С 30 мая — новые суммы
штрафов
Екатерина Юрьевна,
главбух:
«Аудиторы
по результатам проверки сделали нам замечание: “Общество
не зарегистрировано в качестве оператора обработки персональных
данных на сайте Роскомнадзора (адрес сайта: rkn.gov.ru). Последствия:
административный штраф от 30 тыс. до 150 тыс. руб. для
организаций (ч. 2 ст. 13.11 КоАП). Рекомендации: любой
хозяйствующий субъект, осуществляющий обработку персональных данных, выступает
в качестве оператора персональных данных. Необходимо зарегистрировать
в реестре операторов обработки персональных данных”. Обязательно
регистрироваться? Штраф не прилетит?»
Если ваша организация не представляла в Роскомнадзор (РКН) уведомление об обработке персональных данных, есть смысл поспешить с этим. С 30 мая административные штрафы увеличатся (см. таблицу).
Таблица. Новые штрафы за нарушения
при работе с персональными данными
|
Кто
нарушитель |
Размеры
штрафов |
Сейчас |
С
30 мая |
|
Не
уведомили Роскомнадзор об обработке персональных данных (ч. 10 ст. 13.11 КоАП) |
|
||
|
Должностное
лицо |
300—500
руб. |
30 000 —
50 000 руб. |
|
|
Организация |
3000—5000
руб. |
150 000 —
300 000 руб. |
|
|
Собрали
лишние данные либо использовали в иных целях, чем декларировали (ч. 1 ст. 13.11 КоАП) |
|
||
|
Должностное
лицо |
10 000 —
20 000 руб. |
50 000 —
100 000 руб. |
|
|
Организация |
60 000 —
100 000 руб. |
150 000 —
300 000 руб. |
|
|
Повторно
собрали лишние данные либо использовали в иных целях (ч. 1.1 ст. 13.11 КоАП) |
|
||
|
Должностное
лицо |
20 000 —
50 000 руб. |
100 000 —
200 000 руб. |
|
|
Организация |
100 000 —
300 000 руб. |
300 000 —
500 000 руб. |
|
|
Не
сообщили в Роскомнадзор об утечке персональных данных (ч. 11 ст. 13.11 КоАП) |
|
||
|
Должностное
лицо |
— |
400 000 —
800 000 руб. |
|
|
Организация |
— |
1 000 000
— 3 000 000 руб. |
|
Привлечь организацию
к административной ответственности теоретически могут и сейчас — как
за непредставление сведений государственному органу, по общей статье 19.7 КоАП. Но санкция в любом
случае в разы будет меньше. К тому же в настоящий момент велики
шансы вовсе избежать штрафа. Роскомнадзор ранее подчеркивал в своих
разъяснениях, что предельного срока для уведомления нет (информация
от 31.08.2022).
В конце мая в КоАП появится новый состав правонарушения.
Во‑первых, введут специальный штраф за неуведомление Роскомнадзора
об обработке данных. А во-вторых, наказывать будут в том числе
за несвоевременное исполнение этой обязанности (ч.
10 ст. 13.11 КоАП в ред. с 30 мая).
Закон требует
от операторов уведомить Роскомнадзор до того, как они начнут
обработку персональных сведений (ст. 22 Федерального
закона от 27.07.2006 № 152‑ФЗ «О персональных данных»).
Поэтому с 30 мая риск санкций возрастает.
Встать на учет
в РКН должны все компании и индивидуальные предприниматели, которые имеют
дело с личной информацией. Это касается и работодателей. Исключение
предусмотрели лишь для трех случаев:
·
обрабатываются персданные, включенные
в государственные информационные системы;
·
обрабатываются сведения
в соответствии с законодательством РФ о транспортной
безопасности;
·
обработка идет без средств автоматизации.
Сообщите в Роскомнадзор
об обработке персональных данных
Представьте уведомление
на бланке из приложения № 1
к приказу Роскомнадзора от 28.10.2022 № 180. Вы можете также
направить его в электронном виде через сайт pd.rkn.gov.ru.
Но для начала убедитесь, что организации нет в реестре Роскомнадзора.
На сайте rkn.gov.ru пройдите в раздел «Главная
страница» → «Реестр операторов» → «Реестр». Укажите в форме
поиска ИНН организации, и сервис выдаст информацию.
При отсутствии сведений
в базе выберите в том же разделе «Реестр
операторов» другой подраздел — «Электронные формы заявлений».
И далее кликните на «Перейти к заполнению формы электронного
уведомления».
Вы можете заполнить
шаблон документа, распечатать его и передать в отделение
Роскомнадзора. Либо представить уведомление в электронном виде.
Для этого есть два
способа — подписать документ электронной подписью и направить
по электронке либо передать через портал госуслуг. Во втором случае
ваша учетная запись должна быть привязана к данной организации
на портале госуслуг.
Заполняйте уведомление
по образцу. Укажите в нем:
·
цели обработки данных (например, ведение
кадрового и бухгалтерского учета, подбор персонала на вакантные
должности и др.);
·
категории сведений, которые обрабатываете
(например, реквизиты банковской карты, номер расчетного счета, сведения
о трудовой деятельности, в том числе стаж работы, и т. д.);
·
категории субъектов, чьи данные обрабатываете
(работники, родственники работников, уволенные работники, соискатели
и др.);
·
перечень действий (сбор, запись,
систематизация, накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передача (предоставление, доступ), блокирование,
удаление;
·
способы обработки (смешанный, с передачей
по внутренней сети юридического лица, с передачей по сети
Интернет);
·
другие сведения.
Поставьте дату начала
обработки, то есть дату, когда фактически начали обрабатывать персональные
данные. Напишите, осуществляется трансграничная передача данных или нет.
Приведите контакты исполнителя.
На сайте
Роскомнадзора позже вы сможете проверить статус представленного
уведомления. Для этого вам нужно перейти в следующий раздел: «Главная
страница» «Реестр операторов» «Проверка состояния уведомления
(информационного письма)» и ввести номер и ключ — их можно найти в конце
каждого электронного уведомления.
Представлять новое
уведомление при приеме на работу новых сотрудников не нужно (см.
комментарий). Только если изменились сведения, которые вы указали, —
например, цели обработки данных или ответственный за их обработку.
В таком случае сообщите в РКН не позднее 15-го числа месяца,
следующего за месяцем изменений (п. 7 ст. 22
Закона № 152‑ФЗ).
|
Подавать
новое уведомление в Роскомнадзор на новых сотрудников
не требуется |
|
Ксения Петровец,
руководящий юрист BIRCH LEGAL: «Обязанность направить уведомление
в Роскомнадзор не привязана к количеству сотрудников. Если
появляются новые работники, но описанные в уведомлении
бизнес-процессы и цели обработки не меняются, подавать новое
уведомление не требуется» |
При прекращении обработки
направьте уведомление в течение 10 рабочих дней с даты, когда
перестали обрабатывать. Формы заявлений также берите на сайте
Роскомнадзора.
Обратите внимание: если
на сайте вашей компании используется метрическая программа Google
Analytics, вам нужно представить еще одно уведомление — о трансграничной
передаче данных. Его можно заполнить на сайте Роскомнадзора в разделе «Главная» → «Трансграничная передача»
→ «Уведомление о намерении осуществлять трансграничную передачу ПД».
Аналогичное уведомление
нужно подавать, если, к примеру, компания покупает для сотрудников
авиабилеты у зарубежных компаний или бронирует номера в заграничных
отелях, а также в других случаях.
Проведите ревизию персональных данных,
которые запрашиваете
Сопоставляйте содержание и объем
персональных сведений, которые вы получаете, с целями
их обработки (п. 5 ст. 5 Закона № 152‑ФЗ).
Для соблюдения трудового законодательства нужен один объем данных, для
осуществления пропускного режима в организации — другой, для
проведения рекламной кампании — третий и т. д.
Если вы собираете
информацию без учета установленных законом ограничений, ее сбор посчитают
избыточным. С 30 мая административные штрафы за такие нарушения
выросли в два — пять раз .
Запрашивайте
у физлиц только те сведения, которые необходимы для исполнения
договора или по закону. Например, избыточно требовать
от потребителя его паспортные данные, если это не нужно для
исполнения договора. Или явно лишним будет требование указать адрес, если
покупатель выбрал самовывоз как способ доставки.
|
Совет Направьте в РКН еще
одно уведомление, если используете на интернет-сайте Google
Analytics Роскомнадзор сейчас
проверяет интернет-сайты, в том числе сайты интернет-магазинов
на предмет использования сервиса Google Analytics. Дело в том, что
такой сервис предполагает трансграничную передачу персональных данных
на территорию иностранного государства. В связи с чем
организации необходимо направить через портал Роскомнадзора pd.rkn.gov.ru уведомление
о намерении осуществлять трансграничную передачу персональных данных (ч. 3 ст. 12 Закона № 152‑ФЗ, письмо Роскомнадзора от 26.06.2024 № 08-242780).
До истечения
10 рабочих дней после подачи уведомления в РКН запрещено передавать
данные за границу. Поэтому до отправки уведомления в Роскомнадзор
удалите Google Analytics с сайта. Направьте уведомление и выждите
указанный срок — в течение этого времени может прийти отказ или
ограничение. Если ответа Роскомнадзора нет, значит, можно вернуть
на сайт Google Analytics |
Осторожно подходите
к запросу биометрических данных. Нельзя отказывать в заключении
или исполнении договора только потому, что гражданин отказался предоставить
биометрию. С 30 мая увеличили штрафы за такое нарушение.
Ограничьте состав
сведений, которые получаете у сотрудников. Закрепите его
в положении о работе с персональными данными, чтобы кадровики
не требовали лишнего. Например, запрещено запрашивать
у работников информацию о состоянии их здоровья или справку
об отсутствии судимости в не установленных законом случаях.
Проверьте также, чтобы
в организации были все обязательные документы по работе
с персональными данными — политика обработки, положение
о защите и т. п. Сверяйтесь с чек-листом.
Получайте письменное
согласие физлица на использование его персональных сведений.
Передавать персональные данные сотрудников в различные ведомства можно без
отдельного согласия, если обязаны это делать по закону (подп. 2 ч. 1 ст. 6 Закона № 152‑ФЗ).
То есть если вы отчитываетесь в налоговую, СФР, военный
комиссариат и т. д. Для остальных действий необходимо отдельное
согласие (ч. 1 ст. 10.1 Закона № 152‑ФЗ).
Например, если организация публикует сведения о персонале на своем
интернет-сайте или передает данные о работниках в медцентр для заключения
договоров ДМС.
Чтобы направлять клиенту
рекламные рассылки или использовать на интернет-сайте технологию cookie,
также нужно разрешение на обработку личной информации.
О необходимости получения согласий при использовании на сайтах
метрических программ Yandex.Metrika, Liveinternet, Top.mail.ru и др.
предупреждает Роскомнадзор (письмо от 26.06.2024
№ 08‑242780, сообщение Управления Роскомнадзора
по Амурской области от 11.02.2025).
Отдельное согласие
запрашивайте, если обрабатываете биометрические данные (ч. 1 ст. 11
Закона № 152‑ФЗ).
|
На заметку Появилась еще одна
причина, по которой нельзя отказать потребителю в заключении
договора С 30 мая увеличат
административный штраф за отказ в заключении, исполнении, изменении
или расторжении договора с потребителем только потому, что
он отказался предоставить свои биометрические данные. Если, конечно,
предоставление таких данных не является обязательным по закону. Кодекс об административных правонарушениях
дополнили новой нормой. За нарушение
организацию оштрафуют на 200—500 тыс. руб. вместо 30—50 тыс. руб.
Должностное лицо — на 50—100 тыс. руб. вместо 5—10 тыс. руб. (ч. 8 ст. 14.8 КоАП) |
Не подменяйте цели при
запросе личной информации. Нельзя собирать данные для одной цели,
а использовать их для другой. К примеру, нельзя публиковать
на сайте компании без согласия сотрудника копию его диплома, которую
получили у него в рамках оформления на работу. Для этого нужно
взять отдельное разрешение.
Уничтожайте данные,
которые отработали свое. Например, не храните анкеты соискателей,
которые по каким-то причинам вам не подошли. Не держите
в личных делах сотрудников копии паспортов, дипломов, СНИЛС и др. Они
необходимы работодателю, чтобы заключить трудовое согласшение. После того как
стороны подписали трудовой договор, цель, для которой вы запрашивали документы,
выполнена.
Если вы все-таки решили
держать копии в личных делах сотрудников, заручитесь письменным согласием
работников на обработку и хранение документов. В Роструде
подтверждают, что при таком условии это допустимо (ответ на вопрос от 27.03.2025
№ 219163 на онлайнинспекция.рф).
Уничтожайте личные данные
после того, как истек срок согласия на их обработку или владелец
персданных отозвал свое согласие. Например, при увольнении.
|
Что
грозит, если главбух не удалил данные на уволенных работников |
|
|
Максим Лагутин,
исполнительный директор «Б-152», эксперт по защите персональных данных:
«Если главбух не удалил данные уволенных работников, которые
не нужны для исполнения требований по кадровому и бухгалтерскому
учету, возможен штраф от Роскомнадзора. С 30 мая
он составит до 100 тыс. руб. за первое нарушение
и до 200 тыс. руб. за повторное (ч. 1
и 1.1 ст. 13.11 КоАП)» Примите дополнительные меры безопасности
по защите персональных данных
Если личные сведения
физлиц попадут к посторонним, организация должна сообщить об этом
в Роскомнадзор в течение суток (ч. 3.1
ст. 21 Закона № 152‑ФЗ). Иначе ее оштрафуют. С 30 мая
штраф составит от 1 млн руб. (см. таблицу). Кроме того, ей грозит
штраф от 3 млн руб. и за саму утечку, если речь идет о потере персданных свыше
1 тыс. физлиц (ч. 12 ст. 13.11 КоАП в ред. с
30 мая).
Если третьи лица получили
сведения из специальной категории (о политических взглядах, состоянии
здоровья и т. п.), для компании предусмотрен штраф в диапазоне
от 10 млн до 15 млн. руб. (ч. 16
ст. 13.11 КоАП в ред. с 30 мая). За утечку биометрических
данных назначат штраф от 15 млн до 20 млн руб. (ч. 17 ст. 13.11 КОАП в ред.
с 30 мая). Чтобы снизить риски незаконного распространения
персональных данных, следуйте рекомендациям Роскомнадзора (от 03.03.2023).
Раздельно храните
сведения по разным категориям физлиц. Отдельно — информацию
по клиентам, отдельно — по работникам,
соискателям и т. д. Это касается также сведений, которые
несовместимы между собой по целям обработки.
Идентификаторы, указывающие
на человека, и информацию о нем размещайте в разных
информационных базах. Например, Ф. И. О., e‑mail, телефон, адрес
человека — в одной, а сведения об оказанных ему услугах,
проданных товарах, переписку, договоры — в другой. Чтобы связать эти
базы, применяйте синтетические идентификаторы, которые без дополнительных
алгоритмов не позволят получить полную информацию о человеке.
Используйте технические
и программные средства для защиты персональных данных. Ограничьте
физический доступ к сведениям тем, кому они по роду работы
не нужны. Разработайте также инструкции и назначьте
ответственного
Комментариев нет:
Отправить комментарий