Над статьей работали:
Автор: Сыскова Юлия
Вступили в силу с 23 декабря 2023 года поправки, внесенные в КоАП РФ, которыми предусмотрено ужесточение ответственности за обработку персональных данных граждан без их согласия. В каких случаях нужно получать такое согласие и что грозит компаниям за работу с личными данными граждан без него, расскажем в нашей статье.
Вступил в силу 23.12.2023 закон «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Он, в частности, предусматривает повышение штрафов:
• за обработку данных без согласия субъекта;
• нарушение требований к содержанию письменного согласия на обработку.
Закон № 589-ФЗ с 23.12.2023 установил для банков, МФЦ и ряда других юрлиц новый состав административного правонарушения – нарушение требований к размещению и обновлению биометрических персональных данных в единой системе. Штраф за нарушение в области биометрии составит (ст. 13.11.3 КоАП РФ):
• для должностных лиц — от 100 до 300 тыс. рублей;
• для компаний – от 500 тыс. до 1 млн рублей.
Административные дела по таким правонарушениям рассматривают ЦБ РФ и суды, если дело возбуждено Роскомнадзором.
В случае поступления от юрлица, совершившего правонарушение, данных, подтверждающих наличие нарушения, возбуждать дела можно без проведения контрольных (надзорных) мероприятий во взаимодействии с контролируемым лицом (ст. 13.11.3, п. 1 ч. 3.5 ст. 28.1 КоАП РФ).
Изменились с 23.12.2023 размеры штрафов за обработку персональных данных без письменного согласия субъекта персональных данных на такую обработку и нарушение требований к содержанию данного согласия (ч. 2 ст. 13.11 КоАП РФ):
Субъект правонарушения |
Штраф до 23.12.2023 |
Штраф с 23.12.2023 |
Гражданин | от 6 до 10 тыс. рублей | от 10 до 15 тыс. рублей |
Должностное лицо | от 20 до 40 тыс. рублей | от 100 до 300 тыс. рублей |
Компания | от 30 до 150 тыс. рублей | от 300 до 700 тыс. рублей |
Повысился и штраф за повторное совершение этого нарушения (ч. 2.1 ст. 13.11 КоАП РФ).
Субъект правонарушения | Штраф до 23.12.2023 | Штраф с 23.12.2023 |
Гражданин | от 10 до 20 тыс. рублей | от 15 до 30 тыс. рублей |
Должностное лицо | от 40 до 100 тыс. рублей | от 300 до 500 тыс. рублей |
ИП | от 100 до 300 тыс. рублей | от 500 тыс. до 1 млн рублей |
Компания | от 300 до 500 тыс. рублей | от 1 до 1,5 млн рублей |
Согласие на обработку персональных данных физического лица не требуется в случаях, приведенных в пп. 2–11 ч. 1 ст. 6 Закона «О персональных данных» от 27.07.2006 № 152-ФЗ. Например, оно не нужно, если обработка необходима:
• для заключения договора по инициативе гражданина или договора, по которому он будет выгодоприобретателем или поручителем. Например, если индивидуальный предприниматель арендует у компании помещение и в договоре указывают его паспортные данные;
• исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является гражданин. К примеру, если запрашивается адрес гражданина для доставки ему товара;
• осуществления и выполнения функций, полномочий и обязанностей, которые возложены законодательством. Например, если продавец получает у клиента адрес его электронной почты, чтобы направить ему кассовый чек в электронной форме (письмо Минкомсвязи РФ от 07.07.2017 № П11-15054-ОГ);
• осуществления прав и законных интересов (компании или третьих лиц) либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы гражданина. Например, если в целях обеспечения безопасности охранник записывает Ф.И.О. и паспортные данные посетителей.
В остальных случаях обработка персональных данных осуществляется с согласия гражданина (п. 1 ч. 1 ст. 6 закона № 152-ФЗ). Так, придется получить письменное согласие, если компания аккумулирует данные граждан для маркетингового исследования или уступает требование к должнику — физическому лицу.
Согласие может быть дано в бумажной или электронной форме (ч. 4 ст. 9 закона № 152-ФЗ). Сведения, которые должен содержать документ, перечислены в пп. 1–9 ч. 4 ст. 9 закона № 152-ФЗ. В частности, в нем должны быть прописаны:
• сведения о субъекте персональных данных;
• цель обработки таких данных. Ее необходимо определить до начала обработки сведений и довести ее до гражданина, в том числе путем включения в согласие;
• перечень действий с персональными данными, на совершение которых дается согласие. В документе необходимо перечислить все действия, которые оператор будет совершать с персональными данными. Закон № 152-ФЗ к таким действиям относит сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 закона № 152-ФЗ);
• общее описание используемых оператором способов обработки персональных данных.
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий такого субъекта на обработку его персональных данных (ч. 1 ст. 10.1 закона № 152-ФЗ).
Требования к содержанию такого согласия утверждены Приказом Роскомнадзора от 24.02.2021 № 18.
Вы можете оставить первый комментарий