Персональные данные. Восемь вместо одного.
В третье чтение принят Законопроект вносящий изменения в КоАП (Кодекс об Административных Правонарушениях). В частности он полностью изменяет статью 13.11 КоАП РФ. Если сейчас она состоит из одного предложения «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)». То новая статья состоит из 8 пунктов. Роскомнадзор уже опубликовал «анонс» изменений в своем паблике в VK, указав на увеличение штрафов. Хотя изменений намного больше. Были и негативные комментарии, например, про продажу персональных данных «коллекторам». Автор комментария указал, что последствия такого правонарушения не соизмеримы с указанной административной ответственностью. Позже сам комментарий и ответ ведомства был удален.
Штраф за правонарушения в сфере персональных данных действительно предлагается увеличить. Минимальные и максимальные штрафы предусмотрены:
Для физических лиц – от 700 рублей до 5 тысяч рублей.
Для должностных лиц – от 3 до 25 тысячи рублей
Для индивидуальных предпринимателей - от 10 до 100 тысяч рублей.
Для юридических лиц – от 15 до 300 тысяч рублей.
(на заметку маркетологам, любящим собирать данные о своих клиентах).
А теперь по пунктам, за что будут наказывать и какие новые составы административных правонарушений могут появится совсем скоро:
Несоответствие содержания письменного согласия субъекта на обработку его персональных данных требованиям законодательства Российской Федерации о персональных данных.
Обработка персональных данных без согласия субъекта (субъектов) персональных данных, если Законом не предусмотрен иное условие обработки данных.
Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также персональных данных о судимости в случаях, не предусмотренных законодательством Российской Федерации о персональных данных. Обработка специальных категорий персональных данных требует отдельного рассмотрения.
Невыполнение оператором предусмотренной законодательством Российской Федерацией о персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, и сведениям о реализуемых требованиях к защите персональных данных. Политику конфиденциальности Google всю прочитали?
Невыполнение оператором предусмотренной законодательством Российской Федерацией о персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных. Например, оператор обязан предоставить информацию о факте обработки персональных данных, основании обработки и цели. О способе обработки. Наименование и место нахождения оператора и лицах (за исключением работников оператора) кто имеет к ним доступ. И еще как минимум 6 пунктов.
Невыполнение оператором в сроки, установленные законодательством Российской Федерации о персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. В целом, не выполнение законных требований, но список при этом исчерпывающий.
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанностей по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации о персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение, иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния. Не забываем про бумажные и иные носители.
Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерацией о персональных данных обязанности по обезличиванию персональных данных, а равно несоблюдение установленных требований и методов по обезличиванию персональных данных. Субъектом этого правонарушения являются только должностные лица.
Полномочия по возбуждению дел об административных правонарушениях по статье 13.11 КоАП РФ передаются Роскомнадзору. Что дает ведомству большой набор императивных инструментов.