Закон о персональных данных стал строже: узнайте о новых штрафах и способах их избежать

30 ноября 2024 года был принят новый закон, регулирующий обработку персональных данных. Этот закон призван усилить защиту прав граждан на конфиденциальность их личной информации. Глобально закон увеличивает штрафы и создает новые по трём темам - утечка персональных данных; неподача уведомления в Роскомнадзор; нарушение прав потребителей. В статье я рассмотрю основные изменения, которые принёс этот закон, только по двум последним и дам рекомендации по подготовке к его соблюдению.

Уведомление об обработке персональных данных в Роскомнадзор — это документ, который обязаны подавать все операторы, обрабатывающие персональные данные.

Данное разъяснение напрямую закреплено в Законе «О персональных данных».

Таким образом, даже если вы самозанятый, то не следует думать, что вам не нужно соблюдать данный закон. На вас полностью и целиком распространяются все требования и штрафы.

По факту когда к вам попадают персональные данные для какой-то цели, вы понимаете зачем они вам нужны и что будете с ними делать. Например,

— когда вы просите предоставить клиентов свои данные для заключения договора;

— когда вы нанимаете на работу сотрудника или ассистента по договору гражданско-правового характера;

— когда вы просите заполнить анкету/форму обратную связи, как вариант использовав Яндекс.Форму;

— когда клиенты оставляют данные на ваших сайтах (для получения обратного звонка, консультации, покупки, оформления предзаказа и т.д.);

— когда на сайте устанавливаете Яндекс.Метрику;

— когда с помощью чат-ботов собираете информацию и т.д.

Все эти и иные подобные случаи говорят о том, что вы оператор обработки персональных данных независимо от вашего официального статуса и режима налогообложения, поэтому вы ОБЯЗАНЫ направить уведомление об обработке персональных данных в Роскомнадзор. Об этом прямо написано также в законе.

Раньше их было 9, сейчас всего лишь 3.

1. Персональные данные содержатся в специальных государственных информационных системах (например, дактилоскопическая система полиции).

2. Персональные данные обрабатываются без средств автоматизации, что в наш век цифровых технологий очень маловероятно (то есть, как в старые добрые времена используется только бумага, и нигде не фиксируете на компьютере).

3. Исключения предусмотрены специальными законами о транспортной безопасности (например, видеонаблюдения в жд вокзалах).

Как видите, в 99,9% случаев, когда вы ведете обычный деловой оборот с клиентами и сотрудниками, то данное уведомление все же должно быть направлено вами.

Федеральным законом, который был принят 30.11.2024 г., прям предусмотрена отдельная норма за такое нарушение с увеличенными штрафами.

На сегодняшний день тоже есть штрафы за неподачу уведомления (ст. 19.7 КоАП РФ). Но они ничтожно малы, поэтому многие принимают данный риск:
— для физических лиц (самозанятых) - от 100 до 300 рублей;

— для ИП - от 300 до 500 рублей;

— для юридических лиц - от 3 000 до 5 000 рублей.

В новой редакции закона ответственность за неподачу уведомления будет уже квалифицироваться по ч. 10 ст. 13.11 КоАП РФ, и там уже штрафы не такие смешные:

— для физических лиц (самозанятых) - от 5 000 до 10 000 рублей;

— для ИП и юридических лиц - от 100 000 до 300 000 рублей.

Уведомление подается до начала обработки персональных данных или с момента внесения изменений, то есть если вы создаете сайт, то сначала подаете уведомление, потом запускаете его в работу, чтобы клиенты оставляли свои данные. Если вы создаете ИП или ООО с работниками и множеством других процессов, то сначала проводите у себя аудит, чтобы понимать, когда и какие данные обрабатываете, а потом уже подаете уведомление.

Роскомнадзор рандомно из всеобщедоступных баз (источников) смотрит список организаций, далее смотрят свой реестр (внесли ли вы о себе информацию), если не обнаруживают вас, то приходят к вас с неприятными новостями.

Поскольку новые штрафы начнут действовать с 30 мая 2025 г., у вас есть еще почти полгода все привести у себя в порядок:

1) провести внутренний аудит и понять какие и чьи персональные данные к вам попадают, каким способом, где и как долго вы их храните, что с ними делаете;

2) разработать локально-нормативные акты, устанавливающие и обеспечивающие безопасность обработки персональных данных;

3) проверить подавали ли вы ранее уведомление в Роскомнадзор

Переходите по этой ссылке, вводите свой ИНН и смотрите, что отобразилось.

Если вас нет в этом списке, то обязательно нужно подавать уведомление.

Если вы есть в этом списке, но сведения не актуальны, то обязательно нужно подавать уведомление о внесении изменений.

Если вы есть в этом списке, уведомление подано до декабря 2022 г. и у вас ничего не поменялось (в части обработки персональных данных), то нужно его подать все равно заново по новой форме.

Ещё в 2022 г. была принята норма, которая запрещает отказывать в заключении договора, если клиент отказывается предоставлять свои данные, которые непосредственно не связаны с исполнением договора.

Например, клиент обращается к вам за проектированием и установкой кухонного гарнитура, а вы просите у него еще предоставить контакты близких родственников на случай, если вы не будете отвечать на звонки и сообщения.

Или, например, вы не заключите договор, пока клиент не даст согласие на получение рекламных рассылок. Эта частая ошибка, которую я наблюдаю на сайтах: человек не может оформить заказ или зарегистрировать личный кабинет, пока не нажмет галочку в чек-боксе о том, что согласен на получения рекламных рассылок.

За такие случаи есть риск получить штраф до 1 000 000 рублей от ФАС, и даже уже есть кейсы. Один из них вы можете почитать в посте моего Telegram-канала. Основная мысль в том, что если человек вынужден согласиться на получение рекламы, лишь бы с ним заключили договор, то это нарушение закона.

Дополнительно к вышеназванному, будет еще новый штраф за отказ заключить, исполнить, изменить или расторгнуть договор с потребителем из-за того, что он не стал проходить идентификацию (аутентификацию) по биометрии. То есть вы не имеете право отказать в заключении договора, если клиент не хочет проходить идентификацию (аутентификацию) по биометрии, иное будет нарушением закона:

— штраф для ИП от 50 000 до 100 000 рублей;

— штраф для юридических лиц от 200 000 до 500 000 рублей.

1) пройдите сами пользовательский путь клиента и убедитесь, что вы не обязываете дать дополнительно согласие на рекламу или пройти идентификацию (аутентификацию) по биометрии

2) проверьте договоры. В них вы не должны собирать больше персональных данных, чем вам необходимо для исполнения договора, а также в них нет должно быть зашито согласие на получение рекламных рассылок.

Эл.почта: kurowa.snezhana@yandex.ru

Telegram-канал: Чепа | Заметки юриста

С заботой и любовью о вашем бизнесе!

#утечкаперсональныхданных #новыйзакон #штрафы