Принят Закон об увеличении в три и более раза штрафов за отсутствие письменного согласия субъекта персональных данных
Юридическая компания «Пепеляев Групп» сообщает, что 5 декабря 2023 г. Госдумой в третьем чтении принят законопроект № 353266-8 «О внесении изменений в КоАП РФ» (далее – Закон). Законом предусмотрено увеличение штрафов за обработку персональных данных без согласия субъекта в письменной форме в случаях, когда такое согласие должно быть получено.
7 декабря Закон был одобрен Советом Федерации и направлен Президенту РФ. Закон подлежит официальному опубликованию в течение 7 дней со дня его подписания Президентом РФ и вступит в силу по истечении 10 дней после официального опубликования.
Закон предусматривает внесение изменений в ч. 2 и 2.1 ст. 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных». В ч. 2 ст. 13.11 КоАП Законом вносятся следующие изменения в части штрафов.
|
Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, за исключением случаев, предусмотренных ст. 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, влечет наложение административного штрафа: |
||
|
Субъект ответственности |
Действующая редакция |
Редакция Закона |
|
на должностных лиц
|
от 20 000 до 40 000 руб. от 30 000 до 150 000 руб.
|
от 100 000 до 300 000 руб.
от 300 000 до 700 000 руб. |
В ч. 2.1 ст. 13.11 КоАП Законом вносятся следующие изменения в части штрафов, предусмотренных за нарушение:
|
Повторное совершение административного правонарушения, предусмотренного частью 2 настоящей статьи, влечет наложение административного штрафа |
||
|
Субъект ответственности |
Действующая редакция |
Редакция Законопроекта |
|
|
от 300 000 до 500 000 руб.
|
от 1 000 000 до 1 500 000 руб. |
Напомним, что в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных (ч. 4 ст. 9 Закона о персональных данныхФедеральный закон от 27.07.2006 №152-ФЗ «О персональных данных».
). К таким согласиям можно отнести:
-
согласие работника на передачу его персональных данных третьей стороне, в том числе в коммерческих целях (ст. 88 Трудового кодекса РФ);
-
согласие работника на получение его персональных данных у третьей стороны (п. 3 ст. 86 Трудового кодекса РФ);
-
согласие субъекта на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (п. 1 ч. 2 ст. 10 Закона о персональных данных);
-
согласие субъекта на обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных) (ч. 1 ст. 11 Закона о персональных данных), в том числе согласие физического лица на обработку биометрических персональных данных в целях проведения его аутентификации (п. 5 ч. 3 ст. 16 Федерального закона от 29.12.2022 № 572-ФЗ);Федеральный закон от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации».
-
согласие субъекта на включение его персональных данных в общедоступные источники персональных данных, в том числе справочники, адресные книги (ч. 1 ст. 8 Закона о персональных данных);
-
согласие субъекта на принятие на основании исключительно автоматизированной обработки его персональных данных решения, порождающего в отношении него юридические последствия или иным образом затрагивающего его права и законные интересы (ч. 2 ст. 16 Закона о персональных данных).
Законом о персональных данных (ч.4 ст.9) предусмотрены требования к согласиям в письменной форме субъекта персональных данных. В частности, согласие в письменной форме субъекта персональных данных должно включать в себя:
-
фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;При получении согласия от представителя субъекта персональных данных в согласии необходимо также указать фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя.
-
наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
-
цель обработки персональных данных;
-
перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
-
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
-
перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
-
срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
-
подпись субъекта персональных данных.
Невыполнение требований к форме согласия является нарушением законодательства о персональных данных и может повлечь ответственность по ч.2 ст. 13.11 КоАП РФ.
Напомним, что равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью (ч. 4 с. 9 Закона о персональных данных).
О чем подумать, что сделать
В случае, если организация осуществляет, например, передачу персональных данных работников третьим лицам (при взаимодействии с контрагентами) и/или обработку специальных категорий персональных данных (сведения о состоянии здоровья в больничных листах), она обязана соблюдать требования, предусмотренные законодательством к согласиям субъектов в письменной форме. Несоблюдение таких требований может привести к наложению на организацию (должностное лицо) административного штрафа.
Рекомендуем всем заинтересованным лицам:
-
определить, осуществляет ли организация обработку персональных данных в случаях, требующих получения согласия в письменной форме;
-
разработать соответствующие формы согласий, содержащие установленный перечень информации;
-
обеспечить получение согласий в письменной форме, включая при необходимости получение согласий в форме электронного документа, подписанного электронной подписью.
Помощь консультанта
Специалисты «Пепеляев Групп» готовы оказать компаниям всестороннюю юридическую поддержку в соблюдении требований законодательства о персональных данных.
Спектр услуг «Пепеляев Групп» включает следующие:
1. Разработка пакета необходимых форм согласий, включая:
-
согласие субъекта на обработку персональных данных в соответствии с отдельными целями обработки персональных данных оператора (согласие на обработку персональных данных кандидата на вакантную должность, согласие на обработку персональных данных родственника работника, согласие на обработку персональных данных посетителя сайта и иные);
-
согласие субъекта на поручение обработки персональных данных;
-
согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
-
согласие субъекта на обработку персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;
-
согласие субъекта на обработку биометрических персональных данных;
-
согласие субъекта на обработку специальных категорий персональных данных;
-
согласие работника на получение его персональных данных у третьей стороны;
-
согласие работника на передачу его персональных данных третьей стороне, в том числе в коммерческих целях;
-
согласие субъекта на включение его персональных данных в общедоступные источники персональных данных;
- согласие субъекта на принятие на основании исключительно автоматизированной обработки его персональных данных решения, порождающего в отношении него юридические последствия или иным образом затрагивающего его права и законные интересы.
2. Консультирование по вопросам соблюдения письменной формы согласий, включая вопросы использования электронных подписей.
3. Помощь в организации процесса получения согласий.
4. Разработка соглашений об электронном взаимодействии.
5. Помощь в определении, являются ли персональные данные, обрабатываемые организацией, биометрическими персональными данными.
6. Разработка необходимых документов, регулирующих обработку персональных данных.
