Компенсация За Разглашение Персональных Данных В 2023 Году
Обработка персональных данных в 2023 году
Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – определенному или определяемому физическому лицу.
Обработка персональных данных – это действие или совокупность действий, которые совершают с персональными данными сотрудника. Например, когда вы собираете и записываете персданные соискателя, чтобы заполнить трудовой договор при трудоустройстве.
Также, если вы владелец интернет-сайта и собираете данные ваших посетителей через специальную форму, то вы тоже занимаетесь обработкой персональных данных.
Напомним, что еще до 1 марта 2023 года работодатели обязаны передавать РКН специальные уведомления об обработке персональных данных. Подробнее см. «Уведомление РКН об обработке персональных данных».
С 1 марта 2023 года требований к обработке персональных данных становится еще больше. Кроме того, в 2023 году РКН усилит проверки за персональными данным. В частности, начнет проводить “дистанционные” проверки операторов персональных данных.
Уведомление об изменении персональных данных: новый срок
С 1 марта будет больше времени, чтобы известить Роскомнадзор об изменении персональных данных.
Если сведения, которые указали в уведомлении, изменились, об этом нужно сообщить в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения.
До 1 марта такое уведомление направлялось в течение 10 рабочих дней с момента изменений. Уведомление подается по форме из приложения № 2 к приказу Роскомнадзора от 28.10.2022 № 180.
Уничтожение персональных данных: новые правила
С 1 марта нужно фиксировать факт уничтожения персональных данных актом по новой форме. Раньше оформить акт об уничтожении можно было в свободной форме, а теперь необходимо включить в него 10 обязательных видов данных. Основание: Приказ Роскомнадзора от 28.10.2022 N 179.
С 1 марта 2023 года работодатель должен будет фиксировать факт того, что уничтожил персданные, двумя документами:
- актом об уничтожении персональных данных;
- выгрузкой из журнала регистрации событий в информационной системе персональных данных.
К сведению
Если компания обрабатывает данные вручную для подтверждения будет достаточно акта.
- Обязательные реквизиты акта об уничтожении персональных данных
- Обязательные реквизиты выгрузки
СКАЧАТЬ ОБРАЗЕЦ АКТА ОБ УНИЧТОЖЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ С 01.03.2023
СКАЧАТЬ ОБРАЗЕЦ ВЫГРУЗКИ ИЗ ЖУРНАЛА С 01.03.2023
Оценка степени вреда: новый порядок
С 1 марта 2023 года потребуется оценивать степень вреда, который может возникнуть, если будет нарушен закон о персональных данных. РКН утвердил специальные правила, по которым работодатели должны оценивать вред, который может возникнуть, если будут нарушены правила обработки персданных (приказ Роскомнадзора от 27.10.2022 № 178).
Степени вреда всего 3 (три):
- высокая;
- средняя;
- низкая.
Таблица. Какие персданные к какой степени вреда относятся
Заметим, что отнесения вреда к какой-либо категории, вам потребуется составить специальный акт. Предлагаем ознакомиться с образцом.
СКАЧАТЬ ОБРАЗЕЦ АКТА ОЦЕНКИ ВРЕДА С 01.03.2023
Передача персональных данных за границу
С 1 марта 2023 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян (ст. 12 Закона № 152ФЗ). РКН, в свою очередь, пример решение можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.
Заметим, что новшество напрямую касается онлайн-продавцов. Разрешение не выдадут, если иностранный контрагент работает в стране, которая с точки зрения РКН не обеспечивает защиту данных.
А вот если поставщик находится в стране, которая ратифицировала Конвенцию Совета Европы о защите физлиц при автоматизированной обработке персональных данных, то разрешение, скорее всего, дадут.
Конвенцию, к примеру, ратифицировали Армения, Азербайджан, Сербия, Турция.
Обратите внимание
https://www.youtube.com/watch?v=QAZuiUg4qrQ\u0026pp=ygVp0JrQvtC80L_QtdC90YHQsNGG0LjRjyDQl9CwINCg0LDQt9Cz0LvQsNGI0LXQvdC40LUg0J_QtdGA0YHQvtC90LDQu9GM0L3Ri9GFINCU0LDQvdC90YvRhSDQkiAyMDIzINCT0L7QtNGD
Уведомление о намерении осуществлять трансграничную передачу можно будет оформить на бумаге или в электронном виде. Подавать его нужно будет отдельным документом, а не вместе с общим уведомлением о намерении осуществлять обработку персональных данных.
Для подачи сведений на сайте РКН сделали специальный раздел по адресу https://pd.rkn.gov.ru/cross-border-transmission/form/
Ркн ужесточает проверки
Также см. «К кому придут с проверкой в 2023 году».
За нарушение работы с персональными данными в 2023 году Роскомнадзор будет привлекать к ответственности чаще. Причем для этого не всегда потребуется проводить выездные проверки (письмо Роскомнадзора от 31.01.2023 № 09-6488).
Внеплановых проверок будет больше. Правительство расширило список оснований для внеплановых проверок по персональным данным (постановление от 04.02.2023 № 161).
Так, например, по решению главы или замглавы Роскомнадзора в компанию, в том числе аккредитованную IT-организацию, могут прийти с внеплановой проверкой, если выявят факт распространения в интернете баз с персданными.
Наказать могут и без выезда в компанию. В некоторых ситуациях зафиксировать правонарушение в сфере персданных и привлечь к ответственности могут даже без выездных контрольных мероприятий (письмо Роскомнадзора от 31.01.
2023 № 09-6488). Речь идет о нарушениях, которые оговорены в частях 1–2.1 и 4 статьи 13.11 КоАП. Например, к особым нарушениям причислена обработка данных без письменного согласия, а также обработка, не совместимая с целями сбора данных.
РКН уточняет в своих разъяснениях, что по таким нарушениям контролеры могут действовать «бесконтактно» (без взаимодействия с нарушителем). Например, если нарушение обнаружил сам сотрудник Роскомнадзора и у него есть полномочия составлять протокол либо поступило указание от прокуратуры.
Поводом для возбуждения дела могут послужить жалоба, сообщения в СМИ, например, об утечке данных (п. 1–3 ч. 1 ст. 28.1 КоАП).
Образцы документов, которые нельзя игнорировать в 2023 году
Далее приведем образцы некоторых документов по персональным данным, которые могут потребоваться в 2023 году:
Название документа | Ссылка на скачивание |
Положение о работе с персональными данными работников | СКАЧАТЬ |
Положение о порядке уничтожения персональных данных | СКАЧАТЬ |
Приказ о создании комиссии по уничтожению документов с персональными данными | СКАЧАТЬ |
Общая форма согласия на передачу и обработку персональных данных | СКАЧАТЬ |
Согласие на обработку персональных данных на сайте | СКАЧАТЬ |
Обязательство о неразглашении персональных данных | СКАЧАТЬ |
Видео по теме
Как получить компенсацию за утечку персональных данных
Компенсация за утечку персональных данных — денежная выплата, которую вправе получить физическое лицо за несанкционированное использование личных сведений о нем. Осуществляется в виде взыскания морального вреда и убытков.
Правила обращения с персональными данными регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Законом установлено, что такими данными является любая информация, которая прямо или косвенному относится к физическому лицу (ст. 3 закона № 152-ФЗ).
Личная информация передается операторам, то есть тем, кто занимается ее обработкой, в определенных целях. На операторов возложена обязанность по обеспечению конфиденциальности такой информации, в противном случае законом № 152-ФЗ предусмотрена ответственность за нарушение установленных требований.
В зависимости от последствий и вида нарушений привлекают:
- к административной ответственности;
- к гражданско-правовой, которая выражается в компенсации за распространение персональных данных без согласия в виде морального вреда и взыскания убытков;
- к уголовной. Отдельной статьи в Уголовном кодексе РФ для этого не предусмотрено, но незаконные действия могут быть квалифицированы, например, по ч. 1 ст. 137 УК РФ.
Кроме этого, работодатель, чей сотрудник допустил нарушения, вправе привлечь его к дисциплинарной ответственности.
По сути, утечкой персональных данных является их получение третьими лицами в нарушение требований закона № 152-ФЗ. По общему правилу, обработка осуществляется на основании согласия на это от субъекта ПД. Согласие дается свободно, по воле субъекта ПД и в его интересе и отвечает признаку конкретности, информированности и сознательности (ст. 9 закона № 152-ФЗ).
Можно ли получить компенсацию за утечку личных данных в соцсетях в РФ
Для гражданина получение компенсации за утечку персональных данных представляет собой гражданско-правовую ответственность оператора перед ним.
Физическое лицо вправе потребовать взыскания морального вреда и убытков (ст. 24 закона № 152-ФЗ). Моральный вред возмещается вне зависимости от имущественного.
Сложность состоит в том, чтобы доказать, что только по вине соцсети и из соцсети произошло распространение личной информации.
Для привлечения оператора к гражданско-правовой ответственности потребуется доказать факт ненадлежащих действий с его стороны, наличие убытков и связь между этими событиями. Сделать это практически невозможно, и пока отлаженного механизма по взысканию компенсаций за утечку информации из соцсетей нет. Как вариант, предлагается следующий алгоритм:
Шаг 1. Направить оператору запрос на основании части 7 статьи 14 закона № 152-ФЗ.
Шаг 2. После получения ответа на запрос направить жалобы в Роскомнадзор и прокуратуру с подробным изложением ситуации и обоснованием, почему вы считаете, что оператор нарушил требования закона.
Шаг 3. После получения ответов из компетентных органов обратиться в суд.
Обратиться с исковым заявлением лицо вправе вне зависимости от направления запросов и жалоб, но ответы из уполномоченных органов иногда помогают в доказательстве факта совершения нарушений со стороны оператора. Для доказательства размещения персональной информации в сети нередко обращаются к нотариусам, которые проводят осмотр интернет-страницы и свидетельствуют о наличии на ней сведений.
Присужденные суммы в качестве компенсации морального вреда составляют около 5000-10 000 руб., иногда больше или меньше, это зависит от конкретных обстоятельств дела и их оценки судом.
Иностранные прецеденты получения компенсаций
Защита персональных данных: новые требования и обязанности фирм
Защита персональных данных в настоящий момент приобрела приоритетное значение.
Поэтому в спешном порядке были подготовлены и приняты поправки в закон о персданных, большинство из которых вступили в силу с сентября 2022 года. Следующая «порция» заработает в марте 2023 года.
У работодателей появились новые обязанности, законодатели сократили ряд сроков, ввели очередные запреты для операторов персданных.
Большинство норм Федерального закона от 14.07.
2022 № 266‑ФЗ «О внесении изменений в Федеральный закон “О персональных данных”, отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона “О банках и банковской деятельности”» вступили в силу с 01 сентября 2022 года. Однако некоторые положения начнут действовать лишь с марта 2023 года (какие именно, расскажем ниже).
Цель поправок – усиление защиты субъектов персональных данных и обеспечение неприкосновенности их частной жизни.
Дело в том, что в последнее время появилось множество сервисов в Интернете, которые незаконно собирают, хранят и распространяют персональную информацию о гражданах, включая паспортные данные, сведения о недвижимости, перелетах и иные личные сведения.
В частности, деанонимизация, влекущая раскрытие персональных данных военнослужащих и их семей, создает непосредственную угрозу их жизни и безопасности в текущих непростых условиях.
https://www.youtube.com/watch?v=QAZuiUg4qrQ\u0026pp=YAHIAQE%3D
Как подавать уведомление об обработке персональных данных после 1 сентября 2022 года
Читать далее…
Более того, нелегальные сервисы, как правило, расположены за пределами РФ и потому не подпадают под ее юрисдикцию. Трансграничная передача персданных нашими законами практически не регулируется, а осуществляется большим количеством операторов повсеместно и в больших масштабах.
Рассмотрим подробнее, какие меры ввело государство для защиты персональных данных и что это значит для работодателей, операторов персданных и рядовых граждан.
Изменения в Законе о персданных
По новым правилам нормы Федерального закона от 27.07.
2006 № 152‑ФЗ «О персональных данных» (далее – Закон № 125‑ФЗ) следует применять в том числе и к обработке персданных граждан РФ, осуществляемой иностранными юридическими и физическими лицами как по договору, так и на основании согласия гражданина на эту обработку.
Другими словами – независимо от конкретного вида обработки данных. Если обработку данных им будет поручать российский оператор, то он будет нести ответственность за их действия наравне с ними (ч. 1.1 и 6 ст. 1 Закона № 152‑ФЗ).
Теперь с Роскомнадзором должны быть согласованы все нормативные правовые акты РФ, затрагивающие вопросы:
- трансграничной передачи персональных данных;
- обработки специальных категорий данных (например, состояние здоровья человека);
- биометрических данных; персональных данных несовершеннолетних лиц;
- а также вопросы предоставления и распространения персональных данных, полученных в результате обезличивания.
У ведомства по закону будет 30 дней на согласование проекта документа.
Новые запреты
В договор с субъектом персональных данных нельзя включать следующие условия (п. 5 ч. 1 ст. 6 Закона № 152‑ФЗ):
- ограничивающие его права и свободы. Например, на отзыв согласия на обработку персданных или соблюдение дополнительных условий для такого отзыва, включая значительный срок, за который нужно подать уведомление оператору;
- устанавливающие случаи обработки персданных несовершеннолетних лиц, если иное не предусмотрено законодательством РФ;
- допускающее в качестве условия заключения договора бездействие субъекта персональных данных.
Скажем, у оператора может возникнуть соблазн не получать отдельное согласие от гражданина, а включить условие о заранее данном согласии в оферту, к которой тот присоединяется в целом, оговорив, что, если он не согласен с таким условием, он должен проставить соответствующее обозначение.
Раньше в договорах банковского вклада некоторые банки нередко включали условие, что при несогласии вкладчика с обработкой его персональных данных, включая биометрические, он должен прямо об этом в договоре написать, в ином случае согласие считается полученным. Теперь так делать нельзя.
Чем подтвердить факт удаления персональных данных?
Читать далее…
Поручение по обработке персданных
Новая редакция ч. 3 ст. 6 Закона № 152‑ФЗ более детально регламентирует вопросы поручения оператором обработки персданных субъектов иным лицам, в том числе государственным и муниципальным органам власти. Лицо, которому поручается обработка, должно обеспечить базовые принципы обработки данных, их конфиденциальность, принимать меры к выполнению всех своих обязанностей.
В самом поручении на обработку нужно определить:
- перечень данных,
- перечень действий по их обработке,
- цели и иные обязательные требования;
- право оператора и корреспондирующую обязанность лица, которому поручается обработка, предоставлять документы и информацию, подтверждающие выполнение обязательных требований.
Естественно, оператору не стоит ограничиваться только поручением, а рекомендуется заключить договор и оформить соответствующие отношения как обязательства, включив в него в том числе штрафы за нарушения в соответствии со ст. 330 ГК РФ.
https://www.youtube.com/watch?v=InezpxEeEO8\u0026pp=ygVp0JrQvtC80L_QtdC90YHQsNGG0LjRjyDQl9CwINCg0LDQt9Cz0LvQsNGI0LXQvdC40LUg0J_QtdGA0YHQvtC90LDQu9GM0L3Ri9GFINCU0LDQvdC90YvRhSDQkiAyMDIzINCT0L7QtNGD
Также на случай нарушения контрагентом условий договора можно предусмотреть, что он в качестве имущественных потерь возместит все суммы штрафов, компенсаций и иных расходов и других убытков, которые возникнут в связи с предъявлением требований со стороны субъектов персональных данных и контролирующих органов (ст. 406.1 ГК РФ). Такое договорное условие позволит вашей организации как оператору персданных создать источник возмещения за счет контрагента-нарушителя, учитывая, что от рисков неправильных действий (бездействия) в отношении персданных сейчас никто не застрахован.
С 1 сентября 2022 года вступили в силу…
Читать далее…
К кому требования о распространении персданных не относятся
Требования ст. 10.1 Закона № 152‑ФЗ об особенностях обработки персданных путем распространения теперь не будут касаться не только государственных и муниципальных органов, но и подведомственных им организаций (ч. 15 указанной статьи).
Поправка логична, учитывая, что не все свои властные полномочия и функции органы власти осуществляют самостоятельно. Для этих целей они создают и используют подведомственные организации.
В ином же случае деятельность органов власти была бы существенно затруднена дополнительными формальностями, связанными с необходимостью получения согласия от субъекта персональных данных и организацией этого процесса.
Биометрические персданные
Согласно новой ч. 3 ст. 11 Закона № 152‑ФЗ, получение биометрических персональных данных обязательным не является.
Подобное уточнение совсем не лишнее, учитывая, что банки и иные профессиональные участники рынка их собирают (достаточно вспомнить, как при открытии счета в банке клиентов фотографируют), но при этом многие из них, к сожалению, так и не научились должным образом их защищать (в новостях информация о масштабных «сливах» персданных появляется чуть ли не еженедельно).
Поэтому граждане теперь могут отказываться предоставлять биометрические данные. А организация будет не вправе на этом основании отказать в заключении договора. Такой отказ будет считаться незаконным (См. также информацию на сайте Минцифры России.
Фирмы обязаны сообщить об утечке персданных
Читать далее…
Трансграничная передача персданных
С 01.03.2023 ст. 12 Закона № 152‑ФЗ о трансграничной передаче персональных данных начнет действовать в новой редакции. По новым правилам придется ориентироваться на перечень иностранных государств, которые обеспечивают адекватную защиту прав субъектов персональных данных, такой перечень будет формировать и вести Роскомнадзор.
Кроме того, до начала трансграничной передачи данных о своем намерении это делать нужно будет уведомить Роскомнадзор. Если какие-то организации осуществляют трансграничную передачу уже сейчас, такое уведомление им необходимо направить в ведомство до 01.03.2023.
Уведомление придется подавать отдельным документом, а не вместе с общим уведомлением о намерении осуществлять обработку персональных данных. Это сделано для того, чтобы вовремя вмешаться и предотвратить возможные нарушения прав субъектов персональных данных.
Очевидно, что в большом потоке входящей информации Роскомнадзор не сможет оперативно выявлять нужные уведомления.
Наиболее сложным нововведением является требование к оператору до подачи уведомления получить от органов власти иностранных государств, иностранных физических или юридических лиц сведения:
- о принимаемых мерах по защите прав субъектов персональных данных;
- правовом регулировании персданных в иностранном государстве;
- об органах власти иностранного государства, иностранных юридических и физических лицах, которым будут передаваться данные.
Причем Роскомнадзор может принять отказное решение, запрещающее трансграничную передачу данных, в целях защиты основ конституционного строя, безопасности жизни и здоровья граждан, а также в иных значимых целях. На принятие решения чиновникам дается 10 рабочих дней (с момента поступления уведомления).
При положительном решении регулятора оператор может осуществлять трансграничную передачу персданных на тех территориях и в том объеме, которые указаны в решении Роскомнадзора.
Вполне очевидно, что до принятия соответствующего решения оператор этим заниматься не вправе, поскольку с марта начинает действовать разрешительный, а не уведомительный порядок.
https://www.youtube.com/watch?v=InezpxEeEO8\u0026pp=YAHIAQE%3D
Какие условия больше нельзя включать в договор с потребителем
Читать далее…
Взаимодействие с ГосСОПКА
На оператора теперь возложена обязанность обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ — ГосСОПКА (См. ст. 5 Федерального закона от 26.07.
2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»), включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных (ч. 12 ст.
19 Закона № 152‑ФЗ).
Порядок такого взаимодействия будет определен органом власти, уполномоченным в сфере обеспечения безопасности (видимо, имеется в виду МВД РФ).
Такая мера позволяет повысить гарантии информационной безопасности нашей страны в целом за счет эффективной и слаженной защиты всех ее информационных элементов на самых различных уровнях, а также позволяет более плотно вовлечь операторов в юридически значимые для органов власти процессы.
Раз оператор как предприниматель зарабатывает в нашей стране, в том числе на использовании персональной информации граждан, он должен более ответственно, а не формально подходить и к вопросам ее защиты.
Более того, он сам непосредственно участвует в обработке персональных данных, поэтому может и обязан незамедлительно сигнализировать о возможных нарушениях и инцидентах, а не делать вид, что они его не касаются.
Новые сроки
Оператору персональных данных стоит иметь в виду, что с 1 сентября сокращаются с 30 до 10 рабочих дней сроки некоторых действий (ч. 1, 2, 4 ст. 20 Закона № 152‑ФЗ). Так, оператору в этот период необходимо:
- ответить на обращение субъекта персональных данных по поводу того, обрабатывает он его данные или нет, и если да, то предоставить к ним доступ;
- дать мотивированный ответ об отказе предоставить информацию о наличии обрабатываемых персданных;
- сообщить Роскомнадзору необходимые сведения по его запросу.
Кроме того, у оператора появились новые обязанности по уведомлению Роскомнадзора (ч. 3.1 ст. 21 Закона № 152‑ФЗ). При выявлении случаев неправомерной или случайной передачи персданных оператор обязан:
- в течение 24 часов с момента обнаружения такого нарушения уведомить ведомство об инциденте, его причинах, предполагаемом вреде субъекту персданных, принятых мерах, уполномоченном лице, которое от имени оператора взаимодействует с ведомством;
- в течение 72 часов сообщить ведомству о результатах внутреннего расследования, а также направить сведения о лицах, действия которых стали причиной инцидента.
При обращении субъекта персданных к оператору с требованием прекратить их обработку последний обязан это сделать в течение 10 рабочих дней.
Этот срок может быть продлен, но не более чем на 5 рабочих дней, при этом придется направить гражданину мотивированное уведомление с указанием причин такой меры (ч. 5.1 ст. 21 Закон № 152‑ФЗ).
Невыполнение данных требований будет свидетельствовать о нарушении закона со стороны оператора, в связи с чем Роскомнадзор может его привлечь к административной ответственности по ст. 13.11 КоАП РФ.
Наказание за утечку данных очень сильно «подорожает»
Читать далее…
Изменения в законодательстве о госрегистрации недвижимости и нотариате
Вс рф разъяснил правила рассмотрения споров о защите персональных данных — российская газета
В ходе рассмотрения этого дела было наглядно продемонстрировано, как правильно поступать в подобных случаях. Ведь саму процедуру таких исков не всегда до конца понимают даже наши суды.
А подобных споров о защите персональных данных в последнее время стало так много, что на проблему приходится обращать внимание не только самим гражданам, но и правоохранителям, юристам, законодателям.
Кому только ни нужны в настоящее время наши персональные данные — от воров и мошенников всех мастей до коммерсантов, рассылающих рекламу своих товаров или услуг.
https://www.youtube.com/watch?v=snF9WimVKzE\u0026pp=ygVp0JrQvtC80L_QtdC90YHQsNGG0LjRjyDQl9CwINCg0LDQt9Cz0LvQsNGI0LXQvdC40LUg0J_QtdGA0YHQvtC90LDQu9GM0L3Ri9GFINCU0LDQvdC90YvRhSDQkiAyMDIzINCT0L7QtNGD
Поэтому имя человека, его адрес, паспортные данные и прочее с каждым днем становятся все дороже. В итоге сложился целый нелегальный рынок, на котором можно купить персональные данные, а их хозяева даже знать об этом не будут.
Сегодня, чтобы взыскать через суд убытки от утечки персональных данных, гражданин должен обладать железными нервами и здоровьем
Между тем, сегодня, чтобы взыскать через суд убытки от утечки персональных данных, гражданин должен обладать железными нервами и здоровьем.
Ему надо доказать не только факт нарушения, но и размер своих убытков от разглашения, а также причинно-следственную связь между нарушением и убытками.
Да и штрафы Роскомнадзора за нарушение прав субъектов персональных данных доходят лишь до 75 000 рублей.
Но и такие суммы за последние годы не присуждали.
Наши суды ограничиваются 10-20 тысячами рублей компенсации. Хотя в Европе предусмотрены штрафы до 4 процентов оборота компании. А это заставляет организации ответственно подходить к вопросам защиты персональных данных.
Сегодня в России, как подчеркивают специалисты, судебная практика по таким спорам только начинает формироваться. Подчеркнем сразу — ведущая роль в спорах о защите данных принадлежит Роскомнадзору. Именно он обладает главными полномочиями при контроле за соблюдением закона.
Наша история началась на Дальнем Востоке, где гражданин написал заявление в местное управление Роскомнадзора. В заявлении было сказано, что в интернете без его разрешения некая фирма с Багамских островов распространяла его персональные данные.
Роскомнадзор поступил как положено — от имени заявителя отправил иск в суд. В нем было требование защитить права гражданина как субъекта персональных данных и ограничить доступ к информации о нем.
Но Центральный районный суд Хабаровска исковое заявление не принял. По логике суда, требования заявителя — административные. А раз так, то они не должны рассматриваться в порядке гражданского судопроизводства.
Отказ был обжалован, но апелляции поддержала коллег.
Она заявила, что требования Роскомнадзора связаны с административным регулированием правовой деятельности интернет-ресурса как СМИ, поэтому выводы райсуда о рассмотрении спора в административном порядке верны.
В итоге всех споров дело дошло до Судебной коллегии по гражданским делам Верховного суда. И там с мнением дальневосточных судов не согласились.
Верховный суд начал с того, что напомнил: Роскомнадзор имеет право обратиться в суд с иском в защиту субъектов персональных данных. В том числе и неопределенного круга лиц. Это сказано в Законе «О персональных данных». Также ведомство имеет право представлять пострадавших в суде.
А еще Верховный суд указал на статью 26 Гражданского процессуального кодекса. Там сказано, что иски о защите прав субъекта персональных данных, в том числе об убытках или компенсации морального вреда, можно предъявлять в суд по месту жительства истца. Поэтому заявление в защиту жителя Дальнего Востока надо было рассмотреть в порядке гражданского судопроизводства.
Сложился целый нелегальный рынок, на котором можно купить персональные данные граждан
Как правило, истцом в судах о защите персональных данных обычно выступает гражданин, с персональными данными которого совершены незаконные, по его мнению, действия. Сам Роскомнадзор реже, чем простые граждане, обращается с исками в суд. Обычно ответчиком в таких спорах оказывается оператор персональных данных или тот, кто получил доступ к персональным данным гражданина.
Весной этого года стало известно, что Госдуме и Роскомнадзору предложили законодательно ужесточить ответственность за нарушения в сфере персональных данных.
Если предложение пройдет, то за каждый доказанный случай утечки данных граждане смогут требовать от бизнеса и госорганов компенсацию от 500 000 до 5 миллионов рублей. Такую инициативу озвучила Ассоциация юристов России.
Там подготовили предложения по изменению закона «О персональных данных».
АЮР хочет обязать операторов персональных данных, в числе которых есть все госорганы, компании и физические лица, обрабатывающие такие сведения, по требованию граждан выплачивать им, по решению суда, в случае утечки компенсацию в размере от 500 000 до 5 миллионов рублей. Если утечка данных произошла по вине пользователя, то оператор освобождается от ответственности.
Возможность взыскать компенсацию с компании в случае утечки теоретически есть и сейчас, но, по мнению АЮР, она сильно затруднена.
В качестве примера можно вспомнить одно из таких дел, когда истец обратился к администратору домена с требованием удалить с сайта профиль истца, содержащий его персональные данные, и отзывы пользователей. Но получил отказ. Тогда дело принял по заявлению гражданина районный суд. По общему правилу иск предъявляется в суд по месту жительства ответчика, иск к организации — в суд по ее адресу.
При этом иски о защите прав хозяина персональных данных, в том числе о возмещении убытков, компенсации морального вреда, могут предъявляться и в суд по месту жительства истца.
Если нарушен закон о персональных данных, пострадавший человек может защищаться и с помощью Закона «О защите прав потребителей». В таком случае иск можно предъявить по выбору истца в суд по месту нахождения ответчика-организации.
А если ответчиком является индивидуальный предприниматель — по месту его жительства, по месту жительства или пребывания истца либо по месту заключения или исполнения договора.
Это сказано в 29-й статье ГПК и в статье 17 Закона «О защите прав потребителей».
Требования, связанные с нарушением прав на обработку персональных данных, рассматриваются в порядке гражданского судопроизводства на основании норм ГПК. Это означает, что суды самостоятельно оценивают, относится ли та или иная информация к персональным данным, подлежит ли она защите.
В нашем случае Верховный суд отменил отказные решения дальневосточных коллег и велел рассмотреть требование гражданина.
Ответственность за нарушения работы с персональными данными в 2023 году
Нарушение правил обработки и хранения персональных данных приводит к штрафам на десятки, а иногда и сотни тысяч рублей. Рассказываем, за что наказывает Роскомнадзор в 2023 г. и как избежать ответственности.
17.02.2023 г. вступили в силу поправки из постановления Правительства РФ от 04.02.2023 г. № 161. РКН получил право с согласия прокуратуры проводить внеплановые проверки, если поступила информация о распространении баз данных с персональными данными. Не спасутся даже аккредитованные ИТ-организации, которые попали под мораторий на внеплановые проверки.
Второе новшество введено Законом от 29.12.2022 г. № 625-ФЗ — Роскомнадзору разрешили выписывать штрафы без фактического посещения компаний. Если получена информация об обработке данных без согласия владельца, могут выписать штраф по п. 1-2.1, п. 4 ст. 13.11 КоАП РФ без проведения контрольного мероприятия — письмо РКН от 31.01.2023 г. № 09-6488.
Третье изменение — обновление формы согласия на размещение биометрических данных в единой системе. Актуальный бланк утвердили распоряжением Правительства РФ от 01.02.2023 г. № 207-р. К биометрии относятся рост, вес, анализы ДНК и другая информация, которая относится к биологическим и физиологическим особенностям человека.
За что предусмотрена ответственность
Чаще всего штрафуют за:
- незаконную обработку данных;
- разглашение данных;
- нарушение правил обработки;
- передачу данных без разрешения или с нарушениями;
- недостаточную защиту информации;
- невыполнение требований РКН;
- другие нарушения, установленные Законом от 27.07.2006 г. № 152-ФЗ.
По некоторым нарушениям штрафуют и компанию, и должностных лиц.
Организация может избежать штрафа, если нарушение произошло из-за противоправных действий третьих лиц. При этом нужно доказать, что компания приняла меры по защите персональных данных.
Как избежать ответственности
Всё просто — соблюдайте правила! Убедитесь, чтоб бумажные и электронные данные надёжно защищены. В первом случае храните информацию в закрытом помещении, во втором привлекайте квалифицированных айтишников, которые обеспечат защиту от взломов.
И не забывайте получать все необходимые согласия:
- На обработку — основной документ, актуальный в большинстве случаев. В офисе предлагайте бумажное согласие, на сайте — ставить галочку в чек-боксе.
- На распространение данных, разрешённых к распространению, например, если планируете размещать информацию о сотрудниках на корпоративном сайте.
- На обработку специальных категорий данных — тех, которые нельзя запрашивать в стандартных ситуациях. Например, философские или политические взгляды человека.
- На трансграничную передачу — если планируете отправлять информацию за пределы РФ.
- На обработку биометрических данных — информация о росте, весе, цвете глаз и прочих физиологических и биологических особенностях человека.
Штрафы за нарушения
Незаконная обработка данных. За первое нарушение — ч.1 ст. 13.11 КоАП РФ:
- должностное лицо или ИП — 10 000 ₽ – 20 000 ₽;
- компания — 60 000 ₽ – 100 000 ₽.
За повторное нарушение — ч. 1.1 ст. 13.11 КоАП РФ:
- должностное лицо — 20 000 ₽ – 50 000 ₽;
- ИП — 50 000 ₽ – 100 000 ₽;
- компания — 100 000 ₽ – 300 000 ₽.
Обработка данных без согласия. За первое нарушение — ч. 2 ст. 13.11 КоАП РФ:
- должностное лицо или ИП — 20 000 ₽ – 40 000 ₽;
- компания — 30 000 ₽ – 150 000 ₽.
За повторное нарушение — ч. 2.1 КоАП РФ:
- должностное лицо — 40 000 ₽ – 100 000 ₽;
- ИП — 100 000 ₽ – 300 000 ₽;
- компания — 300 000 ₽ – 500 000 ₽.
Отсутствие опубликованной политики обработки данных — ч. 3 ст. 13.11 КоАП РФ:
- должностное лицо — 6000 ₽ – 12 000 ₽;
- ИП — 10 000 ₽ – 20 000 ₽;
- компания — 30 000 ₽ – 60 000₽.
Отказ предоставить информацию владельцу данных — ч. 4 ст. 13.11 КоАП РФ:
- должностное лицо — 8000₽ – 12 000 ₽;
- ИП — 20 000 ₽ – 30 000 ₽;
- компания — 40 000 ₽ – 80 000 ₽.
Отказ от уточнения, блокирования или уничтожения данных. За первое нарушение — ч. 5 ст. 13.11 КоАП РФ:
- должностное лицо — 8 000 ₽ – 20 000 ₽;
- ИП — 20 000 ₽ – 40 000 ₽;
- компания — 50 000 ₽ – 90 000 ₽.
За повторное нарушение — ч 5.1 ст. 13.11 КоАП РФ:
- должностное лицо — 30 000 ₽ – 50 000 ₽;
- ИП — 50 000 ₽ – 100 000 ₽;
- компания — 300 000 ₽ – 500 000 ₽.
Необеспечение сохранности данных на материальных носителях — ч.6 ст. 13.11 КоАП РФ:
- должностное лицо — 8000 ₽ – 20 000 ₽;
- ИП — 20 000 ₽ – 40 000 ₽;
- компания — 50 000 ₽ – 100 000 ₽.
Нарушение правил обращения с собранными данными. За первое нарушение — ч. 8 ст. 13.11 КоАП РФ:
- должностное лицо — 100 000 ₽ – 200 000 ₽.;
- компания или ИП — 1 – 6 млн ₽.
За повторное нарушение — ч. 9 ст. 13.11 КоАП РФ:
- должностное лицо — 500 000 ₽ – 800 000 ₽;
- компания или ИП — 6 – 18 млн ₽.
Отказ предоставить информацию по запросу РКН — ст. 19.7 КоАП РФ:
- должностное лицо или ИП — 300 ₽ – 500 ₽;
- компания — 3000 ₽ – 5 000 ₽.
Уклонение и препятствование проверке Роскомнадзора — ч. 1 ст. 19.4.1 КоАП РФ:
- должностное лицо или ИП — 2000 ₽ – 4000 ₽;
- компания — 5000 ₽ – 10 000 ₽.
Препятствование завершению проверки РКН. За первое нарушение — ч. 2 ст. 19.4.1 КоАП РФ:
- должностное лицо или ИП — 5000₽ – 10 000 ₽;
- компания — 20 000 ₽ – 50 000 ₽.
За повторное нарушение — п. 3 ст. 19.4.1 КоАП РФ:
- должностное лицо или ИП — 10 000₽ – 20 000 ₽ или дисквалификация на срок от шести месяцев до одного года;
- компания — 50 000 ₽ – 100 000 ₽.
Отказ исполнять предписание РКН — ч. 1 ст. 19.5 КоАП РФ:
- должностное лицо или ИП — 1000 ₽ – 2000 ₽ или дисквалификация на срок до трех лет;
- компания — 10 000 ₽ – 20 000 ₽.
Рассказываем о сложных вещах незанудно, понятно и с юмором на ютуб-канале
Подписаться →
Коротко
-
С 17.02.2023 г. РКН разрешили проводить внеплановые проверки любых организаций, если поступила информация о распространении баз персональных данных.
-
РКН может выписывать штрафы без проведения контрольных мероприятий, если получена информация о незаконной обработке данных.
-
Нужно использовать новую форму согласия на сбор биометрических данных, которая утверждена распоряжением Правительства РФ от 01.02.2023 г. № 207-р.
-
Чтобы избежать крупных штрафов, собирайте все согласия и позаботьтесь о защите данных — как бумажных, так и электронных.
-
За нарушение правил сбора, обработки и хранения персональных данных штрафуют на сумму до 18 млн руб.
Статья актуальна на 23.06.2023