Новые штрафы за нарушение закона о персональных данных: что делать бизнесу?

В РФ сохраняется тренд на повышенное внимание государства к соблюдению законодательства о защите персональных данных. Глава комитета Госдумы по бюджету и налогам Андрей Макаров предлагал закрепить в Конституции норму о кибербезопасности личности. Хотя президент Владимир Путин поддержал это предложение, на 5 марта в текст закона о поправках в Конституцию, подготовленного ко второму чтению, оно не вошло. Но и без этой поправки нарушение закона № 152-ФЗ «О персональных данных» наказывается чрезвычайно строго. Если несколько лет назад максимальный штраф за нарушение данного закона составлял 10 тыс. рублей, то на сегодня максимальный штраф может достигнуть 18 млн рублей.

Локализация персональных данных. В 2015 году вступили в силу требования по локализации персональных данных. Операторы, получающие информацию о пользователях сети, были обязаны систематизировать и хранить эти данных в базах данных, располагающихся на территории Российской Федерации (за исключением предусмотренных законом случаев). Появился и пример приостановки деятельности крупного международного ресурса в России в связи с невыполнением требования по локализации − Linkedin.

Ужесточение ответственности за нарушение закона. В 2017 году вступила в силу новая редакция профильной статьи Кодекса об административных правонарушениях. Вместо существовавшего ранее абстрактного состава правонарушения с санкцией 10 тыс. рублей была введена система мультиплицирования штрафов по различным составам административных нарушений в сфере обработки персональных данных. Штрафы по отдельным составам теперь могли достигать 50 − 75 тыс. рублей, а Роскомнадзор получил полномочия самостоятельно возбуждать производство по административным нарушениям.

Размер штрафа за отказ предоставить Роскомнадзору информацию о выполнении требования по локализации данных остался 3 тыс. рублей, но ведомство могло потребовать блокировки ресурса в России.

Штраф до 18 млн рублей за отказ локализовать базы данных. В 2019 году была резко усилена ответственность за нарушение требования о локализации персональных данных. В итоговой версии закона, подписанном Президентом РФ Владимиром Путиным 2 декабря 2019 г., размер административного штрафа для граждан установлен в размере от 30 до 50 тыс. рублей; для должностных лиц − от 100 до 200 тыс. рублей; для юридических лиц − от 1 до 6 млн рублей. Повторное нарушение влечет за собой штрафы: для граждан в размере от 50 до 100 тыс. рублей; для должностных лиц − от 500 до 800 тыс. рублей; для юридических лиц − от 6 до 18 млн рублей.

В пояснительной записке к закону необходимость усиления ответственности за локализацию данных была названа «приоритетом обеспечения информационной безопасности». В обоснование размера штрафов приводился зарубежный опыт: Германии, где штрафы за подобные нарушения установлены в размере 500 тыс. евро, Франции − штраф 30 тыс. евро, Великобритании − штраф 50 тыс. фунтов стерлингов.

Правоприменительная практика не заставила себя ждать. Уже в феврале 2020 года суд наложил штраф в размере 4 млн рублей на компанию Facebook, такой же размер штрафа был наложен и на компанию Twitter.

Как не попасть под штраф

Прежде всего, необходимо осознать факт − эра расслабленного отношения к вопросам обработки персональных данных завершилась. Компаниям необходимо обеспечивать соответствие своих бизнес-процессов требованиям закона. Роскомнадзор регулярно проводит проверки компаний на предмет соблюдения требований закона о персональных данных.

Руководству компании важно четко понимать:

• какие конкретно данные компания собирает,
• от какой категории субъектов,
• для каких целей,
• как хранит,
• как регламентирует сбор данных.

Цели сбора персональных данных должны быть совместимы с существующей в компании моделью обработки таких данных. Например, если происходит маркетинговая рассылка, необходимо проанализировать, на каком правовом основании она происходит, и выражал ли адресат согласие на ее получение.

Один из приоритетных моментов: каким образом компания получает согласие гражданина на обработку персональных данных; содержит ли такое согласие достаточный набор сведений; и не носит ли оно избыточный характер. Ювелирная выверка политики обработки персональных данных спасет компанию от штрафов.

Ссылка на документ, в котором описываются все моменты работы с персональными данными, должен обязательно присутствовать на каждом сайте компании. Отсутствие такой ссылки – отдельное правонарушение.

Если российский офис компании передает персональные данные за рубеж (например, сообщает их материнской компании) – должны быть соблюдены требования к трансграничной передаче данных.

Следует также не забыть про разработку эффективного механизма реагирования на запросы субъектов персональных данных. Невнимательность к требованию, например, удалить персональные данные человека чревата неприятностями.

Исключение несанкционированного доступа к базам персональных данных − особая тема. Обеспечить его нередко не удается даже самым крупным компаниям. К этой проблеме рекомендуется подойти с максимальной серьезностью и максимально возможным уровнем бюрократического формализма. При утечке персональных данных первым делом проверяют наличествующую документацию − инструкции, сертификаты, допуски, росписи сотрудников в журнале. Документарно подтвержденное соблюдение закона о персональных данных может служить залогом минимизации рисков в этой сфере.

Кто отвечает за персональные данные

Нередко сбои в защите персональных данных возникают потому, что никто в компании персонально не отвечает за данный вопрос. Не у всех есть ресурсы, чтобы ввести в штатное расписание позицию сотрудника, уполномоченного для работы с персональными данными, и его специальную подготовку. В этом случае имеет смысл провести обучение всех сотрудников компании принципам работы с персональными данными, и в дальнейшем регулярно напоминать об этом с помощью лекций, семинаров и другими способами. На проверяющих может произвести приятное впечатление стенд наглядной агитации с призывом соблюдать конфиденциальность персональных данных.

Оценка возможных потерь в случае проверки со стороны контролирующего органа и обнаружения нарушений в работе с персональными данными может помочь принять правильное решение о формализации работы в этой сфере. Например, можно осуществить регулярные тренинги сотрудников для цели повышения компетенции в работе с персональными данными, что будет направлено на снижение рисков нарушения законодательства. Более надежно регулярное проведение аудита работы с персональными данными сторонней компанией, специализирующейся на защите данных.

В договор с компаний, обслуживающей базы данных, полезно включить отдельный пункт о хранении баз персональных данных на территории РФ. Проверить, где оператор хранит данные, неспециалисту и без должного уровня доступа практически невозможно. Пункт в договоре о хранении данных в РФ может минимизировать риски.

Адаптирование деятельности компании в части её соответствия законодательству о персональных данных приходится проводить индивидуально для каждой компании в зависимости от принятых в компании бизнес-процессов. При этом у компаний из близких сфер бизнеса основные методы защиты данных зачастую близки по содержанию. Учет имеющихся бизнес-кейсов и привлечение квалифицированных юридических консультантов в данной сфере позволить сэкономить деньги и минимизирует риски штрафов.