С 1 марта 2021 года ужесточились правила проверки персональных данных граждан, которые обеспечивают им дополнительную защиту. Теперь не допускается распространение таких данных «по умолчанию». Также с 27 марта в 2 раза увеличиваются штрафы за нарушение вышеупомянутых правил.
Согласно Федеральному закону от 30.12.2020 № 519-ФЗ:
Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку ПД.
Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно. Субъект ПД может сам выбрать перечень персональных данных, возможных для распространения.
В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.
Чтобы прекратить передачу данных, разрешенных для распространения, нужно оформить требование, в котором обязательно указать следующую информацию: ФИО, контактные данные и перечень персональных данных, передачу которых нужно прекратить.
Ключевые изменения произошли в 2017 году, когда Федеральный закон от 07.02.2017 № 13-ФЗ внес поправки в ст. 13.11 КоАП. Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.
В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.
Подконтрольными Роскомнадзору субъектами выступают все предприятия, большинство ИП и даже некоторые граждане, которые вне зависимости от объема, обрабатывают и собирают информацию о клиентах, сотрудниках и других гражданах.
Роскомнадзор проверяет:
Документы, включающие в себя персональные данные. Если проверка выездная – еще и условия их хранения, организацию места хранения.
Обрабатывающие системы (компьютеры и программы).
Внутренние нормативные акты, касающиеся обработки и хранения персональных данных, и их практическое соблюдение.
Сайт компании в интернете. Например, предприятие могут оштрафовать, если на его сайте производится сбор персональных данных, но не размещены подробности дальнейшей работы компании с персональными данными.
Подготовиться к плановой проверке Роскомнадзора достаточно непросто. Нужно привести в порядок огромный массив документов. Некоторые предприятия специально для подготовки к проверке нанимают стороннего эксперта. Он помогает один раз систематизировать хранение и обработку персональных данных в компании.
Основной план подготовительных работ:
Необходимо убедиться в том, что ранее уже подавали заявление в Роскомнадзор на обработку персональных данных. Сделать это нужно еще до того, как начали свою деятельность, иначе уже это опоздание станет веским поводом для внушительного штрафа.
Проверить, соответствует ли ваша текущая деятельность указанному в едином реестре. Нужно уточнить содержание заявления, которое ранее было подано, и при необходимости внести в него изменения по форме, которую можно найти на сайте Роскомнадзора. Именно несоответствие этих данных и фактической деятельности выступает самой распространенной причиной штрафа от Роскомнадзора.
Назначьте ответственного за обработку персональных данных, вместе с ним приступайте к подготовке всех документов для проверки Роскомнадзора.
Обязательно оформите «Политику компании в отношении обработки персональных данных».
Нужно заранее подготовить всех сотрудников к проверке. Ознакомьте их с документами по работе с персональными данными. Установите четкие правила поведения с инспекторами, если ожидается выездная проверка.
Необходимо проверить условия хранения бумаг, а также материально-техническое оснащение офиса, кто имеет доступ.
Начинается проверка с уведомления проверяемого. В нем указываются сроки и реквизиты инициирующего приказа. Оговаривается план контрольных мероприятий.
Сначала проверяют документы. На предприятие отправляется запрос, на который необходимо ответить в течение 10 дней. Предприниматель предоставляет копии документов, заверенные подписью и печатью. Если в документах есть все данные, тогда выездная проверка не понадобится.
Обычно выездная проверка длится 20 дней, а также может быть продлена, если это требуется. Итогом проверки становится акт. Если были обнаружены нарушения – в акт включат предписания по их устранению и отведенные на исправление ошибок сроки. Результаты проверки можно обжаловать в устном или письменном виде.
Штрафные санкции в 2021 году
27 марта вступает в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который значительно увеличивает штрафы за нарушения в работе с персональными данными.
Если раньше за первое нарушение в области персональных данных высказывали предупреждение, теперь сразу будут штрафовать. А штрафы за повторное нарушение теперь будут в 2 раза выше, чем было до 27 марта 2021 года. Например, юрлицу за первое нарушение придется заплатить штраф в размере от 60 000 до 100 000 руб., а за повторное — от 100 000 до 300 000 руб.
Срок давности привлечения к административной ответственности теперь тоже изменен. Если раньше он составлял всего 3 месяца, то сейчас начиная с 27 марта 2021 года, он продлится до одного года.
Такое правонарушение, как обработка ПД без получения согласия субъекта, предусматривает самые крупные штрафы для всех категорий операторов. Так, при повторном нарушении юрлицу придется заплатить штраф до 500 000 руб.