На этом сайте используется Яндекс Метрика для анализа данных, связанных с использованием сайта.
Подробнее смотрите в Политике конфиденциальности.
Комментарии в СМИ
«Юристы объяснили ситуацию с обработкой персональных данных»
Кирилл Саськов, руководитель корпоративной и арбитражной практики АБ «Качкин и Партнеры» комментирует материал о новых штрафах за неправильную обработку персональных данных.
Наказание за утечку данных в РФ ужесточится с 30 мая 2025 года — начнут действовать новые штрафы и составы административных правонарушений. Бизнесу грозят санкциями за неуведомление РКН об обработке персональных данных.
В Роскомнадзоре предупредили, что в работе сервиса по приёму уведомлений о начале обработки персональных данных возможны сбои. Нагрузка на сайт ведомства возросла с менее тысячи до 150 000 таких обращений в день. Ажиотаж связан с тем, что с 30 мая увеличиваются штрафы за утечки персональных данных. Проблема заключается в том, что далеко не все граждане и организации в принципе понимают — должны ли они отчитываться перед Роскомнадзором, и если должны, то, как именно.
Владимир Путин подписал законы, ужесточающие наказание за утечки персональных данных ещё 30 ноября 2024 года. Первый документ предусматривает штрафы в зависимости от объёма утечки, допущенной оператором, и увеличивает их сумму до 5 миллионов и даже 10 миллионов рублей, а также вводит оборотный штраф за повторное правонарушение, напоминает «Интерфакс». Новые, существенно большие, чем прежде, штрафы, а также составы административных правонарушений начинают действовать с 30 мая 2025 года. Если почитать публикации в соцсетях и разъяснения некоторых экспертов, то может сложиться впечатление, что практически все юридические лица, ИП или самозанятые должны направить уведомление в Роскомнадзор, если производят обработку персональных данных с помощью компьютера или планшета. Причём даже если при помощи компьютера составляется договор, в котором есть персональные данные одной из сторон.
Продолжает адвокат, руководитель налоговой практики Адвокатского бюро CTL Павел Астапенко: «Наиболее удивительным для меня был ответ одного из специалистов, который посчитал необходимым для самозанятого, который учил детей танцам и записывал в телефон данные их родителей, чтобы быть с ними на связи, уведомлять Роскомнадзор. В качестве причины я вижу не очень удачную формулировку в законе о персональных данных, определяющую, что это такое. Закон определяет автоматизированную обработку персональных данных как «обработку персональных данных при помощи средств вычислительной техники». Ссылаясь на данную формулировку, большинство комментаторов считает, что использование в любой форме персонального компьютера или иной вычислительной техники при работе с персональными данными означает то, что эта обработка данных производится автоматизированным способом. На мой взгляд, такой подход не учитывает постановление правительства Российской Федерации от 15.08.2009 №687, в котором правительство чётко разграничивает автоматизированную обработку персональных данных по критерию непосредственного участия в такой обработке человека. Иными словами, если обработка персональных данных производится с непосредственным участием человека, то, даже если он при этом и пользуется персональным компьютером, это не означает, что обработка производится автоматизированным способом. Схожего подхода придерживается и свежая арбитражная практика».
Несмотря на то, что требование, касающееся обработки персональных данных, действует на протяжение нескольких лет, многие компании ограничивались тем, что публиковали на своих сайтах политику обработки персональных данных, при этом не принимая мер по обеспечению их безопасности. С большой долей вероятности, в ближайшее время РКН организует проверки тех организаций, которые не подали уведомление о начале обработки персональных данных.
Продолжает партнёр, руководитель корпоративной и арбитражной практики АБ «Качкин и Партнёры» Кирилл Саськов: «Таких компаний достаточно много. Скорее всего, первое пристальное внимание будет обращено на них. Исходя из известной, во всяком случае, мне установки, некоторые ошибки, неточности, огрехи в документах, принятых в компании и реализуемых компанией, по сравнению с требованиями законодательства, Роскомнадзор скорее всего не будет расценивать как прямое нарушение, вызывающее применение ответственности, а будет выдавать предписания об устранении. При этом компании, которые не предприняли необходимые шаги, скорее всего будут подвергаться административной ответственности, которая существенно увеличилась. Конечно, бизнесу необходимо хотя бы начать эту процедуру, обеспечить соблюдение требований законодательства о защите персональных данных. Прежде всего, это составление и принятие необходимых внутренних локальных актов, положений о порядке обработки персональных данных, политики, которая должна быть обязательным образом доведена до всех без исключения. Как правило, это делается через сайт».
Также организациям необходимо обеспечить защиту персональных данных. Юристы рекомендуют определить сотрудников, которые будут нести ответственность за их обработку. Причём разграничить ответственность с помощью локального нормативного акта: закрепить информацию о работниках исключительно за кадровой службой и, например, не смешивать персональные данные, с которыми работают бухгалтерия и отдел маркетинга.
Максим Морозов
Материал опубликован на сайте «Business FM» 29.05.2025
