, порядок передачи информации в рамках организации и третьим лицам, ответственность за нарушение положений.
  • Руководитель должен назначить ответственное лицо. Оно будет отвечать за организацию работы с ПДн в компании. Также он определяет круг лиц, у которых будет доступ к личным сведениям. Доступ должен быть только у определенных работников. При этом каждый из них должен подписать обязательство о неразглашении.
  • Обязательно создание форм согласия на обработку ПДн, которые соответствуют требованиям ФЗ-152. Собирать информацию от их владельцев можно только после того, как они подпишут такое согласие.
  • В обязательном порядке следует направить в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных.

Особенности хранения и защиты персональных данных

Чтобы не получить штраф за нарушение обработки персональных данных, важно обеспечить их правильное хранение и защиту.

Безопасное хранение информации зависит от способа ее обработки. Если применяются автоматизированные средства ― необходимо соблюдать требования, указанные в Приказе ФСТЭК №21 от 18 февраля 2013 года. В этом случае речь идет о периодическом изменении паролей, ограничении доступа к базам данных. Если сведения обрабатывают вручную, они хранятся на бумажных носителях ― необходимо организовать места для их хранения и установить в этих помещениях системы видеонаблюдения и сигнализации.

Когда уничтожают персональные данные

Личные сведения уничтожают в случаях, предусмотренных в законодательстве. После уничтожения информацию восстановить не получится. Если данные хранили на бумаге, бумажный носитель тоже подлежит уничтожению.

Случаи, в которых ПДн необходимо уничтожить:

  • Цели обработки достигнуты, необходимость в их достижении отсутствует.
  • Присутствует информация о том, что данные были получены незаконно или не нужны для заявленных целей обработки.
  • Установлено, что обработка ПДн велась неправомерно.
  • Субъект отозвал согласие на обработку личных сведений или необходимость в их сохранении отсутствует.

Юридическое лицо или предприниматель самостоятельно выбирают, каким образом будут уничтожены ПДн. Уничтожением может заниматься либо команда сотрудников, либо один специалист. Важно доказать факт уничтожения перед Роскомнадзором.

При ручной обработке личных сведений следует составить акт об уничтожении. При автоматической или смешанной ― сформировать отчет из журнала регистрации событий в системе ПДн. Акт можно сделать как в электронном, так и в бумажном виде. Необходимо хранить его на протяжении трех лет.

Штрафы в зависимости от выручки за утечку личных данных

Ответственность за обработку персональных данных с 2025 года

Штрафные санкции за утечку биометрических данных

Требования по подаче уведомлений в Роскомнадзор

Ответственность за нарушение обработки персональных данных вновь ужесточили. Президент РФ утвердил ряд законов, в которых прописаны изменения для компаний, ИП и должностных лиц.

На данный момент обработку ПДн в России ведет более 5 миллионов юридических лиц и индивидуальных предпринимателей. Со стороны Роскомнадзора поступило предложение об ограничении сбора данных. То есть теперь организации и ИП смогут собирать и обрабатывать только ту информацию, которая требуется для выполнения определенных задач.

При этом сбор данных будет проходить не только после подписания соглашения с их владельцем, но и в соответствии с новыми требованиями законов. Какая ответственность за незаконную обработку персональных данных грозит бизнесу ― читайте ниже.

Уголовная ответственность

C 30 мая 2025 года в силу вступает ФЗ-420, который ввел новые «оборотные» штрафы за обработку персональных данных, в частности, за их утечку. Сумма штрафов зависит от дохода организации за конкретный период. А под утечкой понимают передачу, предоставление, распространение или открытие доступа к личным сведениям посторонним лицам.

Ранее таких штрафов не было. Нарушения квалифицировали как обработку ПДн без согласия граждан. Максимальная сумма штрафных санкций составляла 700 тыс. рублей для юрлиц и 15 тыс. рублей для физлиц.

Теперь в статье 13.11 КоАП появились новые части ― 12-18, которые определяют новые составы правонарушений и увеличенные суммы штрафов. Так, если утечка информации затронула от 1 до 10 тыс. человек, бизнес оштрафуют на следующие суммы:

  • физические лица ― 100-200 тыс. рублей;
  • должностные лица ― 200-400 тыс. рублей;
  • ИП и организации ― 3-5 млн рублей.

Если передача данных затронула 10-100 тыс. человек, сумма штрафа составит:

  • физические лица ― 200-300 тыс. рублей;
  • должностные лица ― 300-500 тыс. рублей;
  • организации и предприниматели ― 5-10 млн рублей.

Если в результате утечки пострадало более 100 тыс. человек, штраф составит:

  • физические лица ― 300-400 тыс. рублей;
  • должностные лица ― 400-600 тыс. рублей;
  • ИП и организации ― 10-15 млн рублей.

При повторных нарушениях компании грозит оборотный штраф, который зависит от ее годовой выручки. Сумма штрафных санкций может достигать 3% от дохода, но не менее 20 млн рублей. Максимальный штраф за повторное нарушение составляет 500 млн рублей.
Утечке биометрии также уделено пристальное внимание. К биометрическим данным относятся голосовые записи, отпечатки пальцев, снимки лица.

Действуют следующие штрафные санкции за нарушения:

  • физические лица ― 400-500 тыс. рублей;
  • должностные лица ― 1,3-1,5 млн рублей;
  • организации и ИП ― 15-20 млн рублей.

При повторных нарушениях сумма штрафов увеличивается. Минимальный размер составляет 25 млн рублей, а максимальный ― 500 млн рублей.
C 30 мая 2025 года увеличены штрафы за непредставление или несвоевременное представление уведомлений в Роскомнадзор. Юридические лица, предприниматели и самозанятые обязаны уведомлять РКН о намерениях обрабатывать персональные данные. Если нарушить это требование, бизнесу грозят следующие штрафы:

  • физические лица ― 5-10 тыс. рублей;
  • должностные лица ― 30-50 тыс. рублей;
  • организации и предприниматели ― 100-300 тыс. рублей.

Также обязанность организации ― уведомить Роскомнадзор о факте утечки личных сведений в течение 24 часов. Если такое уведомление не представлено своевременно, возможны следующие штрафы:

  • физические лица ― 50-100 тыс. рублей;
  • должностные лица ― 400-800 тыс. рублей;
  • компании и ИП ― 1-3 млн рублей.
Новый закон ФЗ-421, а также новая статья 272.1 в Уголовном кодексе РФ вступили в силу с 11 декабря 2024 года. В статье установлена уголовная ответственность за сбор, передачу и хранение данных, которые получены незаконным путем, а также за создание ресурсов для распространения этих сведений.

Какие наказания грозят за нарушения:

  • штраф за незаконную обработку персональных данных ― до 300 тыс. рублей;
  • принудительные работы сроком до 4-х лет;
  • лишение свободы на срок до 4-х лет.

Если незаконно полученные сведения касаются несовершеннолетних либо содержат биометрию, штраф увеличивается до 700 тыс. рублей, а срок лишения свободы ― до 5 лет. При незаконной передаче данных за границу предусмотрено максимальное наказание ― 8 лет лишения свободы и штраф до 2 млн рублей.

Все перечисленные выше меры направлены на то, чтобы усилить защиту персональных данных и снизить риск их несанкционированного использования.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме