По­вы­ше­ние от­вет­ствен­но­сти за на­ру­ше­ния в сфе­ре пер­со­наль­ных дан­ных

02/2017

Почти год назад в Государственной думе было инициировано рассмотрение законопроекта, вносящего изменения в Кодекс об Административных Правонарушения РФ, в отношении нарушений, связанных с персональными данными. Несмотря на некоторую задержку в принятии законопроекта, новый созыв Государственной думы возобновил рассмотрение законопроекта и окончательно принял его, следуя тенденциям последних лет по усилению надзора над процессами обработки персональных данных. Законопроект также одобрен Советом Федерации и подписан Президентом.

Как мы уже сообщали ранее, изменения заключаются в установлении более узких составов правонарушений, а также в увеличении штрафов за соответствующие нарушения. Следует отметить, что итоговые суммы штрафов оказались меньше, чем предлагалось изначальным проектом.

Нарушение

Административные санкции

Предупреждение

Минимальный и максимальный размеры штрафов для юр. лиц

Несоблюдение требований к получению письменного согласия субъектов персональных данных

Не применяется

15 000 руб. - 75 000 руб.

Нарушение правил обеспечения сохранности при хранении материальных носителей данных (обрабатываемых без использования средств автоматизации)

Не применяется

25 000 руб. - 50 000 руб

Обработка персональных данных без законного основания или несовместимая с целями их сбора

Применяется

30 000 руб. - 50 000 руб.

Несоблюдение обязанности по уточнению, блокированию и уничтожению персональных данных по законному требованию субъекта данных или уполномоченного органа 

Применяется

25 000 руб. - 45 000 руб.

Невыполнение обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

Применяется

20 000 руб. - 40 000 руб.

Невыполнение обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике об обработке персональных данных и сведениям
о реализуемых требованиях к защите персональных данных

Применяется

15 000 руб. - 30 000 руб.

Новые изменения вступят в силу с 1 июля 2017 года.

Мы отмечаем, что предлагаемая редакция не содержит состава, связанного с нарушением требований о локализации персональных данных, что оставляет блокировку веб-сайта единственной мерой ответственности за подобные нарушения. Также неоднозначным остается вопрос расчета общей суммы штрафа, за один факт нарушения или за каждого субъекта персональных данных, который, вероятнее всего, будет разрешен в ходе правоприменения.

Мы рекомендуем компаниям, осуществляющим обработку персональных данных, осуществить аудит действующих процессов обработки данных на предмет соответствия требованиям законодательства до вступления в силу новых санкций.

Изменение перечня стран, обеспечивающих адекватную защиту персональных данных

Помимо изменения и пояснений, приведенных выше, Роскомнадзор также заявил о своем намерении актуализировать перечень стран, не являющихся членами Страсбургской Конвенции о защите физических лиц при автоматизированной обработке персональных данных, которые, по мнению Роскомнадзора, обеспечивают адекватный уровень защиты персональных данных.
По результатам анализа Роскомнадзор планирует внести изменения в действующий Приказ Роскомнадзора № 274 от 15 марта 2013 года, который в настоящий момент содержит 17 стран, включая Австралию и Канаду.
В случае принятия указанные изменения могут отразиться на международных компаниях, осуществляющих трансграничную передачу персональных данных, так как законодательство предъявляет более жесткие требования к трансграничной передаче данных. Следует отметить, что изменения могут быть как положительными, в случае включения в перечень дополнительных стран, так и отрицательными, если действующие государства будут исключены из списка.

Источник
CMS client alert | Intellectual Property | February 2017
Подробнее

Авторы

Антон Банковский
Партнер
Москва
Vladislav Eltovskiy
Associate