Ответственность за нарушения работы с персональными данными в 2023 году

Что изменилось в 2023 г.

17.02.2023 г. вступили в силу поправки из постановления Правительства РФ от 04.02.2023 г. № 161. РКН получил право с согласия прокуратуры проводить внеплановые проверки, если поступила информация о распространении баз данных с персональными данными. Не спасутся даже аккредитованные ИТ-организации, которые попали под мораторий на внеплановые проверки.

Второе новшество введено Законом от 29.12.2022 г. № 625-ФЗ — Роскомнадзору разрешили выписывать штрафы без фактического посещения компаний. Если получена информация об обработке данных без согласия владельца, могут выписать штраф по п. 1-2.1, п. 4 ст. 13.11 КоАП РФ без проведения контрольного мероприятия — письмо РКН от 31.01.2023 г. № 09-6488.

Третье изменение — обновление формы согласия на размещение биометрических данных в единой системе. Актуальный бланк утвердили распоряжением Правительства РФ от 01.02.2023 г. № 207-р. К биометрии относятся рост, вес, анализы ДНК и другая информация, которая относится к биологическим и физиологическим особенностям человека.

За что предусмотрена ответственность 

Чаще всего штрафуют за:

• незаконную обработку данных;
• разглашение данных;
• нарушение правил обработки;
• передачу данных без разрешения или с нарушениями;
• недостаточную защиту информации;
• невыполнение требований РКН;
• другие нарушения, установленные Законом от 27.07.2006 г. № 152-ФЗ.

По некоторым нарушениям штрафуют и компанию, и должностных лиц.

Организация может избежать штрафа, если нарушение произошло из-за противоправных действий третьих лиц. При этом нужно доказать, что компания приняла меры по защите персональных данных.

Как избежать ответственности

Всё просто — соблюдайте правила! Убедитесь, чтоб бумажные и электронные данные надёжно защищены. В первом случае храните информацию в закрытом помещении, во втором привлекайте квалифицированных айтишников, которые обеспечат защиту от взломов.

И не забывайте получать все необходимые согласия:

• На обработку — основной документ, актуальный в большинстве случаев. В офисе предлагайте бумажное согласие, на сайте — ставить галочку в чек-боксе.
• На распространение данных, разрешённых к распространению, например, если планируете размещать информацию о сотрудниках на корпоративном сайте.
• На обработку специальных категорий данных — тех, которые нельзя запрашивать в стандартных ситуациях. Например, философские или политические взгляды человека.
• На трансграничную передачу — если планируете отправлять информацию за пределы РФ.
• На обработку биометрических данных — информация о росте, весе, цвете глаз и прочих физиологических и биологических особенностях человека.

Штрафы за нарушения

Незаконная обработка данных. За первое нарушение — ч.1 ст. 13.11 КоАП РФ:

• должностное лицо или ИП — 10 000 ₽ – 20 000 ₽;
• компания — 60 000 ₽ – 100 000 ₽.

За повторное нарушение — ч. 1.1 ст. 13.11 КоАП РФ:

• должностное лицо — 20 000 ₽ – 50 000 ₽;
• ИП — 50 000 ₽ – 100 000 ₽;
• компания — 100 000 ₽ – 300 000 ₽.

Обработка данных без согласия. За первое нарушение — ч. 2 ст. 13.11 КоАП РФ:

• должностное лицо или ИП — 20 000 ₽ – 40 000 ₽;
• компания — 30 000 ₽ – 150 000 ₽.

За повторное нарушение — ч. 2.1 КоАП РФ:

• должностное лицо — 40 000 ₽ – 100 000 ₽;
• ИП — 100 000 ₽ – 300 000 ₽;
• компания — 300 000 ₽ – 500 000 ₽.

Отсутствие опубликованной политики обработки данных — ч. 3 ст. 13.11 КоАП РФ:

• должностное лицо — 6000 ₽ – 12 000 ₽;
• ИП — 10 000 ₽ – 20 000 ₽;
• компания — 30 000 ₽ – 60 000₽.

Отказ предоставить информацию владельцу данных — ч. 4 ст. 13.11 КоАП РФ:

• должностное лицо — 8000₽ – 12 000 ₽;
• ИП — 20 000 ₽ – 30 000 ₽;
• компания — 40 000 ₽ – 80 000 ₽.

Отказ от уточнения, блокирования или уничтожения данных. За первое нарушение — ч. 5 ст. 13.11 КоАП РФ:

• должностное лицо — 8 000 ₽ – 20 000 ₽;
• ИП — 20 000 ₽ – 40 000 ₽;
• компания — 50 000 ₽ – 90 000 ₽.

За повторное нарушение — ч 5.1 ст. 13.11 КоАП РФ:

• должностное лицо — 30 000 ₽ – 50 000 ₽;
• ИП — 50 000 ₽ – 100 000 ₽;
• компания — 300 000 ₽ – 500 000 ₽.

Необеспечение сохранности данных на материальных носителях — ч.6 ст. 13.11 КоАП РФ:

• должностное лицо — 8000 ₽ – 20 000 ₽;
• ИП — 20 000 ₽ – 40 000 ₽;
• компания — 50 000 ₽ – 100 000 ₽.

Нарушение правил обращения с собранными данными. За первое нарушение — ч. 8 ст. 13.11 КоАП РФ:

• должностное лицо — 100 000 ₽ – 200 000 ₽.;
• компания или ИП — 1 – 6 млн ₽.

За повторное нарушение — ч. 9 ст. 13.11 КоАП РФ:

• должностное лицо — 500 000 ₽ – 800 000 ₽;
• компания или ИП — 6 – 18 млн ₽.

Отказ предоставить информацию по запросу РКН — ст. 19.7 КоАП РФ:

• должностное лицо или ИП — 300 ₽ – 500 ₽;
• компания — 3000 ₽ – 5 000 ₽.

Уклонение и препятствование проверке Роскомнадзора — ч. 1 ст. 19.4.1 КоАП РФ:

• должностное лицо или ИП — 2000 ₽ – 4000 ₽;
• компания — 5000 ₽ – 10 000 ₽.

Препятствование завершению проверки РКН. За первое нарушение — ч. 2 ст. 19.4.1 КоАП РФ:

• должностное лицо или ИП — 5000₽ – 10 000 ₽;
• компания — 20 000 ₽ – 50 000 ₽.

За повторное нарушение — п. 3 ст. 19.4.1 КоАП РФ:

• должностное лицо или ИП — 10 000₽ – 20 000 ₽ или дисквалификация на срок от шести месяцев до одного года;
• компания — 50 000 ₽ – 100 000 ₽.

Отказ исполнять предписание РКН — ч. 1 ст. 19.5 КоАП РФ:

• должностное лицо или ИП — 1000 ₽ – 2000 ₽ или дисквалификация на срок до трех лет;
• компания — 10 000 ₽ – 20 000 ₽.

Коротко

1. С 17.02.2023 г. РКН разрешили проводить внеплановые проверки любых организаций, если поступила информация о распространении баз персональных данных.

2. РКН может выписывать штрафы без проведения контрольных мероприятий, если получена информация о незаконной обработке данных.

3. Нужно использовать новую форму согласия на сбор биометрических данных, которая утверждена распоряжением Правительства РФ от 01.02.2023 г. № 207-р.

4. Чтобы избежать крупных штрафов, собирайте все согласия и позаботьтесь о защите данных — как бумажных, так и электронных.

5. За нарушение правил сбора, обработки и хранения персональных данных штрафуют на сумму до 18 млн руб.

Статья актуальна на  23.06.2023