Обработка персональных данных в 2023 году

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – определенному или определяемому физическому лицу.

Обработка персональных данных – это действие или совокупность действий, которые совершают с персональными данными сотрудника. Например, когда вы собираете и записываете персданные соискателя, чтобы заполнить трудовой договор при трудоустройстве.

Также, если вы владелец интернет-сайта и собираете данные ваших посетителей через специальную форму, то вы тоже занимаетесь обработкой персональных данных.

Напомним, что еще до 1 марта 2023 года работодатели обязаны передавать РКН специальные уведомления об обработке персональных данных. Подробнее см. «Уведомление РКН об обработке персональных данных». 

С 1 марта 2023 года требований к обработке персональных данных становится еще больше. Кроме того, в 2023 году РКН усилит проверки за персональными данным. В частности, начнет проводить “дистанционные” проверки операторов персональных данных.

Уведомление об изменении персональных данных: новый срок

С 1 марта будет больше времени, чтобы известить Роскомнадзор об изменении персональных данных.

Если сведения, которые указали в уведомлении, изменились, об этом нужно сообщить в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения.

До 1 марта такое уведомление направлялось в течение 10 рабочих дней с момента изменений. Уведомление подается по форме из приложения № 2 к приказу Роскомнадзора от 28.10.2022 № 180.

Уничтожение персональных данных: новые правила

С 1 марта нужно фиксировать факт уничтожения персональных данных актом по новой форме. Раньше оформить акт об уничтожении можно было в свободной форме, а теперь необходимо включить в него 10 обязательных видов данных. Основание: Приказ Роскомнадзора от 28.10.2022 N 179.

С 1 марта 2023 года работодатель должен будет фиксировать факт того, что уничтожил персданные, двумя документами:

• актом об уничтожении персональных данных;
• выгрузкой из журнала регистрации событий в информационной системе персональных данных.

К сведению

Если компания обрабатывает данные вручную для подтверждения будет достаточно акта.

• Обязательные реквизиты акта об уничтожении персональных данных
• 
• Обязательные реквизиты выгрузки
• 

СКАЧАТЬ ОБРАЗЕЦ АКТА ОБ УНИЧТОЖЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ С 01.03.2023

СКАЧАТЬ ОБРАЗЕЦ ВЫГРУЗКИ ИЗ ЖУРНАЛА С 01.03.2023

Оценка степени вреда: новый порядок

С 1 марта 2023 года потребуется оценивать степень вреда, который может возникнуть, если будет нарушен закон о персональных данных. РКН утвердил специальные правила, по которым работодатели должны оценивать вред, который может возникнуть, если будут нарушены правила обработки персданных (приказ Роскомнадзора от 27.10.2022 № 178).

Степени вреда всего 3 (три):

1. высокая;
2. средняя;
3. низкая.

Таблица. Какие персданные к какой степени вреда относятся

Заметим, что отнесения вреда к какой-либо категории, вам потребуется составить специальный акт. Предлагаем ознакомиться с образцом.

СКАЧАТЬ ОБРАЗЕЦ АКТА ОЦЕНКИ ВРЕДА С 01.03.2023

Передача персональных данных за границу

С 1 марта 2023 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян (ст. 12 Закона № 152ФЗ). РКН, в свою очередь, пример решение можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.

Заметим, что новшество напрямую касается онлайн-продавцов. Разрешение не выдадут, если иностранный контрагент работает в стране, которая с точки зрения РКН не обеспечивает защиту данных.

А вот если поставщик находится в стране, которая ратифицировала Конвенцию Совета Европы о защите физлиц при автоматизированной обработке персональных данных, то разрешение, скорее всего, дадут.

Конвенцию, к примеру, ратифицировали Армения, Азербайджан, Сербия, Турция.

Обратите внимание

https://www.youtube.com/watch?v=QAZuiUg4qrQ\u0026pp=ygVp0JrQvtC80L_QtdC90YHQsNGG0LjRjyDQl9CwINCg0LDQt9Cz0LvQsNGI0LXQvdC40LUg0J_QtdGA0YHQvtC90LDQu9GM0L3Ri9GFINCU0LDQvdC90YvRhSDQkiAyMDIzINCT0L7QtNGD

Уведомление о намерении осуществлять трансграничную передачу можно будет оформить на бумаге или в электронном виде. Подавать его нужно будет отдельным документом, а не вместе с общим уведомлением о намерении осуществлять обработку персональных данных.

Для подачи сведений на сайте РКН сделали специальный раздел по адресу https://pd.rkn.gov.ru/cross-border-transmission/form/

Ркн ужесточает проверки

Также см. «К кому придут с проверкой в 2023 году».

За нарушение работы с персональными данными в 2023 году Роскомнадзор будет привлекать к ответственности чаще. Причем для этого не всегда потребуется проводить выездные проверки (письмо Роскомнадзора от 31.01.2023 № 09-6488).

Внеплановых проверок будет больше. Правительство расширило список оснований для внеплановых проверок по персональным данным (постановление от 04.02.2023 № 161).

Так, например, по решению главы или замглавы Роскомнадзора в компанию, в том числе аккредитованную IT-организацию, могут прийти с внеплановой проверкой, если выявят факт распространения в интернете баз с персданными.

Наказать могут и без выезда в компанию. В некоторых ситуациях зафиксировать правонарушение в сфере персданных и привлечь к ответственности могут даже без выездных контрольных мероприятий (письмо Роскомнадзора от 31.01.

2023 № 09-6488). Речь идет о нарушениях, которые оговорены в частях 1–2.1 и 4 статьи 13.11 КоАП. Например, к особым нарушениям причислена обработка данных без письменного согласия, а также обработка, не совместимая с целями сбора данных.

РКН уточняет в своих разъяснениях, что по таким нарушениям контролеры могут действовать «бесконтактно» (без взаимодействия с нарушителем). Например, если нарушение обнаружил сам сотрудник Роскомнадзора и у него есть полномочия составлять протокол либо поступило указание от прокуратуры.

Поводом для возбуждения дела могут послужить жалоба, сообщения в СМИ, например, об утечке данных (п. 1–3 ч. 1 ст. 28.1 КоАП).

Образцы документов, которые нельзя игнорировать в 2023 году

Далее приведем образцы некоторых документов по персональным данным, которые могут потребоваться в 2023 году:

Название документа	Ссылка на скачивание
Положение о работе с персональными данными работников	СКАЧАТЬ
Положение о порядке уничтожения персональных данных	СКАЧАТЬ
Приказ о создании комиссии по уничтожению документов с персональными данными	СКАЧАТЬ
Общая форма согласия на передачу и обработку персональных данных	СКАЧАТЬ
Согласие на обработку персональных данных на сайте	СКАЧАТЬ
Обязательство о неразглашении персональных данных	СКАЧАТЬ

Видео по теме

Как получить компенсацию за утечку персональных данных

Компенсация за утечку персональных данных — денежная выплата, которую вправе получить физическое лицо за несанкционированное использование личных сведений о нем. Осуществляется в виде взыскания морального вреда и убытков.

Правила обращения с персональными данными регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Законом установлено, что такими данными является любая информация, которая прямо или косвенному относится к физическому лицу (ст. 3 закона № 152-ФЗ).

Личная информация передается операторам, то есть тем, кто занимается ее обработкой, в определенных целях. На операторов возложена обязанность по обеспечению конфиденциальности такой информации, в противном случае законом № 152-ФЗ предусмотрена ответственность за нарушение установленных требований.

В зависимости от последствий и вида нарушений привлекают:

• к административной ответственности;
• к гражданско-правовой, которая выражается в компенсации за распространение персональных данных без согласия в виде морального вреда и взыскания убытков;
• к уголовной. Отдельной статьи в Уголовном кодексе РФ для этого не предусмотрено, но незаконные действия могут быть квалифицированы, например, по ч. 1 ст. 137 УК РФ.

Кроме этого, работодатель, чей сотрудник допустил нарушения, вправе привлечь его к дисциплинарной ответственности.

По сути, утечкой персональных данных является их получение третьими лицами в нарушение требований закона № 152-ФЗ. По общему правилу, обработка осуществляется на основании согласия на это от субъекта ПД. Согласие дается свободно, по воле субъекта ПД и в его интересе и отвечает признаку конкретности, информированности и сознательности (ст. 9 закона № 152-ФЗ).

Можно ли получить компенсацию за утечку личных данных в соцсетях в РФ

Для гражданина получение компенсации за утечку персональных данных представляет собой гражданско-правовую ответственность оператора перед ним.

Физическое лицо вправе потребовать взыскания морального вреда и убытков (ст. 24 закона № 152-ФЗ). Моральный вред возмещается вне зависимости от имущественного.

Сложность состоит в том, чтобы доказать, что только по вине соцсети и из соцсети произошло распространение личной информации.

Для привлечения оператора к гражданско-правовой ответственности потребуется доказать факт ненадлежащих действий с его стороны, наличие убытков и связь между этими событиями. Сделать это практически невозможно, и пока отлаженного механизма по взысканию компенсаций за утечку информации из соцсетей нет. Как вариант, предлагается следующий алгоритм:

Шаг 1. Направить оператору запрос на основании части 7 статьи 14 закона № 152-ФЗ.

Шаг 2. После получения ответа на запрос направить жалобы в Роскомнадзор и прокуратуру с подробным изложением ситуации и обоснованием, почему вы считаете, что оператор нарушил требования закона.

Шаг 3. После получения ответов из компетентных органов обратиться в суд.

Обратиться с исковым заявлением лицо вправе вне зависимости от направления запросов и жалоб, но ответы из уполномоченных органов иногда помогают в доказательстве факта совершения нарушений со стороны оператора. Для доказательства размещения персональной информации в сети нередко обращаются к нотариусам, которые проводят осмотр интернет-страницы и свидетельствуют о наличии на ней сведений.

Присужденные суммы в качестве компенсации морального вреда составляют около 5000-10 000 руб., иногда больше или меньше, это зависит от конкретных обстоятельств дела и их оценки судом.

Иностранные прецеденты получения компенсаций

Защита персональных данных: новые требования и обязанности фирм

Защита персональных данных в настоящий момент приобрела приоритетное значение.

Поэтому в спешном порядке были подготовлены и приняты поправки в закон о персданных, большинство из которых  вступили в силу с сентября 2022 года. Следующая «порция» заработает в марте 2023 года.

  У работодателей появились новые обязанности, законодатели сократили ряд сроков, ввели очередные запреты для операторов персданных.  

Большинство норм Федерального закона от 14.07.

2022 № 266‑ФЗ «О внесении изменений в Федеральный закон “О персональных данных”, отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона “О банках и банковской деятельности”» вступили в силу с 01 сентября 2022 года. Однако некоторые положения начнут действовать лишь с марта 2023 года (какие именно, расскажем ниже).

Цель поправок – усиление защиты субъектов персональных данных и обеспечение неприкосновенности их частной жизни.

Дело в том, что в последнее время появилось множество сервисов в Интернете, которые незаконно собирают, хранят и распространяют персональную информацию о гражданах, включая паспортные данные, сведения о недвижимости, перелетах и иные личные сведения.

В частности, деанонимизация, влекущая раскрытие персональных данных военнослужащих и их семей, создает непосредственную угрозу их жизни и безопасности в текущих непростых условиях.

https://www.youtube.com/watch?v=QAZuiUg4qrQ\u0026pp=YAHIAQE%3D

Как подавать уведомление об обработке персональных данных после 1 сентября 2022 года

Читать далее…

Более того, нелегальные сервисы, как правило, расположены за пределами РФ и потому не подпадают под ее юрисдикцию. Трансграничная передача персданных нашими законами практически не регулируется, а осуществляется большим количеством операторов повсеместно и в больших масштабах.

Рассмотрим подробнее, какие меры ввело государство для защиты персональных данных и что это значит для работодателей, операторов персданных и рядовых граждан.

Изменения в Законе о персданных

По новым правилам нормы Федерального закона от 27.07.

2006 № 152‑ФЗ «О персональных данных» (далее – ​Закон № 125‑ФЗ) следует применять в том числе и к обработке персданных граждан РФ, осуществляемой иностранными юридическими и физическими лицами как по договору, так и на основании согласия гражданина на эту обработку.

Другими словами – ​независимо от конкретного вида обработки данных. Если обработку данных им будет поручать российский оператор, то он будет нести ответственность за их действия наравне с ними (ч. 1.1 и 6 ст. 1 Закона № 152‑ФЗ).

Теперь с Роскомнадзором должны быть согласованы все нормативные правовые акты РФ, затрагивающие вопросы:

• трансграничной передачи персональных данных;
• обработки специальных категорий данных (например, состояние здоровья человека);
• биометрических данных; персональных данных несовершеннолетних лиц;
• а также вопросы предоставления и распространения персональных данных, полученных в результате обезличивания.

У ведомства по закону будет 30 дней на согласование проекта документа.

Новые запреты

В договор с субъектом персональных данных нельзя включать следующие условия (п. 5 ч. 1 ст. 6 Закона № 152‑ФЗ):

• ограничивающие его права и свободы. Например, на отзыв согласия на обработку персданных или соблюдение дополнительных условий для такого отзыва, включая значительный срок, за который нужно подать уведомление оператору;
• устанавливающие случаи обработки персданных несовершеннолетних лиц, если иное не предусмотрено законодательством РФ;
• допускающее в качестве условия заключения договора бездействие субъекта персональных данных. 

Скажем, у оператора может возникнуть соблазн не получать отдельное согласие от гражданина, а включить условие о заранее данном согласии в оферту, к которой тот присоединяется в целом, оговорив, что, если он не согласен с таким условием, он должен проставить соответствующее обозначение.

Раньше в договорах банковского вклада некоторые банки нередко включали условие, что при несогласии вкладчика с обработкой его персональных данных, включая биометрические, он должен прямо об этом в договоре написать, в ином случае согласие считается полученным. Теперь так делать нельзя.

Чем подтвердить факт удаления персональных данных?

Читать далее…

Поручение по обработке персданных

Новая редакция ч. 3 ст. 6 Закона № 152‑ФЗ более детально регламентирует вопросы поручения оператором обработки персданных субъектов иным лицам, в том числе государственным и муниципальным органам власти. Лицо, которому поручается обработка, должно обеспечить базовые принципы обработки данных, их конфиденциальность, принимать меры к выполнению всех своих обязанностей.

В самом поручении на обработку нужно определить:

• перечень данных,
• перечень действий по их обработке,
• цели и иные обязательные требования;
• право оператора и корреспондирующую обязанность лица, которому поручается обработка, предоставлять документы и информацию, подтверждающие выполнение обязательных требований.

Естественно, оператору не стоит ограничиваться только поручением, а рекомендуется заключить договор и оформить соответствующие отношения как обязательства, включив в него в том числе штрафы за нарушения в соответствии со ст. 330 ГК РФ.

https://www.youtube.com/watch?v=InezpxEeEO8\u0026pp=ygVp0JrQvtC80L_QtdC90YHQsNGG0LjRjyDQl9CwINCg0LDQt9Cz0LvQsNGI0LXQvdC40LUg0J_QtdGA0YHQvtC90LDQu9GM0L3Ri9GFINCU0LDQvdC90YvRhSDQkiAyMDIzINCT0L7QtNGD

Также на случай нарушения контрагентом условий договора можно предусмотреть, что он в качестве имущественных потерь возместит все суммы штрафов, компенсаций и иных расходов и других убытков, которые возникнут в связи с предъявлением требований со стороны субъектов персональных данных и контролирующих органов (ст. 406.1 ГК РФ). Такое договорное условие позволит вашей организации как оператору персданных создать источник возмещения за счет контрагента-нарушителя, учитывая, что от рисков неправильных действий (бездействия) в отношении персданных сейчас никто не застрахован.

С 1 сентября 2022 года вступили в силу…

Читать далее…

К кому требования о распространении персданных не относятся

Требования ст. 10.1 Закона № 152‑ФЗ об особенностях обработки перс­данных путем распространения теперь не будут касаться не только государственных и муниципальных органов, но и подведомственных им организаций (ч. 15 указанной статьи).

Поправка логична, учитывая, что не все свои властные полномочия и функции органы власти осуществляют самостоятельно. Для этих целей они создают и используют подведомственные организации.

В ином же случае деятельность органов власти была бы существенно затруднена дополнительными формальностями, связанными с необходимостью получения согласия от субъекта персональных данных и организацией этого процесса.

Биометрические персданные

Согласно новой ч. 3 ст. 11 Закона № 152‑ФЗ, получение биометрических персональных данных обязательным не является.

Подобное уточнение совсем не лишнее, учитывая, что банки и иные профессиональные участники рынка их собирают (достаточно вспомнить, как при открытии счета в банке клиентов фотографируют), но при этом многие из них, к сожалению, так и не научились должным образом их защищать (в новостях информация о масштабных «сливах» персданных появляется чуть ли не еженедельно).

Поэтому граждане теперь могут отказываться предоставлять биометрические данные. А организация будет не вправе на этом основании отказать в заключении договора. Такой отказ будет считаться незаконным (См. также информацию на сайте Минцифры России.

Фирмы обязаны сообщить об утечке персданных

Читать далее…

Трансграничная передача персданных

С 01.03.2023 ст. 12 Закона № 152‑ФЗ о трансграничной передаче персональных данных начнет действовать в новой редакции. По новым правилам придется ориентироваться на перечень иностранных государств, которые обеспечивают адекватную защиту прав субъектов персональных данных, такой перечень будет формировать и вести Роскомнадзор.

Кроме того, до начала трансграничной передачи данных о своем намерении это делать нужно будет уведомить Роскомнадзор. Если какие-то организации осуществляют трансграничную передачу уже сейчас, такое уведомление им необходимо направить в ведомство до 01.03.2023.

Уведомление придется подавать отдельным документом, а не вместе с общим уведомлением о намерении осуществлять обработку персональных данных. Это сделано для того, чтобы вовремя вмешаться и предотвратить возможные нарушения прав субъектов персональных данных.

Очевидно, что в большом потоке входящей информации Роскомнадзор не сможет оперативно выявлять нужные уведомления.

Наиболее сложным нововведением является требование к оператору до подачи уведомления получить от органов власти иностранных государств, иностранных физических или юридических лиц сведения:

• о принимаемых мерах по защите прав субъектов персональных данных;
• правовом регулировании персданных в иностранном государстве;
• об органах власти иностранного государства, иностранных юридических и физических лицах, которым будут передаваться данные.

Причем Роскомнадзор может принять отказное решение, запрещающее трансграничную передачу данных, в целях защиты основ конституционного строя, безопасности жизни и здоровья граждан, а также в иных значимых целях. На принятие решения чиновникам дается 10 рабочих дней (с момента поступления уведомления).

При положительном решении регулятора оператор может осуществлять трансграничную передачу перс­данных на тех территориях и в том объеме, которые указаны в решении Роскомнадзора.

Вполне очевидно, что до принятия соответствующего решения оператор этим заниматься не вправе, поскольку с марта начинает действовать разрешительный, а не уведомительный порядок.

https://www.youtube.com/watch?v=InezpxEeEO8\u0026pp=YAHIAQE%3D

Какие условия больше нельзя включать в договор с потребителем

Читать далее…

Взаимодействие с ГосСОПКА

На оператора теперь возложена обязанность обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ — ГосСОПКА (См. ст. 5 Федерального закона от 26.07.

2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»), включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных (ч. 12 ст.

19 Закона № 152‑ФЗ).

Порядок такого взаимодействия будет определен органом власти, уполномоченным в сфере обеспечения безопасности (видимо, имеется в виду МВД РФ).

Такая мера позволяет повысить гарантии информационной безопасности нашей страны в целом за счет эффективной и слаженной защиты всех ее информационных элементов на самых различных уровнях, а также позволяет более плотно вовлечь операторов в юридически значимые для органов власти процессы.

Раз оператор как предприниматель зарабатывает в нашей стране, в том числе на использовании персональной информации граждан, он должен более ответственно, а не формально подходить и к вопросам ее защиты.

Более того, он сам непосредственно участвует в обработке персональных данных, поэтому может и обязан незамедлительно сигнализировать о возможных нарушениях и инцидентах, а не делать вид, что они его не касаются.

Новые сроки

Оператору персональных данных стоит иметь в виду, что с 1 сентября сокращаются с 30 до 10 рабочих дней сроки некоторых действий (ч. 1, 2, 4 ст. 20 Закона № 152‑ФЗ). Так, оператору в этот период необходимо:

• ответить на обращение субъекта персональных данных по поводу того, обрабатывает он его данные или нет, и если да, то предоставить к ним доступ;
• дать мотивированный ответ об отказе предоставить информацию о наличии обрабатываемых персданных;
• сообщить Роскомнадзору необходимые сведения по его запросу.

Кроме того, у оператора появились новые обязанности по уведомлению Роскомнадзора (ч. 3.1 ст. 21 Закона № 152‑ФЗ). При выявлении случаев неправомерной или случайной передачи персданных оператор обязан:

1. в течение 24 часов с момента обнаружения такого нарушения уведомить ведомство об инциденте, его причинах, предполагаемом вреде субъекту персданных, принятых мерах, уполномоченном лице, которое от имени оператора взаимодействует с ведомством;
2. в течение 72 часов сообщить ведомству о результатах внутреннего расследования, а также направить сведения о лицах, действия которых стали причиной инцидента.

При обращении субъекта персданных к оператору с требованием прекратить их обработку последний обязан это сделать в течение 10 рабочих дней.

Этот срок может быть продлен, но не более чем на 5 рабочих дней, при этом придется направить гражданину мотивированное уведомление с указанием причин такой меры (ч. 5.1 ст. 21 Закон № 152‑ФЗ).

Невыполнение данных требований будет свидетельствовать о нарушении закона со стороны оператора, в связи с чем Роскомнадзор может его привлечь к административной ответственности по ст. 13.11 КоАП РФ.

Наказание за утечку данных очень сильно «подорожает»

Читать далее…

Изменения в законодательстве о госрегистрации недвижимости и нотариате

Вс рф разъяснил правила рассмотрения споров о защите персональных данных — российская газета

В ходе рассмотрения этого дела было наглядно продемонстрировано, как правильно поступать в подобных случаях. Ведь саму процедуру таких исков не всегда до конца понимают даже наши суды.

А подобных споров о защите персональных данных в последнее время стало так много, что на проблему приходится обращать внимание не только самим гражданам, но и правоохранителям, юристам, законодателям.

Кому только ни нужны в настоящее время наши персональные данные — от воров и мошенников всех мастей до коммерсантов, рассылающих рекламу своих товаров или услуг.

https://www.youtube.com/watch?v=snF9WimVKzE\u0026pp=ygVp0JrQvtC80L_QtdC90YHQsNGG0LjRjyDQl9CwINCg0LDQt9Cz0LvQsNGI0LXQvdC40LUg0J_QtdGA0YHQvtC90LDQu9GM0L3Ri9GFINCU0LDQvdC90YvRhSDQkiAyMDIzINCT0L7QtNGD

Поэтому имя человека, его адрес, паспортные данные и прочее с каждым днем становятся все дороже. В итоге сложился целый нелегальный рынок, на котором можно купить персональные данные, а их хозяева даже знать об этом не будут.

Сегодня, чтобы взыскать через суд убытки от утечки персональных данных, гражданин должен обладать железными нервами и здоровьем

Между тем, сегодня, чтобы взыскать через суд убытки от утечки персональных данных, гражданин должен обладать железными нервами и здоровьем.

Ему надо доказать не только факт нарушения, но и размер своих убытков от разглашения, а также причинно-следственную связь между нарушением и убытками.

Да и штрафы Роскомнадзора за нарушение прав субъектов персональных данных доходят лишь до 75 000 рублей.

Но и такие суммы за последние годы не присуждали.

Наши суды ограничиваются 10-20 тысячами рублей компенсации. Хотя в Европе предусмотрены штрафы до 4 процентов оборота компании. А это заставляет организации ответственно подходить к вопросам защиты персональных данных.

Сегодня в России, как подчеркивают специалисты, судебная практика по таким спорам только начинает формироваться. Подчеркнем сразу — ведущая роль в спорах о защите данных принадлежит Роскомнадзору. Именно он обладает главными полномочиями при контроле за соблюдением закона.

Наша история началась на Дальнем Востоке, где гражданин написал заявление в местное управление Роскомнадзора. В заявлении было сказано, что в интернете без его разрешения некая фирма с Багамских островов распространяла его персональные данные.

Роскомнадзор поступил как положено — от имени заявителя отправил иск в суд. В нем было требование защитить права гражданина как субъекта персональных данных и ограничить доступ к информации о нем.

Но Центральный районный суд Хабаровска исковое заявление не принял. По логике суда, требования заявителя — административные. А раз так, то они не должны рассматриваться в порядке гражданского судопроизводства.

Отказ был обжалован, но апелляции поддержала коллег.

Она заявила, что требования Роскомнадзора связаны с административным регулированием правовой деятельности интернет-ресурса как СМИ, поэтому выводы райсуда о рассмотрении спора в административном порядке верны.

В итоге всех споров дело дошло до Судебной коллегии по гражданским делам Верховного суда. И там с мнением дальневосточных судов не согласились.

Верховный суд начал с того, что напомнил: Роскомнадзор имеет право обратиться в суд с иском в защиту субъектов персональных данных. В том числе и неопределенного круга лиц. Это сказано в Законе «О персональных данных». Также ведомство имеет право представлять пострадавших в суде.

А еще Верховный суд указал на статью 26 Гражданского процессуального кодекса. Там сказано, что иски о защите прав субъекта персональных данных, в том числе об убытках или компенсации морального вреда, можно предъявлять в суд по месту жительства истца. Поэтому заявление в защиту жителя Дальнего Востока надо было рассмотреть в порядке гражданского судопроизводства.

Сложился целый нелегальный рынок, на котором можно купить персональные данные граждан

Как правило, истцом в судах о защите персональных данных обычно выступает гражданин, с персональными данными которого совершены незаконные, по его мнению, действия. Сам Роскомнадзор реже, чем простые граждане, обращается с исками в суд. Обычно ответчиком в таких спорах оказывается оператор персональных данных или тот, кто получил доступ к персональным данным гражданина.

Весной этого года стало известно, что Госдуме и Роскомнадзору предложили законодательно ужесточить ответственность за нарушения в сфере персональных данных.

Если предложение пройдет, то за каждый доказанный случай утечки данных граждане смогут требовать от бизнеса и госорганов компенсацию от 500 000 до 5 миллионов рублей. Такую инициативу озвучила Ассоциация юристов России.

Там подготовили предложения по изменению закона «О персональных данных».

АЮР хочет обязать операторов персональных данных, в числе которых есть все госорганы, компании и физические лица, обрабатывающие такие сведения, по требованию граждан выплачивать им, по решению суда, в случае утечки компенсацию в размере от 500 000 до 5 миллионов рублей. Если утечка данных произошла по вине пользователя, то оператор освобождается от ответственности.

Возможность взыскать компенсацию с компании в случае утечки теоретически есть и сейчас, но, по мнению АЮР, она сильно затруднена.

В качестве примера можно вспомнить одно из таких дел, когда истец обратился к администратору домена с требованием удалить с сайта профиль истца, содержащий его персональные данные, и отзывы пользователей. Но получил отказ. Тогда дело принял по заявлению гражданина районный суд. По общему правилу иск предъявляется в суд по месту жительства ответчика, иск к организации — в суд по ее адресу.

При этом иски о защите прав хозяина персональных данных, в том числе о возмещении убытков, компенсации морального вреда, могут предъявляться и в суд по месту жительства истца.

Если нарушен закон о персональных данных, пострадавший человек может защищаться и с помощью Закона «О защите прав потребителей». В таком случае иск можно предъявить по выбору истца в суд по месту нахождения ответчика-организации.

А если ответчиком является индивидуальный предприниматель — по месту его жительства, по месту жительства или пребывания истца либо по месту заключения или исполнения договора.

Это сказано в 29-й статье ГПК и в статье 17 Закона «О защите прав потребителей».

Требования, связанные с нарушением прав на обработку персональных данных, рассматриваются в порядке гражданского судопроизводства на основании норм ГПК. Это означает, что суды самостоятельно оценивают, относится ли та или иная информация к персональным данным, подлежит ли она защите.

В нашем случае Верховный суд отменил отказные решения дальневосточных коллег и велел рассмотреть требование гражданина.

Ответственность за нарушения работы с персональными данными в 2023 году

Нарушение правил обработки и хранения персональных данных приводит к штрафам на десятки, а иногда и сотни тысяч рублей. Рассказываем, за что наказывает Роскомнадзор в 2023 г. и как избежать ответственности.

17.02.2023 г. вступили в силу поправки из постановления Правительства РФ от 04.02.2023 г. № 161. РКН получил право с согласия прокуратуры проводить внеплановые проверки, если поступила информация о распространении баз данных с персональными данными. Не спасутся даже аккредитованные ИТ-организации, которые попали под мораторий на внеплановые проверки.

Второе новшество введено Законом от 29.12.2022 г. № 625-ФЗ — Роскомнадзору разрешили выписывать штрафы без фактического посещения компаний. Если получена информация об обработке данных без согласия владельца, могут выписать штраф по п. 1-2.1, п. 4 ст. 13.11 КоАП РФ без проведения контрольного мероприятия — письмо РКН от 31.01.2023 г. № 09-6488.

Третье изменение — обновление формы согласия на размещение биометрических данных в единой системе. Актуальный бланк утвердили распоряжением Правительства РФ от 01.02.2023 г. № 207-р. К биометрии относятся рост, вес, анализы ДНК и другая информация, которая относится к биологическим и физиологическим особенностям человека.

За что предусмотрена ответственность 

Чаще всего штрафуют за:

• незаконную обработку данных;
• разглашение данных;
• нарушение правил обработки;
• передачу данных без разрешения или с нарушениями;
• недостаточную защиту информации;
• невыполнение требований РКН;
• другие нарушения, установленные Законом от 27.07.2006 г. № 152-ФЗ.

По некоторым нарушениям штрафуют и компанию, и должностных лиц.

Организация может избежать штрафа, если нарушение произошло из-за противоправных действий третьих лиц. При этом нужно доказать, что компания приняла меры по защите персональных данных.

Как избежать ответственности

Всё просто — соблюдайте правила! Убедитесь, чтоб бумажные и электронные данные надёжно защищены. В первом случае храните информацию в закрытом помещении, во втором привлекайте квалифицированных айтишников, которые обеспечат защиту от взломов.

И не забывайте получать все необходимые согласия:

• На обработку — основной документ, актуальный в большинстве случаев. В офисе предлагайте бумажное согласие, на сайте — ставить галочку в чек-боксе.
• На распространение данных, разрешённых к распространению, например, если планируете размещать информацию о сотрудниках на корпоративном сайте.
• На обработку специальных категорий данных — тех, которые нельзя запрашивать в стандартных ситуациях. Например, философские или политические взгляды человека.
• На трансграничную передачу — если планируете отправлять информацию за пределы РФ.
• На обработку биометрических данных — информация о росте, весе, цвете глаз и прочих физиологических и биологических особенностях человека.

Штрафы за нарушения

Незаконная обработка данных. За первое нарушение — ч.1 ст. 13.11 КоАП РФ:

• должностное лицо или ИП — 10 000 ₽ – 20 000 ₽;
• компания — 60 000 ₽ – 100 000 ₽.

За повторное нарушение — ч. 1.1 ст. 13.11 КоАП РФ:

• должностное лицо — 20 000 ₽ – 50 000 ₽;
• ИП — 50 000 ₽ – 100 000 ₽;
• компания — 100 000 ₽ – 300 000 ₽.

Обработка данных без согласия. За первое нарушение — ч. 2 ст. 13.11 КоАП РФ:

• должностное лицо или ИП — 20 000 ₽ – 40 000 ₽;
• компания — 30 000 ₽ – 150 000 ₽.

За повторное нарушение — ч. 2.1 КоАП РФ:

• должностное лицо — 40 000 ₽ – 100 000 ₽;
• ИП — 100 000 ₽ – 300 000 ₽;
• компания — 300 000 ₽ – 500 000 ₽.

Отсутствие опубликованной политики обработки данных — ч. 3 ст. 13.11 КоАП РФ:

• должностное лицо — 6000 ₽ – 12 000 ₽;
• ИП — 10 000 ₽ – 20 000 ₽;
• компания — 30 000 ₽ – 60 000₽.

Отказ предоставить информацию владельцу данных — ч. 4 ст. 13.11 КоАП РФ:

• должностное лицо — 8000₽ – 12 000 ₽;
• ИП — 20 000 ₽ – 30 000 ₽;
• компания — 40 000 ₽ – 80 000 ₽.

Отказ от уточнения, блокирования или уничтожения данных. За первое нарушение — ч. 5 ст. 13.11 КоАП РФ:

• должностное лицо — 8 000 ₽ – 20 000 ₽;
• ИП — 20 000 ₽ – 40 000 ₽;
• компания — 50 000 ₽ – 90 000 ₽.

За повторное нарушение — ч 5.1 ст. 13.11 КоАП РФ:

• должностное лицо — 30 000 ₽ – 50 000 ₽;
• ИП — 50 000 ₽ – 100 000 ₽;
• компания — 300 000 ₽ – 500 000 ₽.

Необеспечение сохранности данных на материальных носителях — ч.6 ст. 13.11 КоАП РФ:

• должностное лицо — 8000 ₽ – 20 000 ₽;
• ИП — 20 000 ₽ – 40 000 ₽;
• компания — 50 000 ₽ – 100 000 ₽.

Нарушение правил обращения с собранными данными. За первое нарушение — ч. 8 ст. 13.11 КоАП РФ:

• должностное лицо — 100 000 ₽ – 200 000 ₽.;
• компания или ИП — 1 – 6 млн ₽.

За повторное нарушение — ч. 9 ст. 13.11 КоАП РФ:

• должностное лицо — 500 000 ₽ – 800 000 ₽;
• компания или ИП — 6 – 18 млн ₽.

Отказ предоставить информацию по запросу РКН — ст. 19.7 КоАП РФ:

• должностное лицо или ИП — 300 ₽ – 500 ₽;
• компания — 3000 ₽ – 5 000 ₽.

Уклонение и препятствование проверке Роскомнадзора — ч. 1 ст. 19.4.1 КоАП РФ:

• должностное лицо или ИП — 2000 ₽ – 4000 ₽;
• компания — 5000 ₽ – 10 000 ₽.

Препятствование завершению проверки РКН. За первое нарушение — ч. 2 ст. 19.4.1 КоАП РФ:

• должностное лицо или ИП — 5000₽ – 10 000 ₽;
• компания — 20 000 ₽ – 50 000 ₽.

За повторное нарушение — п. 3 ст. 19.4.1 КоАП РФ:

• должностное лицо или ИП — 10 000₽ – 20 000 ₽ или дисквалификация на срок от шести месяцев до одного года;
• компания — 50 000 ₽ – 100 000 ₽.

Отказ исполнять предписание РКН — ч. 1 ст. 19.5 КоАП РФ:

• должностное лицо или ИП — 1000 ₽ – 2000 ₽ или дисквалификация на срок до трех лет;
• компания — 10 000 ₽ – 20 000 ₽.

Рассказываем о сложных вещах незанудно, понятно и с юмором на ютуб-канале

Подписаться →

Коротко

1. С 17.02.2023 г. РКН разрешили проводить внеплановые проверки любых организаций, если поступила информация о распространении баз персональных данных.

2. РКН может выписывать штрафы без проведения контрольных мероприятий, если получена информация о незаконной обработке данных.

3. Нужно использовать новую форму согласия на сбор биометрических данных, которая утверждена распоряжением Правительства РФ от 01.02.2023 г. № 207-р.

4. Чтобы избежать крупных штрафов, собирайте все согласия и позаботьтесь о защите данных — как бумажных, так и электронных.

5. За нарушение правил сбора, обработки и хранения персональных данных штрафуют на сумму до 18 млн руб.

Статья актуальна на  23.06.2023