В марте 2021 внесены поправки в КоАП о нарушении законодательства в области персональных данных (далее также ПД). Административные штрафы за нарушения в области персональных данных увеличились в 2 раза практически по всем административным правонарушениям. Неизменными остались лишь штрафы за невыполнение оператором обязанностей по обработке персональных данных граждан РФ с использованием баз данных, находящимися за пределами страны. Но они итак слишком высоки и «непопулярны», например, максимальная сумма штрафа для юридического лица за указанные правонарушения составляет 6 млн рублей, а за повторное нарушение данных обязанностей – 18 млн рублей.
К примеру, ранее за невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике оператора в отношении обработки ПД могло повлечь для юридического лица административное наказание в виде предупреждения или штрафа в размере от 15 до 30 тысяч рублей. Теперь за аналогичное правонарушение юрлицу грозит всего лишь только штраф в размере от 30 до 60 тысяч рублей.
А обработка персональных данных без согласия субъекта ПД может обернуться организации штрафом до 150 тысяч рублей, при повторном нарушении – до 500 тысяч рублей.
Изменения коснулись не только ответственности за нарушение законодательства в области ПД, поправки также были внесены и в сам Федеральный закон № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). Далее рассмотрим наиболее значимые изменения, произошедшие в 2021 году.
Как усматривается из пояснительной записки к законопроекту, нововведения направлены на ограничение неконтролируемого использования ПД, размещаемых на интернет-сайтах и в других открытых источниках.
С 01 марта Закон № 152-ФЗ был дополнен статьей 10.1., в соответствии с которой необходимо получать отдельное согласие на обработку ПД, разрешенных субъектом для распространения. При этом под распространением ПД понимаются действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п. 5 ст. 3 Закона № 152-ФЗ).
С 01 сентября 2021 года вступили в силу обязательные требования к содержанию согласия на обработку ПД, разрешенных субъектом персональных данных для распространения. Такие требования на основании ч. 9 ст. 9 Закона № 152-ФЗ утверждены Приказом Роскомнадзора от 24.02.2021 № 18 и включают в себя:
-
ФИО субъекта и контактную информацию (телефон, e-mail или почтовый адрес),
-
сведения об операторе и его информационных ресурсах,
-
цель (цели) обработки персональных данных,
-
категории и перечень ПД, на обработку которых дается согласие субъекта,
-
срок действия согласия.
По желанию субъекта согласие может содержать:
а) категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов,
б) условия, при которых полученные персональные данные могут передаваться оператором только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.
В случае раскрытия ПД неопределенному кругу лиц самим субъектом без предоставления оператору согласия, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку (ч. 2 ст. 10.1. Закона № 152-ФЗ).
Таким образом, даже если субъект самостоятельно разместил свои ПД, допустим в соцсетях, использовать их для дальнейшей обработки и распространения уже не получится без его согласия.
Согласно ч. 4 ст. 10. 1. Закона № 152-ФЗ, если в полученном оператором согласии отсутствует прямое указание субъекта на возможность использования его данных неограниченным кругом лиц, то такие ПД обрабатываются только оператором, которому они были предоставлены, без права распространения.
Кроме того, субъект ПД вправе установить запреты на передачу (кроме предоставления доступа) этих ПД оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом ПЛ запретов и условий, предусмотренных настоящей статьей, не допускается. Об этом сказано в ч. 9 ст. 10.1. Закона № 152-ФЗ.
Как показывает практика, когда вводятся новые штрафы или увеличиваются действующие, проверки и административные наказания не заставляют себя долго ждать. Учитывая вышеизложенное, имеет смысл проверить все ли требования к обработке персональных данных соблюдаются в организации. Кроме получения согласия, оператору также необходимо уведомить Роскомнадзор об обработке ПД, опубликовать политику обработки ПД, обеспечивать безопасность ПД при их обработке, соблюдать принципы обработки ПД и пр.
Напоследок, стоит привести судебную практику, свидетельствующую о возможном наказании за отсутствие у оператора согласия субъекта на обработку ПД.
Определение Верховного Суда РФ от 19.07.2021 № 307-ЭС21-11355 по делу № А05-1153/2020
Расчетный центр обратился в суд с заявлением о признании недействительным пункта предписания управления Роскомнадзора об устранении выявленных нарушений, которые выражались в том, что ЕИРЦ нарушило требования конфиденциальности при обработке ПД граждан в части передачи данных регистрационного учёта в адрес РСО по их запросам для взыскания с должников задолженностей по оплате за коммунальные услуги в отсутствие согласия субъектов ПД или иных законных оснований.
В передаче дела в Судебную коллегию по экономическим спорам Верховного Суда РФ отказано, так как, оценив представленные доказательства по ст. 71 АПК РФ, суды пришли к выводу о соответствии оспариваемого предписания нормам действующего законодательства. Суды исходили из отсутствия в материалах дела доказательств того, что собственники и наниматели жилых помещений спорных многоквартирных домов и жилых домов, являясь субъектами персональных данных, выразили согласие на предоставление персональных данных третьим лицам, в частности, ресурсоснабжающим организациям.
Напомним, что в силу статьи 7 Закона № 152-ФЗ операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
При этом доводы заявителя о том, что право на передачу персональных данных без согласия субъекта персональных данных вытекает из положений пунктов 5 и 7 части 1 статьи 6 Закона № 152-ФЗ, а также из положений Правил предоставления коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов, утверждённых постановлением 7 А05-1153/2020 Правительства Российской Федерации от 06.05.2011 № 354, суды признали необоснованными и сочли их не применимыми к спорным отношениям.
По материалам сайта «Бурмистр.ру» https://www.burmistr.ru/