Два проекта об ужесточении порядка работы с персональными данными россиян передало в профильный комитет Госдумы Минцифры, узнал «Коммерсантъ». Один из них вводит оборотные штрафы за утечку данных, другой вносит изменение в УК

Ярослав Чингаев / ТАСС

Минцифры передало на рассмотрение комитета Госдумы по информполитике два законопроекта, которые ужесточают порядок работы с персональными данными россиян, сообщает «Коммерсантъ» со ссылкой на источники.

Оба документа разрабатывались с начала прошлого года. Первый вводит оборотные штрафы для компаний, допустивших утечку информации. Второй вносит изменения в УК России и распространяется на совершивших противоправные действия с использованием персональных данных — кражу, продажу, а также на создающих теневые форумы, где незаконно распространяются личные данные граждан.

Ранее законопроект об усилении административной ответственности за утечки данных анонсировал глава Минцифры Максут Шадаев. По его словам, штраф за это может составить до 3% от оборота компании.

Как пишет «Коммерсантъ», внесенные в Госдуму поправки предусматривают за первичную утечку данных фиксированный штраф, а за повторную — оборотный. «Законопроект должен предусматривать оборотный штраф для компаний в размере 5–500 млн руб., при этом максимальный штраф компания получит, если допустила утечку данных повторно с момента вступления закона в силу», — говорится в статье.

Помимо этого в апреле Госдума рассмотрит законопроект об «уголовной ответственности за кражу персональных данных и создание сайтов и других каналов для их распространения».

Источник газеты уточнил, что речь идет о внесении изменений в ст.

272, 273 и 274 УК, которые касаются неправомерного доступа к компьютерной информации, распространения вредоносных программ и нарушения правил эксплуатации средств хранения, обработки или передачи компьютерной информации.

Источник «РИА Новости» в декабре сообщал, что наказание будет рассчитано на физических лиц и пока предусмотрено в размере от 300 тыс. до 2 млн руб. Также, по его словам, рассматривается наказание в виде лишения свободы в зависимости от тяжести преступления до шести лет, при отягчающих обстоятельствах — до десяти лет.

С предложением ввести оборотные штрафы для бизнеса за утечки персональных данных в прошлом апреле выступило Минцифры. Шадаев тогда указал, что бизнес опасается скорее репутационных потерь, нежели штрафа. Законопроект, по его словам, не будет касаться госорганов. Позже источники «Коммерсанта» уточнили, что ведомство предложило ввести оборотный штраф в диапазоне от 5 млн до 500 млн руб.

Президент России Владимир Путин в начале декабря также говорил о необходимости ужесточить наказание за утечки — такие меры, по его словам, «нужно проработать как следует».

Оборотный штраф — понятие из антимонопольного законодательства. Его размер зависит от выручки компании и может составлять 1, 5 или 15%.

Сейчас максимальный штраф за утечку персональных данных для бизнеса равен 500 тыс. руб.

В прошлом году в России выросло количество утечек личных данных: только за первое полугодие в интернете оказалось 305 баз информации (на 45,9% больше, чем за аналогичный предшествующий период), следует из подсчетов InfoWatch.

Так, в марте в Сеть утекли личные данные пользователей «Яндекс.Еды». В августе туда попали данные более 100 тыс.

заказов клиентов СДЭК, а в начале декабря — из корпоративного справочника компании «ВымпелКом» (оказывает услуги под брендом «Билайн»).

Новый законопроект о персональных данных: как изменилась работа рекрутеров

В эпоху цифровизации персональные данные (ПД) называют информационным товаром и «нефтью XXI века». В 2021 году серьезно изменился порядок обращения с ПД. Законопроект о распространении персданных привел к масштабным изменениям — часть из них вступила в силу в марте, а с 1 сентября 2021 года вводятся новые требования к получению согласия на распространение ПД.

Разбираемся вместе с экспертами в нюансах новых требований закона применительно к рекрутменту. Вопросов много. Как теперь HR-менеджерам работать с личной информацией кандидатов? Какие новшества нужно строго соблюдать и за что компаниям грозят многомиллионные штрафы?

Сперва разберемся, что относится к персональным данным с точки зрения кандидата и работодателя.

Персональные данные — это любая информация, которая прямо или косвенно относится к физическому лицу (субъекту персональных данных — кандидату). С точки зрения рекрутмента — это почти все сведения, которые собирают о соискателе, субъекте ПД: Ф. И. О., опыт работы, доходы, образование и пр.

Оператор — потенциальный работодатель. Обработчик — тот, кто обрабатывает персональные данные по поручению оператора. Обработчиками в рекрутменте выступают те, кого работодатель нанял для поиска новых сотрудников (кадровые агентства, job-сайты, ATS- и CRM-системы). Кстати, если вы сохраняете резюме на свой компьютер, значит, уже занимаетесь обработкой персональных данных.

ВАЖНО:
У потенциального работодателя как оператора персональных данных должны быть основания для их обработки, самое подходящее — это согласие кандидата. Обработчик не отвечает за сбор согласия, ответственность за это несет работодатель как оператор, даже если компания собирает ПД не напрямую, а через job-сайты.

За последний год на рассмотрение парламентариев было внесено несколько громких законопроектов, связанных с ПД, часть инициатив утвердили. Один из самых обсуждаемых документов, который уже вступил в силу, вносит изменения в порядок обращения с персональными данными граждан.

Итак, главное новшество касается регулирования распространения ПД. С 1 марта 2021 г. вступили в силу изменения в Федеральный закон от 27.07.

2006 №152-ФЗ «О персональных данных», а с 1 сентября 2021 года начинает действовать Приказ Роскомнадзора, в котором прописаны основные требования к форме согласия на обработку ПД.

Главные новшества в законодательстве о персональных данных — 2021
(статья 10.1 Федерального закона «О персональных данных»).

1. Понятие «персональные данные, сделанные общедоступными субъектом персональных данных» заменили на другую формулировку — «персональные данные, разрешенные субъектом персональных данных для распространения».
2. Распространение — действия, направленные на раскрытие персональных данных неопределенному кругу лиц; теперь вид обработки, требующий получения отдельного согласия у кандидата.
3. Оператор перед обработкой данных, полученных из разных источников (социальные сети, сайты по поиску работы), должен проверять наличие согласия или другого основания для обработки таких сведений. Для этого стоит уточнять у владельцев job-сайтов, есть ли согласие на распространение ПД и для каких целей оно получено у соискателя.
4. Оператор должен доказать законность сбора и последующего использования персданных кандидатов из открытых источников.

«Теперь работодатель как оператор должен проверять наличие согласия от кандидата не только на обработку, но и на распространение личной информации о нем, если собирает данные из открытых источников.

Галочки под пользовательским соглашением недостаточно — должен быть отдельный документ, электронная форма на сайте. Эти новеллы всколыхнули и бизнес-сообщество, и юристов.

1 сентября замкнется круг законодательных изменений — приказ Роскомнадзора, вступающий в силу в первый день осени, четко определил, как согласие на распространение персданных должно выглядеть.

Важный нюанс — в документе должны быть поля, где человек может записать, какие ПД он не разрешает распространять или разрешает с определенными условиями. Теперь рекрутеру нужно отслеживать содержание такого согласия», — объясняет Екатерина Метелкина, юрист hh.ru, эксперт по персональных данным.

Работодатель обязан проверять наличие согласия от кандидата не только на обработку, но и на распространение персональных данных, если собирает данные из открытых источников. Галочки под пользовательским соглашением недостаточно: должен быть отдельный документ — согласие.

9 обязательных пунктов в согласии на обработку персональных данных с 1.09.2021

В личные данные подгружают ответственность

В профильный комитет Госдумы переданы два законопроекта Минцифры, которые разрабатывались с начала 2022 года: об усилении административной ответственности компаний за утечки персональных данных и введении уголовной ответственности за кражу и продажу такой информации.

Обсуждаемые нормы приведут к росту цен на услуги операторов связи, онлайн-сервисов и других компаний, чья работа связана с обработкой данных, считают эксперты.

Введение же уголовной ответственности, говорят участники рынка, может спровоцировать рост цен в том числе на инсайдерскую информацию, которая распространяется в даркнете.

Минцифры передало на рассмотрение Комитета госдумы по информполитике, IT и связи два законопроекта, которые ужесточают порядок работы с персональными данными россиян, рассказали “Ъ” собеседники в правительстве.

Первый документ вводит оборотные штрафы для компаний, допустивших утечку информации.

Второй вносит изменения в Уголовный кодекс РФ и распространяется на граждан, совершивших противоправные действия с использованием персональных данных: кражу, продажу, а также создание теневых форумов, где незаконно распространяются личные данные граждан.

О том, что законопроект об усилении административной ответственности за утечки данных должен поступить на рассмотрение в Госдуму уже в апреле, 15 марта сообщил глава Минцифры Максут Шадаев:

«Законопроект, предусматривающий административную ответственность за утечку, в частности, оборотные штрафы, уже готов в финальной версии».

В документе оговорены ответственность за утечки баз данных, фиксированный штраф при первичном инциденте и оборотный штраф — при повторном, смягчающие и отягчающие обстоятельства, уточнили в министерстве.

Законопроект должен предусматривать оборотный штраф для компаний в размере 5–500 млн руб., при этом максимальный штраф компания получит, если допустила утечку данных повторно с момента вступления закона в силу (см.

“Ъ” от 26 декабря 2022 года).

В апреле Госдума также рассмотрит законопроект об «уголовной ответственности за кражу персональных данных и создание сайтов и других каналов для их распространения», следует из презентации к выступлению министра.

По словам собеседника “Ъ” в правительстве, речь идет о внесении изменений в статьи 272, 273 и 274 УК РФ, которые касаются неправомерного доступа к компьютерной информации, распространения вредоносных программ и нарушения правил эксплуатации средств хранения, обработки или передачи компьютерной информации.

Как в декабре сообщало «РИА Новости», наказание будет рассчитано на физических лиц и пока предусмотрено в размере от 300 тыс. руб. до 2 млн руб., также рассматривается наказание в виде лишения свободы в зависимости от тяжести преступления до шести лет, при отягчающих обстоятельствах — до десяти лет.

• Необходимо разделять ответственность за факт утечки и факт продажи украденных данных, подчеркивает основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян: «Уголовная ответственность вряд ли повлияет на торговцев в даркнете — теневые форумы обеспечивают анонимность всех участников».
• Усиление уголовной ответственности за похищение данных повлияет на действия инсайдеров, которые в основном и «попадаются в сети правоохранительных органов», считает эксперт.
• «После появления первых приговоров по новой норме стоимость инсайдерских данных, безусловно, вырастет»,— поясняет господин Оганесян.

Введение оборотных штрафов потребует от крупных операторов персональных данных (в реестре Роскомнадзора на данный момент зарегистрировано 882 тыс.

таких структур) не только модернизации инфраструктуры и процессов обработки, но и увеличения бюджета на оплату возможных штрафов, считает главный юрисконсульт практики интеллектуальной собственности юридической компании «ЭБР» Кирилл Ляхманов: «То есть можно ожидать повышения цен на услуги телеком-операторов и потенциально — изменения ставок финансовых организаций. Изменения экономической модели также могут коснуться классифайдов и других онлайн-проектов, сфокусированных на работе с данными».

Татьяна Исакова, Никита Королев

Операторам запретят передавать данные владельцам запрещённых соцсетей

С 1 марта 2023 года в России вступит в силу ряд изменений к закону «О персональных данных». Изначально поправки предполагали, что операторы данных должны будут отчитываться Роскомнадзору о каждой передаче сведений россиян за рубеж. Потом это требование смягчили.

В сентябре Минцифры опубликовало три проекта подзаконных актов, уточняющих процедуру запрета и ограничения передачи персональных данных. На это обратил внимание «Ъ», а также написал «Интерфакс».

В частности, под запрет попадает передача данных россиян запрещенным на территории РФ организациям, а также иностранным НКО, признанным нежелательными.

Первый документ регламентирует порядок принятия Роскомнадзором и его территориальными органами решений о запрещении или ограничении трансграничной передачи персональных данных «в целях защиты нравственности, здоровья, прав и законных интересов граждан».

Он предполагает, что оператор может направить уведомление о планируемой передаче в виде бумажного или электронного документа, заверенного цифровой подписью. При этом, как сообщили «Интерфаксу» в Минцифры, речь не идёт о передаче данных по каждому пользователю.

«Таким образом, реализация уведомления не повлечет дополнительных затрат операторов», – подчеркнули в министерстве.

Порядок также определяет случаи, в которых Роскомнадзор может принять решение о запрете трансграничной передачи персональных данных. К ним относятся непринятие мер по защите персональных данных властями иностранного государства или физическими и юридическим лицами, которым планируется передача, или отсутствие прописанных условий для прекращения такой обработки.

Также запрещается передача персданных россиян запрещенным на территории РФ организациям и иностранным неправительственным организациям, деятельность которых признана в РФ нежелательной. Кроме того, основанием для запрета может стать несоответствие передачи и обработки данных целям их сбора, не допускается и обработка в случаях, не предусмотренных законом «О персональных данных».

Другой документ, подготовленный Минцифры, предусматривает случаи, при которых к операторам, осуществляющим трансграничную передачу персональных данных, не применяются требования частей 3-6, 8-11 статьи 12 закона «О персональных данных».

Так, часть требований могут не применяться в случаях, если операторы должны выполнить возложенные международным договором РФ обязанности, например, в целях осуществления международных воздушных и морских перевозок, железнодорожного и автомобильного сообщения; обеспечения транспортной безопасности; обеспечения реадмиссии; осуществления предупреждения и ликвидации чрезвычайных ситуаций; обеспечения безопасности и противодействия преступности; обеспечения дипломатических сношений; обеспечения сотрудничества в рамках Евразийского экономического союза; обеспечения обороны; обеспечения консульских сношений; оказания правовой помощи по гражданским, семейным, административным и уголовным делам. Таким образом, если оператор действует в вышеуказанных целях, то уведомлять Роскомнадзор до начала осуществления деятельности по трансграничной передаче персональных данных не требуется, следует из текста проекта постановления.

Третий проект постановления определяет порядок принятия решений о запрещении или об ограничении трансграничной передачи персональных данных по представлению уполномоченного органа. К числу таких органов относятся Минобороны РФ, МИД РФ, ФСБ и иные органы исполнительной власти, уполномоченные президентом или правительством на обеспечение защиты экономических и финансовых интересов РФ.

Источник «Ъ» на рынке онлайн-сервисов, представители которого критиковали исходный вариант поправок, сказал, что не ожидает сложностей в связи с новыми нормами. В Ozon сообщили «Ъ», что компания сформирует позицию после рассмотрения документа. «Яндекс», VK и Wildberries отказались от комментариев.

Пользователи соцсетей выступают субъектами персональных данных, а не операторами их передачи, пояснил «Ъ» управляющий партнер Enterprise Legal Solutions Юрий Федюкин: «Когда человек передает Meta (признана экстремистской организацией) собственные персональные данные, поправки и подзаконные акты не создают рисков ответственности».

Разглашение персональных данных — ответственность по 137 УК РФ за распространение ПДн без согласия владельца

Использование в любой деятельности идентифицирующих гражданина сведений налагает на любое физическое лицо, госслужащего, компанию или индивидуального предпринимателя обязанность обеспечивать безопасность ПДн в течение всего периода обработки.

Это четко прописано в ФЗ-152, как и необходимость несения определенной ответственности за распространение личных данных без согласия владельца.

Наказания могут варьироваться, в том числе нарушителя могут обвинить по статье УК РФ, что влечет за собой серьезные последствия, начиная от внушительного штрафа, заканчивая лишением свободы, арестом, принудительными и обязательными работами в течение определенного периода, а также лишением права заниматься той или иной деятельностью либо занимать некоторые должности.

Чтобы не оказаться участником уголовного разбирательства в качестве обвиняемого, нужно знать, когда действует статья 137 УК о разглашении персональных данных. Не менее важно гражданам знать свои права и порядок действий, если они каким-либо способом обнаружили, что конфиденциальная информация была использована без предварительного согласия.

Разглашение и распространение персональных данных без согласия субъекта

Хранить, использовать, дополнять, копировать, блокировать и совершать другие операции с ПДн необходимо исключительно после того, как получено одобрение от субъекта.

Причем человек должен дать официальное согласие в электронном либо письменном виде, предварительно ознакомившись с целями, методами, объемом и сроками обработки частных сведений.

Если оператор действует самовольно и передает секретные данные иным лицам, то имеет место незаконное распространение персональных данных.

Каким образом производится передача информации другим организациям, гражданам или общественности, не имеет значения, в любом случае за совершенные действия виновника накажут. Поводом для начала уголовного производства может служить как заявление субъекта в правоохранительные органы, так и инициатива надзорного органа, который обнаружил признаки несанкционированных операций в рамках плановой или внеплановой проверки.

Нарушением признается разглашение персональных данных без согласия владельца не только в том случае, если он не подписывал соответствующий документ, но и при отзыве ранее предоставленного разрешения. То есть нельзя продолжать обработку, если получили по всем правилам оформленное заявление об отзыве от гражданина либо его законного представителя.

Какая может быть ответственность за разглашение персональных данных гражданина?

Основание для наложения каких-либо санкций в отношении операторов, передающих ПДн третьим лицам, закреплено конфиденциальным статусом личной информации, что прописано в Статье 7 ФЗ-152.

Еще одним документом, предписывающим сохранять информацию в тайне является Трудовой Кодекс, где присутствует отдельная статья про дисциплинарные проступки.

Нормативно-правовая база РФ предусматривает несение нарушителем трех видов ответственности за распространение персональных данных:

• уголовной;
• административной;
• дисциплинарной.

При обвинении в рамках ТК максимум, что грозит человеку, — это увольнение, хотя часто руководство ограничивается замечанием или взысканием.

Более серьезное наказание предусмотрено статьей 13 КоАП, которую недавно откорректировали, увеличив штрафы примерно в 10 раз. Примечательно, что за повторное нарушение полагается в 2-3 раза больший штраф, чем за первичное невыполнение нормативов ФЗ-152.

Значительные проблемы возникают у тех, чьи действия интерпретируют как нарушение положений Уголовного Кодекса.

Удобная таблица со всеми административными штрафами за нарушения в области обработки и защиты персональных данных

Статья 137 УК РФ: наказание за разглашение персональных данных

Изначально следует отметить, что уголовная ответственность может наступить, если речь идет именно о разглашении личной информации, например, о состоянии здоровья, интимной сфере, образе жизни и т.д.

Вид и серьезность наказания определяются в зависимости от исполнителя правонарушения, способа распространения сведений и последствий, к которым привели незаконные действия нарушителя.

Гораздо проще наказать тех, кто сообщает конфиденциальные сведения в публичных выступлениях либо через средства массовой информации.

Основные меры наказания прописаны в статьях 137 и 138 УК РФ:

• за распространение данных, составляющих личную или семейную тайну — штраф до 200 тысяч рублей (или доход за последние 1,5 года), обязательные или принудительные работы продолжительностью до 360 часов и до 2 лет, соответственно (во втором случае нарушителя лишают права до 3 лет заниматься определенной деятельностью), арест до 4 месяцев, тюремное заключение максимум на 2 года;
• за аналогичные действия в случае использования служебного положения — до 6 месяцев ареста, лишение свободы на 4 года (максимум), принудительные работы максимум в течение 4 лет с лишением возможности заниматься той или иной деятельностью до пяти лет, штраф 100-300 тысяч рублей либо в размере полученного за прошлые 1-2 года официального дохода;
• за разглашение сведений, касающихся субъектов младше 16 лет — 150-300 тысяч штрафа, лишение права заниматься определенной деятельностью до пяти лет, принудительные работы до пяти лет, 6 месяцев ареста, заключение в тюрьму на срок до 5 лет;
• за несоблюдение тайны переписки и переговоров (в любом формате — по телефону, электронной почте, в рамках видеоконференций и т.д.) — штраф до 80 тысяч рублей либо в размере полученного за прошлые полгода дохода/зарплаты, исправительные или принудительные работы в течение 1 года или 360 часов, соответственно.

Действия субъекта в случае незаконного распространения ПДн

Ситуации, связанные с неправомерной передачей частных сведений, бывают разными, и каждый субъект вправе сам решать, как отстаивать собственные интересы:

• обращение в судебные органы с иском, где прописано требование прекратить обработку, заблокировать доступ к ПДн, возместить материальный и моральный ущерб;
• подача жалобы в Роскомнадзор, который инициирует дополнительную проверку, и если будут выявлены нарушения, предпримет адекватные меры;
• обращение в правоохранительные структуры позволит в случае удачного завершения дела добиться несения нарушителем административной либо уголовной ответственности. В полицию имеет смысл обращаться, если отсутствует достаточно убедительная для судебного производства доказательная база, подтверждающая вину оператора.

Разобраться в том, по какой статье идентифицировать нарушение и правильно составить претензию на распространение личной информации без согласия владельца, помогут квалифицированные юристы.

Есть ряд требований к содержанию, оформлению и подаче жалоб, исковых и других заявлений.

Для наиболее эффективной защиты прав есть смысл пойти сразу несколькими путями, продумав обвинения таким образом, чтобы обращения в разные инстанции дополняли друг друга.

До 1 марта 2023 года нужно подать уведомление в Роскомнадзор о трансграничной передаче персональных данных

1. Главная →
2. Журнал →
3. Бизнес

Операторы персональных данных, которые отправляют личную информацию граждан на территорию другого государства, осуществляют трансграничную передачу персональных данных. Они должны уведомить об этом Роскомнадзор не позднее 1 марта 2023 года. Разбираем в статье, какие еще есть требования к передаче персональных данных за границу, и как правильно направить уведомление.

Трансграничная передача персональных данных (ТППД) — это передача личной информации гражданина на территорию иностранного государства органу власти иностранного государства, иностранному юрлицу или физлицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).

По определению к ней не относится обмен кадровой информацией российской компании со своим представительством за рубежом или обработка сведений о российском гражданине на территории России иностранной компанией. Здесь не соблюдаются одновременно два условия: передача иностранцу в другую страну.

А вот отправка списка российских граждан в турецкий отель для бронирования номеров уже будет трансграничной передачей персональных данных. Другой пример. Самозанятый дизайнер принял от российской компании заказ на изготовление визиток. Но решил перепоручить эту работу студенту из Узбекистана и отправил ему персональные данные (ПД) сотрудников заказчика. Это тоже трансграничная передача.

Оператор персональных данных и иностранец несут ответственность перед российским гражданином за сохранность ПД при передаче ПД иностранному юридическому или физическому лицу (ч. 6 ст. 6 Закона № 152-ФЗ). Это одно из отличий ТППД. Если оператор поручает обработку персональных данных российскому юрлицу или гражданину, то ответственность перед субъектом ПД он несет единолично.

Закон № 152-ФЗ делит все иностранные государства на две категории.

1. Страны, обеспечивающие адекватную защиту прав субъектов ПД («адекватные страны»). К ним относятся стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и прочие государства, входящие в утвержденный Роскомнадзором список (Конвенция от 28.01.81; приказ Роскомнадзора от 05.08.2022 № 128 — действует с 1 марта 2023 года; приказ Роскомнадзора от 15.03.2013 № 274 — действует до 1 марта 2023 года). Например, это Грузия, Азербайджан, Турция, Казахстан, Беларусь, КНР. 
2. Страны, не обеспечивающие адекватную защиту прав субъекта ПД («неадекватные страны»). К ним относятся все государства, которых нет в перечисленных выше списках Роскомнадзора. Например, ЦАР.

До 1 марта 2023 года в «адекватные страны» можно свободно передавать ПД, при условии соблюдения Закона № 152-ФЗ. Но субъект персональных данных имеет право знать, что оператор поручает кому-то обработку его личной информации (п. 8 ч. 7 ст. 14 Закона № 152-ФЗ).

Трансграничная передача в «неадекватные страны» возможна только при выполнении одного из условий:

• с письменного согласия субъекта ПД;
• в случаях, предусмотренных международными договорами Российской Федерации;
• если это необходимо по закону для обеспечения конституционного строя, обороны и безопасности страны, транспортной защиты;
• для исполнения условий договора с субъектом ПД;
• для защиты жизни, здоровья, интересов самого гражданина и других лиц, когда невозможно получить письменное согласие на ТППД.

Этот список закрытый. Он перечисляет все возможные случаи, когда в другую страну можно передать личную информацию гражданина без гарантии соблюдения его прав (ч. 4 ст. 12 Закона № 152-ФЗ).

С 1 марта 2023 года начинает действовать новая редакция статьи 12 про ТППД в Законе № 152-ФЗ (п. 7 ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ). Основным условием для передачи личной информации российских граждан в другую страну становится уведомление Роскомнадзора. Его нужно подать до начала осуществления такой деятельности.

Операторы, которые уже передают персональные данные в другие страны, например, турагенты, и планируют продолжать это делать после вступления в силу новой редакции статьи 12, должны уведомить Роскомнадзор до 1 марта 2023 года (п. 5 ст. 6 Закона № 266-ФЗ). Это можно сделать на официальном Портале персональных данных. 

Мы составили примерный алгоритм действий оператора с пояснениями.

Шаг 1. Провести оценку соблюдения иностранным контрагентом, которому будут передаваться ПД, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке. Новая редакция статьи 12 Закона № 152-ФЗ не содержит подробной информации, как это сделать. Указаны только сведения, которые оператор должен запросить у иностранца:

• меры по защите передаваемой личной информации российских граждан и условия прекращения ее обработки;
• правовое регулирование в области защиты персональных данных государства-адресата, если это «неадекватная страна»;
• информация об иностранном лице, которому передаются ПД — наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса E-mail.

Шаг 2. Заполнить форму уведомления на официальном Портале персональных данных по адресу: https://pd.rkn.gov.ru/cross-border-transmission/form/.

Чтобы подать данные в электронном виде, потребуется подтвержденная учетная запись на Госуслугах. Для организации она должна быть привязана к этой организации. Бумажный носитель направлять не нужно.

Если оператор личный кабинет на Госуслугах не завел, то можно скачать образец готового уведомления с Портала Роскомнадзора и на его основании сделать свой документ.

Заполненная форма распечатывается, подписывается руководителем и направляется по почте (ч. 4 ст. 12 Закона № 152-ФЗ в редакции Закона № 266-ФЗ). Роскомнадзор в письме от 09.11.

2022 № 08ВМ-98928 допустил применение для подготовки уведомления правил в 266-ФЗ, не вступивших в силу.

1. Адрес, где размещена форма — https://pd.rkn.gov.ru/cross-border-transmission/form/.
2. РОПД — это реестр операторов персональных данных.
3. Цели трансграничной передачи — это та деятельность, для которой нужно отправить личную информацию за границу. Они должны соответствовать уставной деятельности оператора или требованиям законов. Например, целью можно указать «бронирование отеля для выполнения условий договора об оказании туристических услуг».
4. Правовое основание ТППД — это либо письменное согласие субъекта ПД, либо установленные Законом случаи. При заполнении формы на Госуслугах предлагается выбрать вариант из списка.
5. Дата окончания проведения оценки. Указывается конкретное число, когда у оператора уже есть сведения от иностранного лица, предусмотренные ст. 12 Закона № 152-ФЗ в редакции Закона № 266-ФЗ. Дата уведомления не может быть раньше даты оценки.

После отправки уведомления до 1 марта 2023 года оператор свои обязанности выполнил. Он может продолжать осуществлять трансграничную передачу персональных данных, не дожидаясь реакции Роскомнадзора. Дополнительные требования по действиям ведомства после получения уведомления вступят в силу только 1 марта 2023 года.

Роскомнадзор в письме от 09.11.2022 № 08ВМ-98928 указал, что 266-ФЗ не предусматривает запреты или ограничения на ТППД со стороны Роскомнадзора по уведомлениям, отправленным до 01.03.2023. 

Роскомнадзор в уже упомянутом письме № 08ВМ-98928 указал, что оператор может заполнить столько форм, сколько считает нужным. Ограничений на количество и частоту уведомлений о ТППД не установлено.

Какие могут быть варианты:

• подать одно уведомление на все цели трансграничной передачи и все страны, с которыми контактирует оператор — форма позволяет это сделать;
• заполнить бланк отдельно на каждую цель или каждое государство.

До 1 марта 2023 года оператор подает уведомление об осуществлении ТППД. То есть оно касается тех, кто уже работает с иностранными контрагентами и направляет им какую-то личную информацию граждан.

Если у оператора что-то изменится после 1 марта 2023 года, например, в списке стран или целей, он подает уже уведомление о намерении осуществлять ТПДД. Его формы на Портале Роскомнадзора пока нет, но требования к содержанию указаны в ч.

 4 ст. 12 Закона № 152-ФЗ в редакции 266-ФЗ.

Правила об ограничении ТППД заработают с 1 марта 2023 года (ст. 12 Закона № 152-ФЗ в редакции 266-ФЗ). 

Во-первых, Роскомнадзор может запретить или ограничить трансграничную передачу по результатам рассмотрения уведомления о намерении осуществлять ТППД (ч. 8 ст. 12 Закона № 152-ФЗ в редакции 266-ФЗ). На принятие такого решения у него есть 10 рабочих дней. 

Роскомнадзор при проверке уведомлений может запросить все сведения об оценке соблюдения иностранным контрагентом, которому будут передаваться ПД, мер по защите ПД при их обработке, поэтому лучше документировать и сохранять всю переписку с зарубежным контрагентом.

Оператор должен будет передать информацию в ведомство в течение 10 рабочих дней. Срок можно продлить по уважительной причине не более чем на пять рабочих дней.

Пока Роскомнадзор не получит от оператора всю запрашиваемую информацию, он приостанавливает проверку уведомления.

Важно! Оператор может осуществлять ТППД в «адекватные страны» уже после отправки уведомления. Ответа Роскомнадзора дожидаться необязательно (ч. 10 ст. 12 Закона № 152-ФЗ в редакции 266-ФЗ).

По «неадекватным странам» нужно будет получить результаты рассмотрения уведомления. Если Роскомнадзор не разрешит ТППД в такие государства или для этого оператора, то осуществлять трансграничную передачу нельзя.

Во-вторых, Роскомнадзор может запретить или ограничить ТППД по представлению уполномоченных органов власти, например, МВД, Минобороны, ФСБ. Такое решение принимается в целях защиты интересов РФ, ее граждан, обеспечения суверенитета и государственной безопасности (ч. 12 ст. 12 Закона № 152-ФЗ в редакции 266-ФЗ).

Правила ввода запретов по представлению уполномоченных органов власти утверждены Постановлением Правительства РФ от 10.01.2023 № 6. Они начнут действовать с 1 марта 2023 года.

Контролируйте сроки отчётности и платежей в Экстерне

Попробовать

Тенденция в законодательстве о защите персональных данных последних лет — ужесточение требований, особенно, к передаче ПД за границу. Позволим себе дать несколько советов тем операторам, кто работает с иностранцами.

1. Составьте реестр всех случаев ТППД и поддерживайте его в рабочем состоянии. Заведите досье на каждого зарубежного контрагента, в котором храните сведения по ч. 5 ст. 12 Закона № 152-ФЗ в редакции 266-ФЗ. Это пригодится для оперативного ответа на вопросы Роскомнадзора.
2. Если контрагент отказывается давать какую-то информацию, оцените варианты разрыва отношений с ним. Есть вероятность, что Роскомнадзор может ограничить передачу ПД такому лицу. В первую очередь, это касается партнеров из «неадекватных стран».
3. Отслеживайте изменения в законодательстве и появление разъяснений Роскомнадзора. Новые правила трансграничной передачи действуют с 1 марта 2023 года, поэтому практика пока не наработана.

Следите за публикациями в нашем Журнале.

Ответственность за нарушения работы с персональными данными в 2023 году

Нарушение правил обработки и хранения персональных данных приводит к штрафам на десятки, а иногда и сотни тысяч рублей. Рассказываем, за что наказывает Роскомнадзор в 2023 г. и как избежать ответственности.

17.02.2023 г. вступили в силу поправки из постановления Правительства РФ от 04.02.2023 г. № 161. РКН получил право с согласия прокуратуры проводить внеплановые проверки, если поступила информация о распространении баз данных с персональными данными. Не спасутся даже аккредитованные ИТ-организации, которые попали под мораторий на внеплановые проверки.

Второе новшество введено Законом от 29.12.2022 г. № 625-ФЗ — Роскомнадзору разрешили выписывать штрафы без фактического посещения компаний. Если получена информация об обработке данных без согласия владельца, могут выписать штраф по п. 1-2.1, п. 4 ст. 13.11 КоАП РФ без проведения контрольного мероприятия — письмо РКН от 31.01.2023 г. № 09-6488.

Третье изменение — обновление формы согласия на размещение биометрических данных в единой системе. Актуальный бланк утвердили распоряжением Правительства РФ от 01.02.2023 г. № 207-р. К биометрии относятся рост, вес, анализы ДНК и другая информация, которая относится к биологическим и физиологическим особенностям человека.

За что предусмотрена ответственность 

Чаще всего штрафуют за:

• незаконную обработку данных;
• разглашение данных;
• нарушение правил обработки;
• передачу данных без разрешения или с нарушениями;
• недостаточную защиту информации;
• невыполнение требований РКН;
• другие нарушения, установленные Законом от 27.07.2006 г. № 152-ФЗ.

По некоторым нарушениям штрафуют и компанию, и должностных лиц.

Организация может избежать штрафа, если нарушение произошло из-за противоправных действий третьих лиц. При этом нужно доказать, что компания приняла меры по защите персональных данных.

Как избежать ответственности

Всё просто — соблюдайте правила! Убедитесь, чтоб бумажные и электронные данные надёжно защищены. В первом случае храните информацию в закрытом помещении, во втором привлекайте квалифицированных айтишников, которые обеспечат защиту от взломов.

И не забывайте получать все необходимые согласия:

• На обработку — основной документ, актуальный в большинстве случаев. В офисе предлагайте бумажное согласие, на сайте — ставить галочку в чек-боксе.
• На распространение данных, разрешённых к распространению, например, если планируете размещать информацию о сотрудниках на корпоративном сайте.
• На обработку специальных категорий данных — тех, которые нельзя запрашивать в стандартных ситуациях. Например, философские или политические взгляды человека.
• На трансграничную передачу — если планируете отправлять информацию за пределы РФ.
• На обработку биометрических данных — информация о росте, весе, цвете глаз и прочих физиологических и биологических особенностях человека.

Штрафы за нарушения

Незаконная обработка данных. За первое нарушение — ч.1 ст. 13.11 КоАП РФ:

• должностное лицо или ИП — 10 000 ₽ – 20 000 ₽;
• компания — 60 000 ₽ – 100 000 ₽.

За повторное нарушение — ч. 1.1 ст. 13.11 КоАП РФ:

• должностное лицо — 20 000 ₽ – 50 000 ₽;
• ИП — 50 000 ₽ – 100 000 ₽;
• компания — 100 000 ₽ – 300 000 ₽.

Обработка данных без согласия. За первое нарушение — ч. 2 ст. 13.11 КоАП РФ:

• должностное лицо или ИП — 20 000 ₽ – 40 000 ₽;
• компания — 30 000 ₽ – 150 000 ₽.

За повторное нарушение — ч. 2.1 КоАП РФ:

• должностное лицо — 40 000 ₽ – 100 000 ₽;
• ИП — 100 000 ₽ – 300 000 ₽;
• компания — 300 000 ₽ – 500 000 ₽.

Отсутствие опубликованной политики обработки данных — ч. 3 ст. 13.11 КоАП РФ:

• должностное лицо — 6000 ₽ – 12 000 ₽;
• ИП — 10 000 ₽ – 20 000 ₽;
• компания — 30 000 ₽ – 60 000₽.

Отказ предоставить информацию владельцу данных — ч. 4 ст. 13.11 КоАП РФ:

• должностное лицо — 8000₽ – 12 000 ₽;
• ИП — 20 000 ₽ – 30 000 ₽;
• компания — 40 000 ₽ – 80 000 ₽.

Отказ от уточнения, блокирования или уничтожения данных. За первое нарушение — ч. 5 ст. 13.11 КоАП РФ:

• должностное лицо — 8 000 ₽ – 20 000 ₽;
• ИП — 20 000 ₽ – 40 000 ₽;
• компания — 50 000 ₽ – 90 000 ₽.

За повторное нарушение — ч 5.1 ст. 13.11 КоАП РФ:

• должностное лицо — 30 000 ₽ – 50 000 ₽;
• ИП — 50 000 ₽ – 100 000 ₽;
• компания — 300 000 ₽ – 500 000 ₽.

Необеспечение сохранности данных на материальных носителях — ч.6 ст. 13.11 КоАП РФ:

• должностное лицо — 8000 ₽ – 20 000 ₽;
• ИП — 20 000 ₽ – 40 000 ₽;
• компания — 50 000 ₽ – 100 000 ₽.

Нарушение правил обращения с собранными данными. За первое нарушение — ч. 8 ст. 13.11 КоАП РФ:

• должностное лицо — 100 000 ₽ – 200 000 ₽.;
• компания или ИП — 1 – 6 млн ₽.

За повторное нарушение — ч. 9 ст. 13.11 КоАП РФ:

• должностное лицо — 500 000 ₽ – 800 000 ₽;
• компания или ИП — 6 – 18 млн ₽.

Отказ предоставить информацию по запросу РКН — ст. 19.7 КоАП РФ:

• должностное лицо или ИП — 300 ₽ – 500 ₽;
• компания — 3000 ₽ – 5 000 ₽.

Уклонение и препятствование проверке Роскомнадзора — ч. 1 ст. 19.4.1 КоАП РФ:

• должностное лицо или ИП — 2000 ₽ – 4000 ₽;
• компания — 5000 ₽ – 10 000 ₽.

Препятствование завершению проверки РКН. За первое нарушение — ч. 2 ст. 19.4.1 КоАП РФ:

• должностное лицо или ИП — 5000₽ – 10 000 ₽;
• компания — 20 000 ₽ – 50 000 ₽.

За повторное нарушение — п. 3 ст. 19.4.1 КоАП РФ:

• должностное лицо или ИП — 10 000₽ – 20 000 ₽ или дисквалификация на срок от шести месяцев до одного года;
• компания — 50 000 ₽ – 100 000 ₽.

Отказ исполнять предписание РКН — ч. 1 ст. 19.5 КоАП РФ:

• должностное лицо или ИП — 1000 ₽ – 2000 ₽ или дисквалификация на срок до трех лет;
• компания — 10 000 ₽ – 20 000 ₽.

Рассказываем о сложных вещах незанудно, понятно и с юмором на ютуб-канале

Подписаться →

Коротко

1. С 17.02.2023 г. РКН разрешили проводить внеплановые проверки любых организаций, если поступила информация о распространении баз персональных данных.

2. РКН может выписывать штрафы без проведения контрольных мероприятий, если получена информация о незаконной обработке данных.

3. Нужно использовать новую форму согласия на сбор биометрических данных, которая утверждена распоряжением Правительства РФ от 01.02.2023 г. № 207-р.

4. Чтобы избежать крупных штрафов, собирайте все согласия и позаботьтесь о защите данных — как бумажных, так и электронных.

5. За нарушение правил сбора, обработки и хранения персональных данных штрафуют на сумму до 18 млн руб.

Статья актуальна на  23.06.2023