Персональные данные: храня не ценим, потерявши плачем.
Омское отделение Ассоциации юристов России провело юридический завтрак на тему «Как правильно обрабатывать персональные данные, чтобы избежать штрафов?»
30 мая 2025 года вступят в силу изменения, подписанные Президентом РФ, в Федеральный закон от 30.11.2024 №420-ФЗ, ужесточающие ответственность в сфере обработки и хранения персональных данных. За обработку данных без согласия пользователя или с нарушением целей сбора штрафы составят: от 50 до 100 тыс. рублей для руководства компаний и ИП; от 75 до 150 тыс. рублей для малого бизнеса; от 150 до 300 тыс. рублей – для среднего и крупного. Повторное нарушение увеличивает указанные суммы в два раза.
Введен новый штраф за неуведомление Роскомнадзора о том, что компания будет обрабатывать персональные данные. Нарушение обойдется бизнесу в сумму от 100 до 300 тыс. рублей. За неуведомление о неправомерной передаче данных штраф составит от 1 млн до 3 млн рублей. Штрафы за утечку персональных данных в зависимости от масштаба произошедшего составят от 3 млн рублей до 15 млн рублей. Повторные утечки приведут к оборотным штрафам в размере 1–3% от годовой выручки компании, но не менее 20 млн и не более 500 млн рублей.
Незаконное использование, сбор, передача или хранение персональных данных наказываются теперь штрафом от 300 до 400 тыс. рублей, принудительными работами до 4 лет либо лишением свободы до 4 лет. За действия с персональными данными несовершеннолетних или биометрией предусмотрены штрафы до 700 тыс. рублей, принудительные работы до 5 лет или лишение свободы до 5 лет. Если такие действия привели к тяжким последствиям или были организованы группой, наказание ужесточается до 10 лет лишения свободы. Также введена уголовная ответственность за создание сайтов или страниц для хранения и распространения незаконно полученных персональных данных. Максимальное наказание – 5 лет лишения свободы. Представляем читателям выступление на этом мероприятии руководителя юридической компании «ТетЧер» Светланы ТЕТЕРИНОЙ:
— Много лет я занималась интеллектуальной собственностью, авторским правом, регистрировала товарные знаки. Но жизнь не стоит на месте, и ко мне стали обращаться клиенты, которые развивали свой бизнес, у которых стали появляться сайты, базы данных. Соответственно, у них стали возникать вопросы по правильному обращению с персональными данными. После этого в компании появилось отдельное направление деятельности.
Тема персональных данных достаточно объемная и сложная. Но самое ужасное в том, что позиция Роскомнадзора и позиция судов расходятся. Роскомнадзор спорил в суде со страховой компанией о том, является ли адрес электронной почты, которую оставляет клиент, персональными данными. Дело дошло до Верховного суда и тот вынес определение о том, что нет, сама по себе электронная почта персональными данными не является. Тем не менее Роскомнадзор записал видеоответы на часто задаваемые вопросы (ролик можно посмотреть на Рутюбе), в которых заявил, что электронная почта все-таки относится к персональным данным.
Дьявол здесь, как всегда, кроется в деталях. Если у вас электронная почта называется 1234@mail.ru, здесь будто бы действительно можно отстоять позицию, что это не персональные данные. Но если там указаны ваши имя и фамилия да еще год рождения, конечно, по этой информации человека легко найти. В целом, любая информация, которая позволяет вас выявить среди множества лиц, – это персональные данные. Если мы забьем в поисковик 1234@mail.ru, и это выведет нас на страницу в соцсети, на сайт, на какую-то переписку, это уже однозначно персональные данные. Даже ИНН вроде бы набор цифр, но благодаря ЕГРЮЛ/ЕГРИП можно узнать, что это за человек.
В условиях глобальной цифровизации, электронного документооборота мы сканируем файлы, направляем их в PDF через мессенджеры, в том числе паспортные данные… Кто из нас без греха? По мнению Роскомнадзора, именно такие действия способствуют утечкам информации, за которые люди привлекаются к ответственности.
Компаниям и индивидуальным предпринимателям, состоявшим в реестре операторов персональных данных до 2022 года, необходимо актуализировать свои данные, так как изменилось содержание информации, подаваемой в Роскомнадзор. Для тех, кто этого не сделал, предусмотрена административная ответственность. К счастью, пока в Омской области подобные штрафы не назначались.
Cookie-файлы помогают отслеживать статистику посещений на сайте. Используются, как правило, два основных инструмента наблюдения: «Google Аналитика» и «Яндекс.Метрик»а. Закон о локализации данных (а за его нарушение предусмотрены огромные штрафы) говорит о том, что все накапливаемые персональные данные должны размещаться на российских серверах. «Google Аналитика» как инструмент у нас не запрещена, но учтите, что использование зарубежных серверов обязывает вас подать уведомление в Роскомнадзор, поэтому своим клиентам рекомендуем пользоваться «Яндекс.Метрикой» или другими открытыми отечественными ресурсами. О любой трансграничной передаче персональных данных нужно отчитываться в Роскомнадзор.
Вы должны обучить своих сотрудников взаимодействовать с персональными данными. На каждом рабочем месте должна быть система аутентификации. Часто вижу в кафе, что люди встают купить кофе, не закрывая ноутбук, оставляя свои документы у всех на виду, это нарушение! У людей не должно быть возможности сесть за компьютер вашего сотрудника и посмотреть, какие базы данных вы используете.
20 лет назад я работала в органе местного самоуправления и, зайдя в уборную, увидела на подоконнике паспортные данные начальника управления – так у нас догадались почистить архив. Хорошо, что у нас работали порядочные люди, да и тогда невозможно было оформить кредит только на основании этих данных, но все же случился скандал. Уничтожать документы надо через шредер и обязательно составлять соответствующий акт – иначе могут быть проблемы с Роскомнадзором.
Ранее репортаж был доступен только в печатной версии газеты «Коммерческие вести» от 26 марта 2025 года.
Фото © Максим КАРМАЕВ