- Почему бизнес выбирает Гонконг
- Анализ изменений налогового режима для non-domicile резидентов Великобритании
- Культ согласий на обработку персональных данных: что нужно знать бизнесу при сборе согласий от субъектов
- Налогообложение НДС двухэтапной чартерной морской перевозки
- Личные фонды в России и в свободной зоне DIFC (ОАЭ): сравнительный анализ
- Раз офшор, два офшор…
- Расчеты криптовалютой в РФ. Возможности развития и последствия принятия закона
- Прогрессивная шкала НДФЛ уже реальность! Богатым быть в России становится дороже
- УСН – усложненная система налогообложения?
Персональные данные под особой охраной
В связи с внесением изменений в Закон «О персональных данных», вступивших в силу с 01 сентября 2022 года, возложена новая обязанность уведомить Роскомнадзор РФ об обработке персональных данных, если организация обрабатывает персональные данные (в том числе фамилию, имя отчество) с помощью ЭВМ. Нетрудно догадаться, что такая обязанность затрагивает все организации, имеющие сотрудников или иным образом хранящие персональные данные в электронном виде.
Уведомление подается электронно при помощи ЭЦП или почтой. В Уведомлении целесообразно указать широкий спектр целей обработки персональных данных, как минимум: продажа товаров, выполнение работ, оказание услуг, приобретение и реализация имущественных прав и результатов интеллектуальной деятельности, заключение, изменение, расторжение соответствующих договоров, ведение кадровой работы и бухгалтерского учета.
Данный список может быть дополнен с учетом конкретики деятельности организации, например в случае обработки персональных данных на сайте (если цели такой обработки не охватываются изложенными выше случаями).
Что касается предельных сроков подачи уведомления: на сайте РКН содержится разъяснение, что 01 сентября 2022 года не является последним днем срока исполнения данной обязанности, но лучше не затягивать с ее выполнением.
Также организации – операторы персональных данных обязаны выполнять ряд следующих обязательств:
Базовая обязанность — соблюдать цели и принципы и условия обработки персональных данных.
Обработка персональных данных должна осуществляться на законной основе. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Прочие обязанности оператора персональных данных
Оператор персональных данных обязан:
- назначить лицо, ответственного за организацию обработки персональных данных;
- подготовить и утвердить внутренние документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, определяющие для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований;
- подготовить и утвердить документы, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- применять правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 Закона о персональных данных;
- осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
- производить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом. Порядок прописывается в локальном акте;
- ознакомить работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети;
- по запросу субъекта персональных данных предоставлять информацию, касающейся обработки его персональных данных;
- обеспечить хранение баз данных, содержащих персональные данные, на территории России.
Ответственность в области необеспечения сохранности персональных данных
За нарушение законодательства о персональных данных предусмотрена уголовная и административная ответственность. Если возбуждение уголовных дел по факту нарушения законодательства о персональных данных — это большая редкость, то административные правонарушения фиксируются гораздо чаще.
Исходя из этого мы даем отсылку к двум составам Уголовного кодекса РФ (его статьи 137 и 272) и развернутую таблицу по административным составам.
Состав административного правонарушения | Норма закона | Ответственность |
Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 КоАП, если эти действия не содержат уголовно наказуемого деяния. | Пункт 1 статьи 13.11 КоАП | Административный штраф:
|
Повторное совершение административного правонарушения, предусмотренного частью 1 статьи 13.11 КоАП РФ. | Пункт 1.1 статьи 13.11 КоАП | Административный штраф:
|
Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, за исключением случаев, предусмотренных статьей 17.13 КоАП, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных. | Пункт 2 статьи 13.11 КоАП | Административный штраф:
|
Повторное совершение административного правонарушения, предусмотренного частью 2 статьи 13.11 КоАП РФ. | Пункт 2.1 статьи 13.11 КоАП | Административный штраф:
|
Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных. | Пункт 3 статьи 13.11 КоАП | Административный штраф:
|
Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных. | Пункт 4 статьи 13.11 КоАП | Административный штраф:
|
Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. | Пункт 5 статьи 13.11 КоАП | Административный штраф:
|
Повторное совершение административного правонарушения, предусмотренного частью 5 статьи 13.11 КоАП РФ. | Пункт 5.1 статьи 13.11 КоАП | Административный штраф:
|
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния. | Пункт 6 статьи 13.11 КоАП | Административный штраф:
|
Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. | Пункт 8 статьи 13.11 КоАП | Административный штраф:
|
Повторное совершение административного правонарушения, предусмотренного частью 8 статьи 13.11 КоАП РФ. | Пункт 9 статьи 13.11 КоАП | Административный штраф:
|
Ненаправление Роскомнадзору уведомления об обработке персональных данных, а равно предоставление уведомления, содержащего неполную или искаженную информацию. | Статья 19.7 КоАП | Предупреждение или административный штраф:
|
В заключение рекомендуем обратить внимание на соблюдение законодательства о персональных данных, так как можно прогнозировать увеличение проверок со стороны Роскомнадзора в 2023 году. Ничем иным объяснить необходимость корректировок закона о персональных данных не представляется возможным.