itcom consult security academy expertiza
itcom consult security academy expertiza
+7 495 320 52 04 Обратный звонок
Оставить заявку
+7 495 320 52 04

Ужесточение требований к работе с персональными данными в 2021 году

19.05.2021
Информационная защита

Персональные данные – любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Зимой 2021 года был принят Федерального закона от 30.12.2020 № 519-ФЗ  “О внесении изменений в Федеральный закон «О персональных данных», из него следует, что правки будут вступать в него в два этапа: 1 марта и 27 марта 2021 г.

Изменения на 01.03.2021:

  1. Косвенно акцептующие действия человека, как бездействие и молчание, больше не могут рассматриваться как согласие на обработку персональных данных;
  2. Персональные данные, разрешенные для распространения, нужно оформлять оператором отдельно.  Должен быть предусмотрен перечень данных с возможностью выбора категории для дачи согласия на обработку
  3. Перечень персональных данных, разрешенных для распространения, должен содержать возможность выбора запретов на передачу этих персональных данных неограниченному кругу лиц.

Как прекратить передачу данных, разрешенных для распространения

Чтобы прекратить передачу персональных данных, субъекту нужно оформить требование оператору ПД с такой информацией: ФИО, контактные данные,  перечень персональных данных, обработку которых нужно прекратить.

Изменения на 27.03.2021:

С принятием  Федеральный закон от 24.02.2021 № 19-ФЗ, значительно увеличились штрафы за нарушения в работе с персональными данными.

Основные изменения:

  1. Ранее в законе была предусмотрена санкция в виде предупреждения за правонарушения в области обработки персональных данных, теперь сразу штраф.
  2. За повторное нарушение закона штраф увеличился, а состав правонарушения выделился как
  3. Ранее срок исковой давности составлял три месяца, а тетерь год.
ОснованиеРазмер штрафа
Обработка ПД в случаях, не предусмотренных законодательством и несовместимая с целями сбора ПД
  • Для физлиц: предупреждение или штраф — от 2 000 до 6 000 руб.
  • Для должностных лиц: предупреждение или штраф — от 10 000 до 20 000 руб.
  • Для юрлиц: предупреждение или штраф — от 60 000 до 100 000 руб.

При повторном нарушении

  • Для физлиц: от 4 000 до 12 000 руб.;
  • Для должностных лиц: от 20 000 до 50 000 руб.;
  • Для ИП: от 50 000 до 100 000 руб.;
  • Для юрлиц: от 100 000 до 300 000 руб.
Обработка ПД без письменного согласия субъекта
  • Для физлиц: от 6 000 до 10 000 руб.
  • Для должностных лиц: от 20 000 до 40 000 руб.
  • Для юрлиц: от 30 000 до 150 000 руб.

При повторном нарушении

  • Для граждан: от 10 000 до 20 000 руб.;
  • Для должностных лиц: от 40 000 до 100 000 руб.;
  • Для ИП: от 100 000 до 300 000 руб.;
  • Для юрлиц: от 300 000 до 500 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПД, или сведениям по защите ПД
  • Для физлиц: 1 500 до 3 000 руб.
  • Для должностных лиц: от 6 000 до 12 000 руб.
  • Для юрлиц: от 30 000 до 60 000 руб.
  • Для ИП: от 10 000 до 20 000 руб.
Непредоставление субъекту ПД информации по их обработке
  • Для физлиц: предупреждение или штраф — от 2 000 до 4 000 руб.
  • Для должностных лиц: предупреждение или штраф — от 8 000 до 12 000 руб.
  • Для юрлиц: предупреждение или штраф — от 40 000 до 80 000 руб.
  • Для ИП: предупреждение или штраф — от 20 000 до 30 000 руб.
Невыполнение требования субъекта ПД или его представителя об уточнении, блокировке, уничтожении (если ПД неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)
  • Для физлиц: предупреждение или наложение штрафа в размере от 2 000 до 4 000 руб.
  • Для должностных лиц: предупреждение или штраф — от 8 000 до 20 000 руб.
  • Для юрлиц: предупреждение или штраф — от 50 000 до 90 000 руб.
  • Для ИП: предупреждение или штраф — от 20 000 до 40 000 руб.

При повторном нарушении

  • Для граждан: от 20 000 до 30 000 руб.
  • Для должностных лиц: от 30 000 до 50 000 руб.
  • Для ИП: от 50 000 до 100 000 руб.
  • Для юрлиц: от 300 000 до 500 000 руб.
Неисполнение обязанности по сохранности ПД, что привело к неправомерному или случайному доступу к ПД и стало причиной их уничтожения, изменения, блокирования, копирования
  • Для физлиц: от 1 500 до 4 000 руб.
  • Для должностных лиц: от 8 000 до 20 000 руб.
  • Для юрлиц: от 50 000 до 100 000 руб.
  • Для ИП: от 20 000 до 40 000 руб.
Невыполнение государственным или муниципальным органом обязанности по обезличиванию ПД; несоблюдение требований по обезличиванию ПД
  • Для должностных лиц: предупреждение или наложение административного штрафа — от 6 000 до 12 000 руб.

Как избежать штрафов за 5 шагов для владельца сайта

Шаг 1. На сайте в кошках ввода персональных данных нужно установить поле «Даю согласие на обработку своих персональных данных» с возможностью установки отметки.

Шаг 2. Согласие на обработку персональных данных должно содержать гиперссылку на документ, в котором прописываются условия обработки .

Шаг 3. Подготовьте текст документа с условиями обработки ПД. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):

  • ФИО, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или ФИО и адрес оператора, получающего согласие субъекта ПД;
  • цель обработки ПД;
  • перечень ПД, на обработку которых субъект дает согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД;
  • срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва (если иное не установлено законом);
  • подпись субъекта ПД.

Шаг 4. Подготовьте Политику в отношении обработки персональных данных .

Шаг 5. Подайте уведомление об обработке ПД в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПД.

Уведомлять Роскомнадзор не нужно, если персональные данные относятся к субъектам, которых связывают с оператором трудовые отношения.

Новости по другим тэгам

БезопасностьИнформационная защита