Почти год назад в Государственной думе было инициировано рассмотрение законопроекта, вносящего изменения в Кодекс об Административных Правонарушения РФ, в отношении нарушений, связанных с персональными данными. Несмотря на некоторую задержку в принятии законопроекта, новый созыв Государственной думы возобновил рассмотрение законопроекта и окончательно принял его, следуя тенденциям последних лет по усилению надзора над процессами обработки персональных данных. Законопроект также одобрен Советом Федерации и подписан Президентом.
Как мы уже сообщали ранее, изменения заключаются в установлении более узких составов правонарушений, а также в увеличении штрафов за соответствующие нарушения. Следует отметить, что итоговые суммы штрафов оказались меньше, чем предлагалось изначальным проектом.
Нарушение | Административные санкции |
Предупреждение | Минимальный и максимальный размеры штрафов для юр. лиц |
Несоблюдение требований к получению письменного согласия субъектов персональных данных | Не применяется | 15 000 руб. - 75 000 руб. |
Нарушение правил обеспечения сохранности при хранении материальных носителей данных (обрабатываемых без использования средств автоматизации) | Не применяется | 25 000 руб. - 50 000 руб |
Обработка персональных данных без законного основания или несовместимая с целями их сбора | Применяется | 30 000 руб. - 50 000 руб. |
Несоблюдение обязанности по уточнению, блокированию и уничтожению персональных данных по законному требованию субъекта данных или уполномоченного органа | Применяется | 25 000 руб. - 45 000 руб. |
Невыполнение обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных | Применяется | 20 000 руб. - 40 000 руб. |
Невыполнение обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике об обработке персональных данных и сведениям
о реализуемых требованиях к защите персональных данных | Применяется | 15 000 руб. - 30 000 руб. |
Новые изменения вступят в силу с 1 июля 2017 года.
Мы отмечаем, что предлагаемая редакция не содержит состава, связанного с нарушением требований о локализации персональных данных, что оставляет блокировку веб-сайта единственной мерой ответственности за подобные нарушения. Также неоднозначным остается вопрос расчета общей суммы штрафа, за один факт нарушения или за каждого субъекта персональных данных, который, вероятнее всего, будет разрешен в ходе правоприменения.
Мы рекомендуем компаниям, осуществляющим обработку персональных данных, осуществить аудит действующих процессов обработки данных на предмет соответствия требованиям законодательства до вступления в силу новых санкций.
Изменение перечня стран, обеспечивающих адекватную защиту персональных данных
Помимо изменения и пояснений, приведенных выше, Роскомнадзор также заявил о своем намерении актуализировать перечень стран, не являющихся членами Страсбургской Конвенции о защите физических лиц при автоматизированной обработке персональных данных, которые, по мнению Роскомнадзора, обеспечивают адекватный уровень защиты персональных данных.
По результатам анализа Роскомнадзор планирует внести изменения в действующий Приказ Роскомнадзора № 274 от 15 марта 2013 года, который в настоящий момент содержит 17 стран, включая Австралию и Канаду.
В случае принятия указанные изменения могут отразиться на международных компаниях, осуществляющих трансграничную передачу персональных данных, так как законодательство предъявляет более жесткие требования к трансграничной передаче данных. Следует отметить, что изменения могут быть как положительными, в случае включения в перечень дополнительных стран, так и отрицательными, если действующие государства будут исключены из списка.
02/2017
Почти год назад в Государственной думе было инициировано рассмотрение законопроекта, вносящего изменения в Кодекс об Административных Правонарушения РФ, в отношении нарушений, связанных с персональными данными. Несмотря на некоторую задержку в принятии законопроекта, новый созыв Государственной думы возобновил рассмотрение законопроекта и окончательно принял его, следуя тенденциям последних лет по усилению надзора над процессами обработки персональных данных. Законопроект также одобрен Советом Федерации и подписан Президентом.
Как мы уже сообщали ранее, изменения заключаются в установлении более узких составов правонарушений, а также в увеличении штрафов за соответствующие нарушения. Следует отметить, что итоговые суммы штрафов оказались меньше, чем предлагалось изначальным проектом.
Нарушение
Административные санкции
Предупреждение
Минимальный и максимальный размеры штрафов для юр. лиц
Несоблюдение требований к получению письменного согласия субъектов персональных данных
Не применяется
15 000 руб. - 75 000 руб.
Нарушение правил обеспечения сохранности при хранении материальных носителей данных (обрабатываемых без использования средств автоматизации)
Не применяется
25 000 руб. - 50 000 руб
Обработка персональных данных без законного основания или несовместимая с целями их сбора
Применяется
30 000 руб. - 50 000 руб.
Несоблюдение обязанности по уточнению, блокированию и уничтожению персональных данных по законному требованию субъекта данных или уполномоченного органа
Применяется
25 000 руб. - 45 000 руб.
Невыполнение обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных
Применяется
20 000 руб. - 40 000 руб.
Невыполнение обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике об обработке персональных данных и сведениям
о реализуемых требованиях к защите персональных данных
Применяется
15 000 руб. - 30 000 руб.
Новые изменения вступят в силу с 1 июля 2017 года.
Мы отмечаем, что предлагаемая редакция не содержит состава, связанного с нарушением требований о локализации персональных данных, что оставляет блокировку веб-сайта единственной мерой ответственности за подобные нарушения. Также неоднозначным остается вопрос расчета общей суммы штрафа, за один факт нарушения или за каждого субъекта персональных данных, который, вероятнее всего, будет разрешен в ходе правоприменения.
Мы рекомендуем компаниям, осуществляющим обработку персональных данных, осуществить аудит действующих процессов обработки данных на предмет соответствия требованиям законодательства до вступления в силу новых санкций.
Изменение перечня стран, обеспечивающих адекватную защиту персональных данных
Помимо изменения и пояснений, приведенных выше, Роскомнадзор также заявил о своем намерении актуализировать перечень стран, не являющихся членами Страсбургской Конвенции о защите физических лиц при автоматизированной обработке персональных данных, которые, по мнению Роскомнадзора, обеспечивают адекватный уровень защиты персональных данных.
По результатам анализа Роскомнадзор планирует внести изменения в действующий Приказ Роскомнадзора № 274 от 15 марта 2013 года, который в настоящий момент содержит 17 стран, включая Австралию и Канаду.
В случае принятия указанные изменения могут отразиться на международных компаниях, осуществляющих трансграничную передачу персональных данных, так как законодательство предъявляет более жесткие требования к трансграничной передаче данных. Следует отметить, что изменения могут быть как положительными, в случае включения в перечень дополнительных стран, так и отрицательными, если действующие государства будут исключены из списка.