Штрафы за несогласованную обработку персональных данных
Подписанный президентом Федеральный закон от 12.12.2023 № 589-ФЗ, который вступает в силу с 23 декабря 2023 года, существенным образом увеличивает размеры штрафов за обработку персональных данных граждан без их согласия.
В настоящее время перед началом обработки (сбора и использования) персональных данных граждан любая компания должна получить от них соответствующее разрешение. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. По общему правилу, согласие должно быть получено от физлица в письменной форме. Равнозначным согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.
Физлицо, давшее письменное согласие на обработку своих персональных данных, в любое время может его отозвать (с. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). В этих случаях оператор (организация или ИП, использующие персональные данные граждан) должен прекратить обработку персональных данных и уничтожить ранее собранные сведения.
Обработка персональных данных без согласия физлица, в том числе и в случаях, когда согласие на обработку было отозвано, является основанием для привлечения организации и ИП к административной ответственности по ч. 2 ст. 13.11 КоАП РФ. Данная норма сейчас предусматривает наложение штрафов на операторов в размере до 150 000 рублей, а за повторное нарушение – до 500 000 рублей. С 23 декабря 2023 года размеры штрафов существенно увеличатся.
Штрафы за обработку персональных данных без согласия физлица:
- от 10 000 до 15 000 рублей – для граждан;
- от 100 000 до 300 000 рублей – для должностных лиц организаций и ИП;
- от 300 000 до 700 000 рублей – для организаций.
Повторное нарушение повлечет наложение штрафов в увеличенном размере:
- от 15 000 до 30 000 рублей – для граждан;
- от 300 000 до 500 000 рублей – для должностных лиц организаций;
- от 500 000 до 1 млн рублей – для ИП;
- от 1 млн до 1,5 млн рублей – для организаций.
Требования к содержанию согласия на обработку персональных данных установлены в соответствии с приказом Роскомнадзора от 24.02.2021 № 18. Чтобы обработка данных считалась осуществленной с согласия физлица, в письменном согласии последнего в обязательном порядке должны содержаться следующие сведения:
- ФИО и паспортные данные;
- наименование (или ФИО) и адрес оператора, получающего согласие на обработку персональных данных или лица, осуществляющего обработку персональных данных по поручению оператора;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов такой обработки;
- сведения об информационных ресурсах оператора (интернет-сайтах), посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными;
- срок, в течение которого действует согласие на обработку персональных данных;
- подпись физлица, предоставляющего свои данные.
Если в согласии отсутствует хотя бы часть из указанных выше сведений, обработка персональных данных будет считаться осуществленной без согласия физлица и оператора привлекут к ответственности по ч. 2 и 2.1 (при повторном нарушении) ст. 13.11 КоАП РФ.
Штрафы за размещение биометрических персональных данных
Одновременно закон вводит административные штрафы за нарушение правил размещения биометрических данных граждан. В этих целях с 23 декабря 2023 года вводится в действие новая ст. 13.11.3 КоАП РФ «Нарушение требований в области размещения биометрических персональных данных».
Под биометрическими данными понимаются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются для идентификации физлица (ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ). Такие данные размещаются банками и МФЦ в Единой биометрической системе, в том числе для целей оказания государственных и банковских услуг дистанционным способом.
Биометрические данные могут собираться, размещаться и обновляться в Единой биометрической системе исключительно с письменного согласия физлица. Соответственно, ответственность по новой статье КоАП РФ будут нести банки и МФЦ. Штрафы на указанных субъектов станут налагаться за размещение и обновление персональных данных в Единой биометрической системе без согласия физлиц.
Штрафы за размещение и обновление персональных данных в Единой биометрической системе без согласия физлица:
- от 100 000 до 300 000 рублей – на должностных лиц кредитных учреждений и МФЦ;
- от 500 000 до 1 млн рублей – на банки и МФЦ.
Штрафы, штрафы, штрафы. А мошенники пользуются нашими данными и никаких штрафов, безнаказанно. И никого не находят. Так и живем.
Вот ни уму, ни сердцу. Только лишнюю бумажку при трудоустройстве заполнять для подписи. Бумажка есть - результата как не было, так и нет.
А кто и когда проверять этих обработчиков будет?