В связи с внесением изменений в Закон «О персональных данных», вступивших в силу с 01 сентября 2022 года, возложена новая обязанность уведомить Роскомнадзор РФ об обработке персональных данных, если организация обрабатывает персональные данные (в том числе фамилию, имя отчество) с помощью ЭВМ. Нетрудно догадаться, что такая обязанность затрагивает все организации, имеющие сотрудников или иным образом хранящие персональные данные в электронном виде.
Уведомление подается электронно при помощи ЭЦП или почтой. В Уведомлении целесообразно указать широкий спектр целей обработки персональных данных, как минимум: продажа товаров, выполнение работ, оказание услуг, приобретение и реализация имущественных прав и результатов интеллектуальной деятельности, заключение, изменение, расторжение соответствующих договоров, ведение кадровой работы и бухгалтерского учета.
Данный список может быть дополнен с учетом конкретики деятельности организации, например в случае обработки персональных данных на сайте (если цели такой обработки не охватываются изложенными выше случаями).
Что касается предельных сроков подачи уведомления: на сайте РКН содержится разъяснение, что 01 сентября 2022 года не является последним днем срока исполнения данной обязанности, но лучше не затягивать с ее выполнением.
Также организации – операторы персональных данных обязаны выполнять ряд следующих обязательств:
Базовая обязанность — соблюдать цели и принципы и условия обработки персональных данных.
Обработка персональных данных должна осуществляться на законной основе. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Прочие обязанности оператора персональных данных
Оператор персональных данных обязан:
- назначить лицо, ответственного за организацию обработки персональных данных;
- подготовить и утвердить внутренние документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, определяющие для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований;
- подготовить и утвердить документы, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- применять правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 Закона о персональных данных;
- осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
- производить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом. Порядок прописывается в локальном акте;
- ознакомить работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети «Интернет», с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети;
- по запросу субъекта персональных данных предоставлять информацию, касающейся обработки его персональных данных;
- обеспечить хранение баз данных, содержащих персональные данные, на территории России.
Ответственность в области необеспечения сохранности персональных данных
За нарушение законодательства о персональных данных предусмотрена уголовная и административная ответственность. Если возбуждение уголовных дел по факту нарушения законодательства о персональных данных — это большая редкость, то административные правонарушения фиксируются гораздо чаще.
Исходя из этого мы даем отсылку к двум составам Уголовного кодекса РФ (его статьи 137 и 272) и развернутую таблицу по административным составам.
| Состав административного правонарушения |
Норма закона |
Ответственность |
| Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 КоАП, если эти действия не содержат уголовно наказуемого деяния. |
Пункт 1 статьи 13.11 КоАП |
Административный штраф:
- на должностных лиц организации — от десяти тысяч до двадцати тысяч рублей;
- на юридических лиц — от шестидесяти тысяч до ста тысяч рублей.
|
| Повторное совершение административного правонарушения, предусмотренного частью 1 статьи 13.11 КоАП РФ. |
Пункт 1.1 статьи 13.11 КоАП |
Административный штраф:
- на должностных лиц организации — от двадцати тысяч до пятидесяти тысяч рублей;
- на юридических лиц — от ста тысяч до трехсот тысяч рублей.
|
| Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, за исключением случаев, предусмотренных статьей 17.13 КоАП, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных. |
Пункт 2 статьи 13.11 КоАП |
Административный штраф:
- на должностных лиц организации — от двадцати тысяч до сорока тысяч рублей;
- на юридических лиц — от тридцати тысяч до ста пятидесяти тысяч рублей.
|
| Повторное совершение административного правонарушения, предусмотренного частью 2 статьи 13.11 КоАП РФ. |
Пункт 2.1 статьи 13.11 КоАП |
Административный штраф:
- на должностных лиц организации — от сорока тысяч до ста тысяч рублей;
- на юридических лиц — от трехсот тысяч до пятисот тысяч рублей.
|
| Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных. |
Пункт 3 статьи 13.11 КоАП |
Административный штраф:
- на должностных лиц организации — от шести тысяч до двенадцати тысяч рублей;
- на юридических лиц — от тридцати тысяч до шестидесяти тысяч рублей.
|
| Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных. |
Пункт 4 статьи 13.11 КоАП |
Административный штраф:
- на должностных лиц организации — от восьми тысяч до двенадцати тысяч рублей;
- на юридических лиц — от сорока тысяч до восьмидесяти тысяч рублей.
|
| Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. |
Пункт 5 статьи 13.11 КоАП |
Административный штраф:
- на должностных лиц организации — от восьми тысяч до двадцати тысяч рублей;
- на юридических лиц — от пятидесяти тысяч до девяноста тысяч рублей.
|
| Повторное совершение административного правонарушения, предусмотренного частью 5 статьи 13.11 КоАП РФ. |
Пункт 5.1 статьи 13.11 КоАП |
Административный штраф:
- на должностных лиц организации — от тридцати тысяч до пятидесяти тысяч рублей;
- на юридических лиц — от трехсот тысяч до пятисот тысяч рублей.
|
| Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния. |
Пункт 6 статьи 13.11 КоАП |
Административный штраф:
- на должностных лиц организации — от восьми тысяч до двадцати тысяч рублей;
- на юридических лиц — от пятидесяти тысяч до ста тысяч рублей.
|
| Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. |
Пункт 8 статьи 13.11 КоАП |
Административный штраф:
- на должностных лиц организации — от ста тысяч до двухсот тысяч рублей;
- на юридических лиц — от одного миллиона до шести миллионов рублей.
|
| Повторное совершение административного правонарушения, предусмотренного частью 8 статьи 13.11 КоАП РФ. |
Пункт 9 статьи 13.11 КоАП |
Административный штраф:
- на должностных лиц организаций — от пятисот тысяч до восьмисот тысяч рублей;
- на юридических лиц — от шести миллионов до восемнадцати миллионов рублей.
|
| Ненаправление Роскомнадзору уведомления об обработке персональных данных, а равно предоставление уведомления, содержащего неполную или искаженную информацию. |
Статья 19.7 КоАП |
Предупреждение или административный штраф:
- на должностных лиц организации — от трехсот до пятисот рублей;
- на юридических лиц — от трех тысяч до пяти тысяч рублей.
|
В заключение рекомендуем обратить внимание на соблюдение законодательства о персональных данных, так как можно прогнозировать увеличение проверок со стороны Роскомнадзора в 2023 году. Ничем иным объяснить необходимость корректировок закона о персональных данных не представляется возможным.
Другие статьи по темам
Смотрите также статьи из номера
Legal design в работе с договорами
Если раньше внимание уделялось именно украшению документа: сложный шрифт, красивая плотная бумага и прочие элементы «статусности», то сейчас, во времена цифровизации, фокус внимания сместился в сторону упрощения представления информации, добавление в текст таблиц, графиков, схем, комиксов, таймлайнов. Работа со шрифтом, цветом также важна, но уже не с целью украшения, а для структурирования текста, расставления акцентов, удобства работы.
07 ноября, 2022
Изменения в налоговом поле Кипра. Выпуск №2
Мы уже писали об ожидающихся изменениях в налоговом поле Кипра. Эта статья – апдейт по ожидающимся изменениям по состоянию на 26/10/2022 с тем, чтобы Вы могли опираться на них в планировании дальнейших шагов.
31 октября, 2022
Арендованное имущество — актив арендатора, но это не точно
Основной новой идеей стандарта "Учет аренды" является отражение арендованного имущества в качестве активов арендатора. Такой подход характерен для Международных стандартов финансовой отчетности, но является новшеством для российских стандартов.
19 октября, 2022
Релокация бизнеса на Кипр. Обзор налогов и взносов с заработной платы
Последние изменения в соглашениях об избежании двойного налогообложения (СИДН) и ряд новых санкций, введенных в 2022 году в отношении России, ограничили возможность ведения и развития бизнеса на международном уровне. В связи с этим резко увеличилось число предпринимателей, желающих перевезти свой бизнес и команду в другую страну.
13 октября, 2022
Открытие счетов иностранным компаниям с русскими бенефициарами: версия 2022
Успех в открытии счета зависит также от скорости предоставления информации. Для того, чтобы быстро открыть счет компании следует подготовить полный пакет документов и собрать всю необходимую информацию заранее для того чтобы быстро направить основную информацию в банк и также быстро ответить на дополнительные запросы.
13 октября, 2022
Автоматический обмен финансовой информацией в 2022 году
Автоматический обмен финансовой информацией представляет собой не очень сложный, а порой и вовсе простой процесс обмена данными между компетентными органами различных государств. Обмен имеет очевидные преимущества как для самих государств, так и для налогоплательщиков, а его прекращение может иметь долговременные негативные последствия.
06 октября, 2022
Корпоративное регулирование в условиях российских контрсанкционных мер
В июле 2022 года был принят закон, допускающий принудительное преобразование филиала (представительства) иностранного юридического лица, связанного с иностранными недружественными государствами, в общество с ограниченной ответственностью. Последнему передаются имущество, права и обязанности иностранного лица, связанные с ведением его деятельности на территории Российской Федерации.
05 октября, 2022
Контроль налоговый крепчает
Что интересует налоговую инспекцию? В первую очередь, под пристальный разбор попали счета, на которых торгуются ценные бумаги. Банки и брокеры передали информацию о полученном валовом доходе гражданами от операций с ценными бумагами. Отдельно налоговая получает информацию о поступивших на счет процентах и дивидендах. И, если проценты и дивиденды, это, бесспорно, доход, с которого налогоплательщик обязан оплатить НДФЛ в полном объеме, то относительно дохода от операций с ценными бумагами, не [...]
05 октября, 2022
