Метка: реестр операторов персональных данных

С начала этого года участились проверки Роскомнадзором компаний, которые внеслись в Реестр операторов персональных данных. Проверки эти проходят в режиме «лайт» и называются профилактическими визитами. Формат профвизитов введен уже не первый год и до 01.01.2030 года Постановлением Правительства РФ от 10.03.2022 N 336 установлены некоторые особенности направления обращений и проведения профилактических визитов.

Если Вы получили уведомление о предстоящем профвизите инспектора Роскомнадзора, то причин для беспокойства и тревоги у Вас нет, но необходимо к нему подготовиться и внимательно ознакомиться с предусмотренным законом порядком проведения профилактических визитов, чтобы знать, что от Вас будут требовать, что Вы обязаны делать и какие у Вас есть права, которые никто не должен нарушать.

Согласно ст. 52 Федерального закона 248-ФЗ от 31.07.2020 «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации», профилактический визит проводится инспектором в форме профилактической беседы. Такая беседа может проводиться как с выездом к Вам в офис, так и дистанционно, путем использования видео-конференц-связи. Чаще всего это проходит именно в формате видео-конференц-связи. Для участия в ней Вам будет прислана ссылка с указанием даты и времени мероприятия. В ходе профилактического визита Вы будете проинформированы об обязательных требованиях, по Вашему виду деятельности и объектах контроля, о рекомендуемых мерах по снижению категории риска и т.д. Во время беседы Вы сможете задать любые вопросы инспектору, что может оказаться для Вас особенно полезно и бесплатно. Поэтому не упустите возможность и заранее продумайте все интересующие Вас темы. Также следует учесть, что в ходе визита инспектор может осуществляться сбор сведений, необходимых для отнесения Ваших объектов контроля к категориям риска. Данную информацию инспектор подчерпнет, в частности, из документов, которые, Вы должны будете направить в Роскомнадзор. Перечень данных документов будет содержаться в уведомлении о профвизите. Изучив Ваши документы, Роскомнадзор может написать вам рекомендации по их исправлению, дополнению или изменению. А по результатам беседы в Ваш адрес будут направлены соответствующие рекомендации в виде акта, в котором будут указаны замечания и недостатки, выявленные в ходе проведения профилактического визита. Данные рекомендации Вам потребуется исполнить.

Следует отметить, что о проведении обязательного профилактического визита Вы должны быть уведомлены не позднее чем за 5 рабочих дней до даты его проведения. Если уведомление было направлено позднее, то Вы можете попросить перенести профилактический визит на более позднюю дату, сославшись на п. 5 ст. 52 Федерального закона 248-ФЗ. Более того, Вы имеете полное право отказаться от проведения обязательного профилактического визита, уведомив об этом Роскомнадзор не позднее чем за 3 рабочих дня до даты его проведения.

Очевидно, что проведение обязательных профилактических визитов – это попытка государства перейти от формата проверок с последующим обязательным наказанием за выявленные недостатки, к другому более мягкому и человечному формату рекомендаций, советов и консультаций. Поскольку отношения между бизнесом и проверяющими органами никогда не были доверительными, то пока ожидать, что предприниматели сами проявят инициативу и обратятся за помощью, надзорным органам не приходится. По этой причине упомянутый закон предусматривает, что контрольный орган обязан предложить проведение профилактического визита лицам, приступающим к осуществлению деятельности в определенной сфере, не позднее чем в течение 1 года с момента начала такой деятельности. Порядок и сроки проведения обязательного профилактического визита устанавливаются положением о виде контроля. Более того, Вы сами вправе обратиться в надзорный орган с заявлением о проведении в отношении Вас профилактического визита, в ходе которого сможете получить все необходимые Вам консультации и разъяснения совершенно бесплатно. Ответ на Ваше обращение будет предоставлен Вам в течение 10 рабочих дней. Ответом может быт обоснованный отказ, основания для которого указаны в п. 12 Закона. В случае положительного решения Роскомнадзор в течение 20 рабочих дней согласует с Вами дату проведения профилактического визита.

При проведении профилактического визита инспектор не может выдавать предписания об устранении нарушений обязательных требований. Все его разъяснения, полученные от Вас в ходе профилактического визита, носят только рекомендательный характер. И только в случае, если при проведении профилактического визита установлено, что объекты контроля представляют явную непосредственную угрозу причинения вреда/ущерба охраняемым законом ценностям или такой вред/ущерб причинен, инспектор незамедлительно направляет информацию об этом уполномоченному должностному лицу контрольного органа для принятия решения о проведении контрольных/надзорных мероприятий.

Юрист, специалист по судебной защите

группы компаний Объединенные Юристы.

В Госдуму внесены два проекта поправок в Уголовный Кодекс РФ и Кодекс об Административных Правонарушениях РФ, которыми предлагается существенно увеличить ответственность за незаконную передачу и распространение персональных данных.

Предлагается дополнить ст. 272.1 УК следующими штрафами. За незаконные использование и передачу (распространение, предоставление, доступ), сбор и хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем, за исключением деяний, совершенных в отношении компьютерной информации, содержащей персональные данные, предлагается наказывать штрафом до 300 000 рублей  либо принудительными работами на срок до 4 лет, либо лишением свободы на аналогичный срок. Если компьютерная информация содержит специальные категории персональных данных и биометрические персональные данные, то наказание будет в виде штрафа до 700 000 рублей или в размере зарплаты или иного дохода осужденного за период до 1 года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового либо принудительных работ на срок до 5 лет, либо лишения свободы на тот же срок.

Если деяния совершены из корыстной заинтересованности или же повлекли причинение крупного ущерба, или совершены группой лиц по предварительному сговору или с использованием своего служебного положения, то максимальный штраф будет равен 1 000 000 рублей или зарплате, или иному доходу осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового. Альтернативное наказание – принудительные работы на срок до 5 лет либо лишение свободы на срок до 6 лет. Оба наказания предусматривают штраф в размере до 1 000 000 рублей или иного дохода осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового.

В случае, если вышеуказанные деяния сопряжены с трансграничной передачей компьютерной информации, содержащей персональные данные, или трансграничным перемещением носителей, содержащих такие данные, лишение свободы максимум составит 8 лет, а штраф – 2 000 000 рублей с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 4 лет или без такового. Под трансграничным перемещением носителей, содержащих указанную в статье компьютерную информацию, понимается совершение действий по ввозу на территорию России и вывозу с территории России машиночитаемого носителя информации, на котором записана информация, содержащая персональные данные.

Тяжкие последствия или совершение деяния организованной группой будет наказываться лишением свободы на срок до 10 лет со штрафом в размере до 3 000 000 рублей или в размере зарплаты или иного дохода осужденного за период до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового. Под тяжкими последствиями понимаются временная приостановка или нарушение работы оператора персональных данных, нарушение целостности информационной системы персональных данных, распространение компьютерной информации, содержащей персональные данные, неограниченному кругу лиц, предоставление или доступ к ней третьим лицам с целью причинения вреда жизни, здоровью, имуществу, правам и законным интересам человека и гражданина, ущерба обороне или безопасности государства, охране правопорядка и иным охраняемым федеральными законами ценностям.

Создание и обеспечение функционирования информационных ресурсов, заведомо предназначенных для незаконного хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей персональные данные, предлагается наказывать штрафом до 700 000 рублей или в размере зарплаты или иного дохода осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 2 лет или без такового. К вышеуказанному могут добавиться принудительные работы или лишение свободы.

При этом, планируется особо указать, что ее действие не распространяется на случаи обработки персональных данных физлицами для личных и семейных нужд.

Одновременно предлагается ввести административную ответственность за неисполнение обязанности по уведомлению Роскомнадзора в случае «утечки персональных данных» и за несокращение перечня исключений, когда оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных.

Статью 13.11 «Нарушение законодательства Российской Федерации в области персональных данных» КоАП РФ предлагается дополнить новыми составами правонарушений, предусматривающими установление административной ответственности за утечки баз данных, содержащих персональные данные. Так, в зависимости от объема «утекшей» информации законопроектом предлагается установление следующей градации ответственности:

• информация, включающая персданные от 1 до 10 000 субъектов персональных данных, и от 10 до 100 000 уникальных обозначений сведений о физлицах, необходимых для определения таких лиц (далее – идентификаторы);
• информация, включающая персданные от 10 до 100 000 субъектов, и от 100 000 до 1 000 000 идентификаторов;
• информация, включающая персданные более 100 000 субъектов, и более 1 000 000 идентификаторов.

За утечку специальных категорий персональных данных, относящихся к наиболее чувствительным данным, предполагается установление повышенных административных штрафов до 300 000 рублей для юридических лиц. А за повторные правонарушения, выражающиеся в серьезной «утечке» персональных данных, предусматриваются санкции в виде оборотных штрафов. Оборотные штрафы – это размер суммы, которую нужно заплатить при нарушении правил (исчисляется из общей выручки компании за год).

Отдельно оформляется ответственность за другие нарушения, ранее не выделявшиеся в специальные нормы. Самые высокие штрафы предусмотрены за нарушения, связанные с утечками – неправомерным раскрытием массивов персональных данных. В зависимости от того, данные о каком количестве человек были раскрыты, отличается и размер ответственности. Самый большой штраф предусмотрен за утечку данных о более 100 000 субъектов персональных данных. Размер штрафа для юридических лиц – от 10 до 15 000 000 рублей.

Во избежание штрафов позаботьтесь о своевременном включении своей компании в реестр операторов по обработке персональных данных и подготовьте пакет документов, который обязан быть у каждого оператора персональных данных, соответственно осуществляемому виду деятельности. Это, в случае привлечения Вас к ответственности за серьезное правонарушение в области обработки персданных, будет свидетельствовать о Вашей добросовестности и законопослушании и даст шанс получить минимальный штраф из возможного.

Мы готовы оказать как помощь во включении Вашей компании в реестр операторов персональных данных и подготовке пакета документов по сопровождению деятельности по обработке персональных данных, так и юридическую поддержку в оспаривании постановлений об административном правонарушении в области обработки персональных данных.

Юрист, специалист по судебной защите

группы Объединённые Юристы.