Обновление штрафов за неаккуратное обращение с персональными данными

Повышение штрафов

Вырастут штрафы:

•за обработку ПД в случаях, не предусмотренных законом, либо обработку ПД, несовместимую с целями их сбора. За это штраф повышается:

— для должностных лиц и ИП — до 50 000—100 000 руб.;

— для малых компаний — до 75 000—150 000 руб.;

— для остальных организаций — до 150 000—300 000 руб.;

•за повторное совершение такого нарушения штраф на должностных лиц увеличится до 100 000—200 000 руб. А для организаций и предпринимателей он станет одинаковым — от 300 000 до 500 000 руб.

Введение самостоятельных штрафов

Будут предусмотрены отдельные штрафы для случаев, в которых пока наказывают как за нарушение обработки данных или за непредставление сведений в госорган. С 30 мая 2025 г. самостоятельный штраф полагается за такие группы нарушений.

Внимание

Срок привлечения к административной ответственности по нарушениям в области ПД — 1 год со дня совершения нарушения.

Группа 1. Нарушение правил уведомления Роскомнадзора. Напомним, что уведомить Роскомнадзор по установленным им формам надо:

•о намерении обрабатывать ПД работников — до того, как вы начнете их сбор;

•о внесении изменений в ранее поданное уведомление — при изменении сведений в представленном ранее уведомлении об обработке персональных данных. Предположим, помимо ПД сотрудников, вы стали обрабатывать ПД клиентов или у вас сменился человек, ответственный за организацию работы с ПД. Об этом сообщите не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения. Кстати, о факте приема на работу новых сотрудников сообщать в Роскомнадзор не требуется;

•о прекращении обработки ПД — в течение 10 рабочих дней с даты прекращения, отразив в форме причину и дату завершения обработки ПД;

•о факте утечки ПД — в течение 24 часов с момента ее обнаружения и о результатах внутреннего расследования инцидента — в течение 72 часов с момента обнаружения. Для уведомлений о таких событиях выложены электронные формы на сайте Роскомнадзора.

Внимание

Утечка ПД сотрудников — это неправомерная или случайная передача, то есть предоставление, неконтролируемое распространение защищаемых законом сведений или открытие к ним доступа лицам, не имеющим права на такой доступ без согласия работника.

Если не подать уведомление о намерении обрабатывать ПД работников, то штраф и для компании, и для ИП составит 100 000—300 000 руб. А вот если не сообщить в Роскомнадзор об утечке сведений, то штраф для предпринимателей и организаций гораздо выше — от 1 млн до 3 млн руб.

Группа 2. Утечка ПД. Штрафы будут зависеть:

•или от объемов утечки. Так, для работодателя — компании или ИП — за действия (бездействие), повлекшие неправомерную передачу ПД от 1 000 до 100 000 человек, штраф составит от 3 млн до 5 млн руб., а за утечку информации, включающей персональные данные более 100 000 субъектов, — от 10 млн до 15 млн руб.;

•или от вида сведений, которые были неправомерно переданы. Это:

— специальные категории ПД — сведения о расовой и национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья сотрудника;

— биометрические данные — сведения о физиологических и биологических особенностях человека, при помощи которых можно установить его личность (дактилоскопия, радужная оболочка глаз, голос, анализы ДНК, изображение человека (фотография, видеозапись)).

Так вот, при утечке ПД из специальной категории штраф будет 10—15 млн руб. А если неправомерно переданы биометрические данные, то штраф составит от 15 млн до 20 млн руб.

К биометрическим персональным данным относятся не только изображение человека и отпечатки его пальцев, но и анализ ДНК

Совершение таких нарушений повторно обернется штрафом в размере 1—3% от совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг) нарушителя:

•или за календарный год, предшествующий году, в котором было выявлено нарушение;

•или за предшествующую дате выявления нарушения часть календарного года, в котором оно было выявлено, если работодатель не вел деятельность в предшествующем календарном году.

При этом штраф за повторное нарушение не может быть менее 20 млн руб. при утечке спецкатегории ПД, менее 25 млн руб. в случае утечки биометрии и более 500 млн руб.

Обращаем внимание, что отвечать за нарушения из рассмотренных двух групп будут только индивидуальные предприниматели и организации. Для должностных лиц коммерческих компаний ответственность не предусмотрена. При этом штрафы для юридических лиц и ИП установлены в одинаковых размерах.

Когда штраф за утечку ПД может быть снижен

Если работодатель предпринимал меры по сохранению ПД и может это доказать, то штрафы за повторную утечку любых видов персональной информации будут назначаться в размере 1/10 минимального штрафа, предусмотренного за соответствующее нарушение (но не менее 15 млн руб. и не более 50 млн руб.). Для снижения штрафа до указанного уровня от работодателя требуется соблюдение одновременно таких условий.

Условие 1. Определенный уровень расходов на обеспечение информационной безопасности. Работодатель в течение 3 календарных лет, предшествующих году, в котором была выявлена утечка, вкладывал не менее 0,1% годового совокупного размера своей выручки в мероприятия по безопасности. Например:

•нанимал компанию или ИП, имеющих лицензию на деятельность по технической защите конфиденциальной информации;

•реализовывал у себя рекомендуемые ими меры по защите персональных данных.

Регулярные инвестиции в информационную безопасность могут помочь снизить размер штрафа за повторную утечку персональных данных

Условие 2. Соблюдение требований к защите персональных данных при их обработке в информационных системах. У вас должно быть документальное подтверждение, что в течение 12 месяцев, предшествующих моменту выявления утечки, предпринимались все меры по защите ПД. Это могут быть документы, действующие или утвержденные работодателем, полученные извне в указанный период, например такие:

•заключение специалистов по защите конфиденциальной информации об определении типа угрозы безопасности ПД;

•документы, подтверждающие реализацию защитных мер, подобранных исходя из уровня угрозы. Допустим, приказы руководителя о закупке необходимого оборудования, о выделении помещения для размещения информационной системы, об оснащении его устройствами, исключающими неконтролируемое проникновение или неправомерный доступ в такое помещение. А также первичная документация, подтверждающая приобретение работодателем всего необходимого, в том числе для обеспечения сохранности носителей ПД;

•положение о защите персональных данных, утвержденное работодателем. Напомним, это обязательный к принятию документ, не зависящий от желания работодателя. В таком ЛНА предусмотрите:

— порядок работы с ПД, цели, способы и сроки их сбора и обработки;

— список работников, отвечающих за обработку ПД (например, кадровик, бухгалтер), а не только список работников, имеющих доступ к ПД;

— правила хранения личных дел и других кадровых документов;

— способы защиты электронных документов.

Проверьте, чтобы работники, которых этот документ касается, были ознакомлены с ним под подпись;

•согласия всех сотрудников на обработку (сбор, запись, хранение, использование, уточнение) их ПД. Такое согласие можете составить в свободной форме и дать подписать работнику. Причем лучше, чтобы это была отдельная бумага, а не включение слов о согласии на обработку ПД в иной документ, подписываемый сотрудником, например в трудовой договор. Потому что на рассмотрении в Думе находится законопроект, устанавливающий, что «согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных».

Напомним, что представлять сведения о работнике в различные ведомства можно без его согласия, например, если речь идет о подаче информации в военкомат, налоговую инспекцию или СФР;

•акты об уничтожении копий документов по достижении цели, для которой работники их приносили (допустим, для предоставления вычета), а также в случае истечения срока согласия на обработку персональных данных или его отзыва, например, при увольнении сотрудника. Не забудьте, что акт об уничтожении надо хранить в течение 3 лет.

Условие 3. Отсутствие отягчающих ответственность обстоятельств. То есть на момент повторной утечки или на момент вынесения постановления по делу об этом нарушении:

•у работодателя нет неисполненных предписаний госорганов о прекращении нарушения — ему не выдавались такие предписания или он их исполнил;

•работодатель не подвергался административному наказанию за совершение нарушений в области связи и информации, предусмотренных ч. 1—11 ст. 13.11, статьями 13.6, 13.12 КоАП РФ, или прошел 1 год со дня окончания исполнения постановления о привлечении к ответственности по указанным статьям.

* * *

Еще такой момент. Не переусердствуйте, когда будете собирать согласия на обработку ПД у своих работников. Например, нельзя требовать у сотрудника такое согласие исключительно по утвержденной вами форме. Принимайте от работника любой документ-согласие, если в нем есть все предусмотренные Законом сведения и реквизиты.