Увеличение штрафов за нарушение требований законодательства о персональных данных
НазадЗакон не только существенно увеличивает размер штрафов, но и классифицирует составы нарушений в сфере персональных данных. Кроме того, расширяются полномочия Роскомнадзора в области персональных данных: ведомство сможет составлять протоколы об административных правонарушениях в области персональных данных.
Так, штраф за обработку персональных данных без согласия в письменной форме (при необходимости такого согласия) увеличится до 75 000 рублей, штраф за обработку персональных данных в случаях, не предусмотренных законодательством, ― до 50 000 рублей. Неопубликование на сайте политики конфиденциальности может привести к штрафу до 30 000 рублей.
Кроме того, расширяются полномочия Роскомнадзора: начиная с 1 июля должностные лица Роскомнадзора смогут составлять протоколы об административных правонарушениях в области персональных данных и направлять их напрямую в суд для рассмотрения дела, что приведет к ускоренному рассмотрению административных дел. На текущий момент управление Роскомнадзора, выявившее правонарушение, направляет результаты проверки в прокуратуру, где возбуждается дело об административном правонарушении, выносится постановление прокурора об административном правонарушении, и в суд направляется уже постановление прокурора.
На данный момент существует единый состав правонарушения с обобщенной формулировкой ― нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Статья 13.11 КоАП РФ предусматривает в качестве меры наказания за это правонарушение предупреждение или административный штраф в размере от 5 тыс. до 10 тыс. рублей для юридических лиц. Размеры штрафов в России существенно ниже значений, установленных в странах ЕС. Так, с мая 2018 года штрафы за нарушение законодательства о персональных данных Европейского союза могут составить до 10 млн евро или до 2% от общемирового дохода компании.
С 1 июля вместо единого состава правонарушения появится несколько специальных составов административных правонарушений. Нарушение Штраф Обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка персональных данных, несовместимая с целями сбора персональных данных - от 30 тыс. до 50 тыс. рублей; Обработка персональных данных без согласия в письменной форме субъекта персональных данных (когда такое согласие требуется) либо с нарушением установленных требований к содержанию письменного согласия - от 50 тыс. до 75 тыс. рублей; Невыполнение обязанности по предоставлению свободного доступа к политике конфиденциальности - от 15 тыс. до 30 тыс. рублей; Невыполнение обязанности по предоставлению субъекту персональных данных информации об обрабатываемых персональных данных -от 20 тыс. до 40 тыс. рублей; Невыполнение требования субъекта персональных данных или Роскомнадзора об уточнении, блокировке или удалении персональных данных - от 25 тыс. до 45 тыс. рублей.
Территориальные органы Роскомнадзора вправе осуществлять как плановые, так и неплановые проверки. В среднем за год территориальные органы Роскомнадзора проводят около тысячи плановых проверок и около ста внеплановых проверок. Кроме того, Роскомнадзор проводит мероприятия систематического наблюдения в Интернете: на 2017 год Управление Роскомнадзора по Центральному федеральному округу запланировало мероприятия систематического наблюдения в отношении операторов связи, финансово-кредитных организаций, страховых компаний, коллекторских агентств, а также онлайн-магазинов. Наиболее часто Роскомнадзор выявляет следующие правонарушения:
• представление в Роскомнадзор уведомления об обработке персональных данных, содержащего неполные и/или недостоверные сведения; • обработка персональных данных в случаях, не предусмотренных Федеральным законом «О персональных данных»; • несоответствие письменного согласия на обработку персональных данных требованиям законодательства Российской Федерации; • отсутствие в поручении лицу, которому оператором поручается обработка персональных данных, обязанности соблюдения конфиденциальности персональных данных и обеспечения их безопасности и требований к защите обрабатываемых персональных данных; • нарушение требований конфиденциальности при обработке персональных данных; • непринятие оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, установленных законодательством Российской Федерации; • неопубликование политики об обработке персональных данных.
Как минимизировать риски?
Для того чтобы снизить риски привлечения к ответственности за нарушение требований о персональных данных, необходимо: • проверить имеющуюся в компании политику об обработке персональных данных работников на соответствие требованиям законодательства; • разработать и опубликовать на сайте компании политику конфиденциальности; • обеспечить наличие законных оснований для обработки персональных данных; • разработать корректную форму письменного согласия; • отвечать на запросы субъекта персональных данных; • обеспечить обработку персональных данных с использованием баз данных, расположенных на территории РФ, ― иными словами, обеспечить локализацию процессов обработки. Несмотря на отсутствие конкретного состава персональных данных, обязывающего осуществлять локализацию баз данных в России, существуют значительные риски блокировки сайта за нарушение этой обязанности.
Комментарии
Комментариев пока нет