За обработку персональных данных без письменного согласия их субъекта (когда оно необходимо) или с нарушением требований к содержанию такого согласия, будут применяться следующие штрафы:
для должностных лиц - от 100 тысяч до 300 тысяч рублей;
для юридических лиц - от 300 тысяч до 700 тысяч рублей.
За обработку биометрических персональных данных в Единой системе идентификации и аутентификации физических лиц с нарушением установленных требований, будут применяться следующие штрафы:
для должностных лиц - от 100 тысяч до 300 тысяч рублей;
для юридических лиц - от 500 тысяч до 1 миллиона рублей.
До вступления в силу изменений штрафы за эти нарушения составляли для должностных лиц от 20 тысяч до 40 тысяч рублей, для юридических лиц - от 30 тысяч до 150 тысяч рублей (для банков и ряда других юридических лиц - от 50 тысяч до 200 тысяч рублей).
Изменения вступают в силу с 1 января 2024 года.
Изменения внесены в Кодекс Российской Федерации об административных правонарушениях (КоАП РФ) Федеральным законом от 12 декабря 2023 года № 589-ФЗ.
Эти изменения направлены на повышение защиты персональных данных граждан.
В частности, ужесточение ответственности за обработку биометрических персональных данных обусловлено тем, что эти данные являются более чувствительными, чем другие виды персональных данных, и их утечка может нанести больший ущерб гражданам.
Таким образом, теперь за обработку персональных данных без согласия или с нарушениями можно будет получить более высокий штраф. Это должно стимулировать операторов персональных данных более ответственно относиться к обработке данных граждан.
Различия в штрафах за согласие и биометрические данные заключаются в следующем:
За обработку биометрических персональных данных предусмотрены более высокие штрафы, чем за обработку других видов персональных данных. Это связано с тем, что биометрические данные являются более чувствительными, чем другие виды персональных данных, и их утечка может нанести больший ущерб гражданам.
Штрафы для юридических лиц за обработку биометрических персональных данных также выше, чем штрафы для юридических лиц за обработку других видов персональных данных. Это связано с тем, что юридические лица, как правило, обладают большими ресурсами, и более высокие штрафы должны стимулировать их более ответственно относиться к обработке биометрических данных.
Теги: изменения КоАП РФ
.Правительственные поправки в КоАП РФ, которые были приняты депутатами во втором чтении законопроекта № 353266-8, предусматривают увеличение штрафов за нарушение правил обработки персональных данных.
В частности, в КоАП РФ вводится новая статья 13.11.3, предусматривающая ответственность за размещение, обновление биометрических персональных данных в Единой системе идентификации и аутентификации физических лиц с использованием биометрических персональных данных (ЕСИА) с нарушением установленных законодательством требований.
Штраф для должностных лиц за такое нарушение составит от 100 тысяч до 300 тысяч рублей, для юридических лиц - от 500 тысяч до 1 миллиона рублей.
Таким образом, Госдума решила повысить ответственность за нарушения, связанные с обработкой биометрических персональных данных. Это связано с тем, что биометрические данные являются более чувствительными, чем другие виды персональных данных, и их утечка может нанести больший ущерб гражданам.
Поправки в КоАП РФ вступят в силу с 1 января 2024 года.
Теги: изменения
В прошлом году произошло значительное увеличение количества кибератак на российские компании, что привело к большому количеству утечек персональных данных. В 2022 году данные 75% россиян оказались в открытом доступе в интернете из-за утечек, в сети оказались личные данные примерно 100 миллионов человек.
Благодаря изменениям в 152-ФЗ «О персональных данных», вступивших в силу в Сентябре 2022 года, компании теперь обязаны уведомлять регулятора об утечках. И до конца 2022 года российские компании направили в Роскомнадзор порядка 100 уведомлений об утечках персональных данных.
В этом году уже стало известно об утечках в таких крупных компаниях, как Спортмастер, Ситимобил, Газпромбанк Инвестиции, Здравсити.
Для защиты нравственности, здоровья, прав и законных интересов граждан РФ, правительство и президент предполагают принять ряд мер по усилению ответственности за нарушения в сфере обработки персональных данных, направленных на борьбу с утечками, а также неправомерной трансграничной передачей персональных данных.
Владимир Путин поручил кабинету министров до 1 Июля 2023 года рассмотреть вопрос об установлении оборотных штрафов в отношении компаний, допускающих утечку персональных данных. Соответствующий законопроект готовит Минцифры.
Кабинет министров поддержал идею с введением уголовной ответственности за незаконный сбор, хранение и передачу персональных данных.
Опубликовано постановление Правительства РФ об утверждении правил принятия решения о запрещении или об ограничении трансграничной передачи персональных данных.
Мораторий на проверки бизнеса не распространяется на утечки персональных данных, и Роскомнадзор проводил и проводит проверки в компаниях, где была допущена утечка.
Повышение ответственности за утечки персональных данных направлено на смещение акцента в выполнении требований законодательства с формальных мер на реальную защиту конфиденциальной информации, к которой относятся персональные данные.
Теги: изменения
6 Июля 2022 года Государственная Дума РФ приняла законопроект № 101234-8 «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности»
Это одни из самых крупных единоразовых изменений в законодательство о персональных данных за все время существования 152-ФЗ. Ниже представлены основные положения этого законопроекта.
Добавляется принцип экстерриториальности, теперь 152-ФЗ распространяется на действия с персональными данными граждан РФ, даже если они осуществляются зарубежными операторами.
Вместе с Федеральным законом от 01.05.2022 № 135-ФЗ и Федеральным законом от 28.05.2022 № 145-ФЗ вводится запрет на необоснованный сбор ПДн потребителей, включение в договоры условий, навязывающие дополнительные товары и услуги, а также административная ответственность за эти действия. Кроме того, добавляется запрет на включение в договор положений, ограничивающих права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних.
Теги: изменения регуляторы
Штрафы за утечку персональных данных могут ввести до конца года. В настоящий момент предлагаемый размер штрафа составляет 1% от годового оборота организации.
Также планируется принять Федеральный закон, согласно которому оператор персональных данных будет обязан уведомлять об утечке, причем штраф за неуведомление может быть больше, чем за саму утечку.
Планы о введении штрафов за утечку персональных данных существуют уже довольно давно, при этом, в настоящий момент ответственность по законодательству о персональных данных предусмотрена только за неисполнение требуемых мер, а не за нарушение безопасности персональных данных.
Недавние кейсы с утечкой персональных данных Яндекс.Еда и Гемотест могут служить примером целесообразности подобной инициативы.
Теги: изменения
На сайте СК «Согласие» гражданка хотела узнать стоимость полиса ОСАГО, но не смогла это сделать без предоставления персональных данных. Для расчета требовалось указать ФИО, дату рождения, пол, данные паспорта и водительского удостоверения. Кроме того, в пользовательском соглашении содержались пункты, касающиеся автоматического согласия на обработку ПДн и их передачу третьим лицам в рекламных целях.
Составить иск гражданке помогли юристы Центра правовой помощи гражданам в цифровой среде. Требованиями иска было признать собираемые персональные данные на сайте страховой компании избыточными для расчета стоимости ОСАГО, а также исключить из пользовательского соглашения условия о том, что использование интернет-сайта посетителями означает дачу согласия на обработку ПДн, в том числе на направление рекламы, а также внести конкретный перечень третьих лиц, которым могут быть переданы персональные данные.
Мещанский районный суд иск не удовлетворил, после чего была подана апелляция в Мосгорсуд, который отменил решение суда первой инстанции и удовлетворил все требования истицы.
Суд отдельно подчеркнул, что информация об условиях договора, в том числе о страховых тарифах, должна предоставляться не только стороне договора, но и лицу, не принявшему окончательного решения о выборе страховой компании.
Этот судебный кейс способен в дальнейшем усовершенствовать практику защиты персональных данных россиян в рамках юридических споров.
Недавно созданный Центр правовой помощи гражданам в цифровой среде показал свою эффективность, что позволяет предполагать дальнейшее увеличение количества исков граждан к операторам ПДн по поводу неправомерной обработки их персональных данных.
Теги: ответственность
Следственный комитет Российской Федерации возбудил уголовное дело по результатам проверки фактов утечки персональных данных пользователей сервиса «Яндекс.Еда». Уголовное дело возбуждено по признакам составов преступлений, предусмотренных частью 1 статьи 137 («Нарушение неприкосновенности частной жизни»), частью 3 статьи 272 («Неправомерный доступ к компьютерной информации») и частью 2 статьи 273 («Создание, использование и распространение вредоносных компьютерных программ») Уголовного кодекса Российской Федерации.
В настоящий момент проводится комплекс следственных действий и оперативно-розыскных мероприятий, направленных на раскрытие указанных деяний и установление лиц, их совершивших.
Утечка персональных данных пользователей сервиса «Яндекс.Еда» была зафиксирована 1 Марта. В результате утечки в интернете были опубликованы телефоны и адреса покупателей.
21 Апреля Мировой суд Москвы оштрафовал «Яндекс.Еду» на 60 000 руб. в соответствии с частью 1 Статьи 13.11 КоАП РФ. Максимальное наказание по этой статье составляет 100 000 руб.
Ранее 33 пользователя сервиса подали коллективный иск в суд. Каждый из них требовал от компании по 100 000 руб. из-за утечки их персональных данных.
Теги: ответственность
Новый закон устанавливает запрет для продавца работ или услуг, а также исполнителя, агрегатора отказывать в заключении, изменении, расторжении или исполнении договора, если покупатель отказывается предоставить свои персональные данные.
Также закон содержит перечень недопустимых условий договора, ущемляющих права потребителей. Законом предусмотрен запрет на понуждение потребителя под угрозой отказа в совершении сделки к предоставлению персональных данных в случаях, когда предоставление таких данных не предусмотрено законодательством РФ и не связано с совершением сделки о реализации товаров (работ, услуг).
Закон вступит в силу с 1 Сентября 2022 года. Положения, устанавливающие перечень недопустимых условий договора, ущемляющих права потребителя, распространяются на отношения, возникшие из ранее заключенных договоров.
В пояснительной записке объясняются цели закона, они заключаются в пресечении недобросовестного поведения на потребительском рынке, в том числе выражающегося в принудительном или необоснованном сборе персональных данных потребителей для целей, не связанных с заключением или исполнением договора.
Согласно новому закону, продавец (исполнитель, владелец агрегатора) не вправе отказывать в заключении, исполнении договора, направленного на приобретение одних товаров (работ, услуг), по причине отказа потребителя в приобретении иных товаров (работ, услуг).
По мнению законотворцев закон поможет избежать навязывания дополнительных услуг. К примеру, недопустимы станут ситуации, когда человек приобретает по договору долевого участия помещение одной площади, получает меньше квадратных метров, но требовать возмещение не может, поскольку в договоре этого не предусмотрено.
Помимо этого, продавцы не смогут навязывать, в каком именно суде в случае возникновения спора должна рассматриваться претензия: человек вправе выбрать наиболее удобный для него вариант - по месту проживания, по месту расположения магазина или по месту нахождения продавца. Кроме того, если продавец все же попытается навязать невыгодные условия договора, гражданин вправе потребовать убрать недопустимые условия договора, а продавец обязан будет скорректировать текст договора.
Часто при подписывании договора покупателю не оставляют выбора в части предоставления своих персональных данных, которые потом перепродают для рекламных рассылок. Теперь такая возможность будет ограничена.
6 Апреля 2022 года в Госдуму РФ внесен законопроект о внесении изменений в 152-ФЗ «О персональных данных».
Согласно пояснительной записке к законопроекту, инициатива разработана в целях усиления защиты прав граждан как субъектов персональных данных на неприкосновенность их частной жизни. В этой связи проектом вносятся поправки в закон "О персональных данных", направленные на совершенствование правовой защищенности субъектов персональных данных, а также усиление государственного контроля в этой сфере.
В числе основных планируемых изменений, введение принципа экстерриториальности с тем, чтобы российское законодательство о персональных данных применялось и за пределами страны. Устанавливается возможность вмешательства уполномоченных органов власти в вопросы обработки персональных данных российских граждан на территории других государств.
Понятие трансграничной передачи персональных данных расширяется и включает в себя больше условий. Кроме того, вводится отдельное уведомление о намерении осуществлять трансграничную передачу персональных данных, устанавливается порядок подачи такого уведомления. При этом трансграничная передача может быть запрещена или ограничена.
Уточняется положение обработчика, лица, осуществляющего обработку персональных данных, а не только оператора.
Не будет требоваться согласие субъекта на передачу его персональных данных другому лицу в рамках поручения на обработку, зато в поручении оператора для лица, осуществляющего обработку персональных данных, нужно будет определять перечень ПДн.
Оператор будет не вправе отказать в заключении договора с субъектом, если он отказывается предоставить биометрические персональные данные или не дает согласие на обработку ПДн.
Политику оператора в отношении обработки персональных данных нужно будет публиковать не просто в сети интернет, а в том числе на страницах принадлежащего оператору сайта, с использованием которого осуществляется сбор ПДн.
Оператор будет обязан обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), включая информирование о компьютерных инцидентах, повлекших неправомерные доступ, представление, распространение, передачу персональных данных.
В случае утечки персональных данных необходимо будет уведомить Роскомнадзор в течение 24 часов.
Заложен выход подзаконного акта, устанавливающий порядок уничтожения персональных данных.
Исключается большинство условий, которые позволяли не подавать уведомление о начале обработки персональных данных в Роскомнадзор. Если ранее было сложно не выходить за рамки исключений, теперь это станет практически невозможно, и уведомление нужно будет подавать подавляющему большинству операторов.
Вносятся изменения в порядок подачи уведомления, теперь оно будет содержать больше сведений.
Роскомнадзор становится самостоятельным и наделяется законодательной инициативой.
В дополнение вносятся изменения в Федеральный закон от 13 июля 2015 года № 218-ФЗ «О государственной регистрации недвижимости». Устанавливается, что персональные данные, содержащиеся в Едином государственном реестре недвижимости, могут быть предоставлены третьим лицам только с согласия физического лица - субъекта таких данных. Для этого в ЕГРН вносится соответствующая запись на основании заявления физического лица, владельца недвижимости.
Теги: изменения
Недавно произошла резонансная утечка персональных данных пользователей сервиса «Яндекс.Еда». В сети появилась интерактивная карта, где по адресу можно было увидеть сколько и каких заказов сделал тот или иной человек за достаточно длительный период времени, номер его телефона. Кроме того, видимо совместив данные из другой базы, злоумышленники добавили к информации такие персональные данные, как ФИО, адреса электронной почты.
Ресурсы с картой были в кратчайшие сроки заблокированы. Представители Яндекс.Еды заявили, что утечка произошла в результате недобросовестных действий одного из сотрудников, компания решила втрое сократить число сотрудников с доступом к конфиденциальным данным пользователей, а также провести дополнительные работы, направленные на усиление защиты информации.
При этом, максимальный штраф за подобное нарушение в соответствии с частью 1 Статьи 13.11 КоАП РФ составляет 100 000,00 рублей для юридического лица.
Вместе с тем, многие из пострадавших субъектов персональных данных подали коллективный иск к сервису, по 100 000,00 рублей каждый. В настоящий момент зарегистрированы иски от 33 пользователей в Москве, не исключены иски от клиентов из других городов. Суммарные претензии к сервису «Яндекс.Еда» уже составляют несколько миллионов рублей и могут возрасти.
Иск был подан в соответствии с частью 2 Статьи 17 ФЗ-152 «О персональных данных»: «субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке».
При этом, суд будет решать, какую именно назначить итоговую компенсацию каждому пострадавшему пользователю с учетом обстоятельств, при которых ему был причинен моральный вред.
Согласно исковому заявлению, после утечки персональных данных пользователям «Яндекс.Еды» начали массово поступать звонки с незнакомых номеров с рекламными предложениями различных услуг, им также стали звонить мошенники. Пользователи сервиса считают, что была нарушена неприкосновенность их частной жизни, они переживают за свою безопасность.
Для повышения ответственности операторов в случае дел, не имеющих столь широкого освещения, необходимо внести изменения в КоАП РФ в части штрафов за нарушение безопасности персональных данных, наподобие тех штрафов, которые были введены за нарушение требования о локализации персональных данных граждан РФ на территории России, и которые составляют до 6 миллионов рублей за первое нарушение и до 18 миллионов рублей за повторное.
Теги: ответственность