В какие сроки оператор должен ознакомить по запросу работника с информацией о наличии пдд

В какие сроки оператор должен ознакомить по запросу работника с информацией о наличии пдд
Автор На чтение 21 мин Просмотров 22 Обновлено
Содержание

Казалось бы, есть всего один закон 152-ФЗ о персональных данных. Но в нем все так описано, что тонут даже юристы. Не всегда понятно, может ли работодатель не уведомлять Роскомнадзор, когда нужно согласие работника на обработку персональных данных, а когда можно работать без него. Нужно ли согласие на обработку от соискателя.

  • Что считается персональными данными работника
  • Как наказывают работодателей и кадровиков за нарушения в работе с персональными данными
  • Должен ли работодатель уведомлять Роскомнадзор
  • Когда не нужны согласия на обработку персональных данных
  • Сколько хранить согласия о персональных данных
  • Могут ли согласия на обработку быть электронными
  • Частые вопросы
  • Проверьте себя и пройдите тест

Что считается персональными данными работника

Персональные данные — это ФИО работника, ИНН, СНИЛС, телефон, размер зарплаты и даты рождения его детей. Это любая информация, прямо или косвенно относящаяся к сотруднику, как указано в ст. 3 закона о персональных данных 152-ФЗ. Даже просто ФИО «Иванов Иван Иванович» без даты рождения или номера телефона Роскомнадзор считает персональными данными.

В какие сроки оператор должен ознакомить по запросу работника с информацией о наличии пдд

Кадровик сталкивается с персональными данными, когда получает резюме соискателя, сообщает охраннику данные кандидата для оформления пропуска, заполняет трудовой договор или отправляет СЗВ-ТД в Пенсионный фонд.

Любые действия кадровика с персданными работника называются обработкой персональных данных. По п. 3 ст. 3 закона о персданных обработка персданных включает в себя сбор, запись, систематизацию, использование, распространение, удаление данных.

Дополнить Политику обработки персональных данных и локальные акты

Оператор — юридическое лицо обязан разработать собственную Политику в отношении обработки персональных данных (ПД) и другие локальные акты в этой сфере. Этот документ должен быть доступен неограниченному кругу лиц.

С 1 сентября 2022 года Политика прямо привязана к целям обработки персональных данных. По закону от 27.07.2006 № 152-ФЗ оператор может работать только с той личной информацией граждан, которая:

  • нужна ему для выполнения обязательств перед субъектом ПД — например, по договору оказания услуг, трудовому договору;
  • необходима по требованиям законодательства — например, для подачи отчётности по пенсионному страхованию, налогам.

На основании своих видов деятельности оператор формулирует конкретные цели обработки ПД. По каждой из них он указывает в Политике категории и перечень персональных данных, категории субъектов, способы и сроки действий с личной информацией.

В связи с новшествами все операторы должны:

  1. Изменить Политику с учётом п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ . Разместить новый документ в открытом доступе.
  2. Составить реестр персональных данных, сгруппированный по целям обработки.

Политику и локальные акты издают только юрлица. Но все операторы, включая ИП и самозанятых, должны сообщать по запросу субъекту ПД сведения из ч. 7 ст. 14 закона № 152-ФЗ , в том числе:

Работа с персональными данными в 2023 году: новые требования и оборотные штрафы

  • подтверждение факта обработки ПД оператором;
  • правовые основания и цели обработки персональных данных;
  • применяемые оператором способы обработки ПД;
  • наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
  • обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения.

Чтобы было удобнее это делать, имеет смысл разработать документ, аналогичный Политике обработке ПД, всем операторам. Если ОПД не предоставит сведения по запросу, ему грозит штраф по п. 4 ст. 13.11 КоАП : до 30 000 рублей для ИП и до 80 000 рублей для юрлиц.

Срок ответа на обращение гражданина ограничен. Кроме того, п. 3 ст. 13.11 КоАП предусматривает штраф для ИП за необеспечение неограниченного доступа к сведениям о реализуемых требованиях к защите ПД от 20 000 до 30 000 рублей.

Подарок для наших читателей — практическое пособие по подготовке отчётности в ПФР, ФСС и ИФНС в 2022 году от экспертов интернет-бухгалтерии «Моё дело» . 62 страницы подробнейших инструкций с примерами заполнения форм.

Отчётность в ИФНС, ПФР и ФСС в 2022 году

практическое пособие для работодателя

Как проверяет Роскомнадзор

По виду, проверка Роскомнадзора по персональным данным как регулятора, может быть документарной или выездной.

Документарная проверка

Документарная проверка (запрос документов) может быть только плановой. В Организацию приходит письмо от местного управления Роскомнадзора с какими-либо требованиями. Это может быть запрос на предоставление по почте копии организационно-распорядительной документации (ОРД) по обработке персональных данных, модели угроз и т.п. Указанные документы представляются в виде копий, заверенных печатью (при ее наличии) и подписью руководителя оператора или уполномоченного представителя. В случае подачи документов в электронном формате, они должны быть подписаны усиленной квалифицированной электронной подписью.

Ответ Роскомнадзору следует дать в сроки, указанные в письме, обычно это 5 рабочих дней со дня получения запроса. Несвоевременный ответ влечет за собой предупреждение или наложение административного штрафа (для юридических лиц от 3000 – 5000 руб.) по статье 19.7 КоАП РФ «Непредставление или несвоевременное представление сведений информации в государственный орган (должностному лицу)».

В том случае, если в ходе документарной проверки выявлены ошибки, противоречия в представленных оператором документах, об этом направляется оператору ПДн соответствующий запрос с требованием представить в течение 3 рабочих дней необходимые пояснения в письменной форме или в форме электронного документа.

В случае непредставления оператором документов и пояснений в установленные сроки, орган по контролю и надзору издает приказ о проведении выездной проверки.

Выездная проверка

Сотрудники Роскомнадзора проводят проверку непосредственно в Организации. Первым делом проверяющие предъявляют должностные удостоверения, приказ о назначении выездной проверки с полномочиями должностных лиц, проводящих проверку, а также с целями, основаниями, задачами.

До начала проверки представители регулирующего органа предъявляют письменный запрос о предоставлении необходимых документов (приказы, инструкции, политики, положения, модель угроз) для проведения проверочных мероприятий. Все документы должны быть заверены.

После ознакомления с составом документов, проверяющие могут просить направить им копии для изучения или предоставить помещение, где будут детально изучать документы.

Очень важно оказывать содействие проверяющим: предоставлять доступ к помещениям, не препятствовать проведению проверки.

По итогам проверки устанавливается факт отсутствия нарушений или их наличие с указанием нормативных актов, которые были нарушены. Составляется акт в двух экземплярах, прикладываются протоколы, справки, пояснения оператора и иные документы, подтверждающие результаты проверки. Спорный акт можно обжаловать.

План успешной проверки

Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления документов, связанных с информационным направлением, или воспользоваться услугами стороннего эксперта.

В качестве плана подготовки к проверке Роскомнадзора предлагается взять за основу следующую последовательность действий:

Обеспечить защиту персональных данных субъектов ПДн.

  1. Определить категории ПДн, которые обрабатываются оператором, их количество и тип субъекта ПДн (сотрудник/сторонний человек).
  2. Определить уровень защищенности персональных данных.
  3. Сформировать акты определения УЗ. Согласовать с назначенной приказом комиссией по определению УЗ.
  4. Определить перечень ИС, в которых ведется обработка персональных данных, утвердить перечень приказом.
  5. Определить перечень лиц, которые имеют доступ к ПДн и работают в информационной системе персональных данных (ИСПДн). Назначить их приказом назначить ответственных за работу с ПДн.
  6. Определить актуальные угрозы ИБ ПДн, выявить актуальные категории нарушителей. Разработать модель угроз.
  7. Определить меры по защите ПДн, учитывающие требования к УЗ и позволяющие нейтрализовать актуальные угрозы ИБ. Адаптировать базовый набор мер по защите ПДн.
  8. Подобрать средства защиты. Разработать проект системы защиты информации.
  9. Установить и настроить средства защиты информации. Разработать эксплуатационную документацию.
  10. Разработать пакет ОРД по обработке ПДн. Документы должны быть персонализированы под конкретную организацию и ИСПДн. Должна быть учтена как автоматизированная, так и неавтоматизированная обработка ПДн. Подробнее о составе пакета ОРД мы расскажем в одном из следующих материалов.
  11. Провести оценку эффективности средств защиты информации (СЗИ).
  12. Проводить пересмотр модели угроз раз в 3 года.

Дорожная карта Оператора по обеспечению защиты ПДн

Обеспечить соблюдение организационных мероприятий при взаимодействии с Роскомнадзором:

  1. Проверить наличие и актуальность уведомления об обработке персональных данных в Роскомнадзор. Возможно, внести корректировки. Уведомление должно быть направлено перед началом работы с данными.
  2. Проверить наличие и доступность для субъектов ПДн политики в области обработки персональных данных (разместить на сайте Организации)
  3. Подготовить сотрудников Организации к проверке. Сотрудники должны быть ознакомлены с нормативной документацией по обработке ПДн и установленными правилами поведения.
  4. Проверить правильность хранения, обеспечения конфиденциальности документов, содержащих ПДн.
  5. Вести себя корректно с проверяющими.

Есть сомнения что сможете пройти проверку? Нет специалистов для выполнения требований законодательства? Мы решим эти и другие вопросы по персональным данным.

Выполнение требований 152-ФЗ

Формально ОПД сам определяет, какие именно мероприятия он будет проводить для защиты персональных данных (ч. 1 ст. 18.1 152-ФЗ). Но на практике почти все операторы выполняют перечисленные в статье 18.1 обязанности:

  • принимают организационные и технические меры по обеспечению безопасности ПД (ст. 19 152-ФЗ, Постановление Правительства от 01.11.2012 № 1119);
  • проводят внутренний аудит;
  • оценивают вред, который может быть причинен субъекту ПД при нарушении законодательства, соотносят его с принимаемыми мерами;
  • ознакамливают работников, занятых обработкой ПД, с нормативными требованиями и локальными актами.

Операторы-юрлица назначают ответственного за организацию обработки ПД. Этот сотрудник будет проводить внутренний аудит, обеспечивать рассмотрение обращений субъектов ПД, доводить до работников нормативные требования.

Также юрлица издают Политику оператора и внутренние документы по обработке ПД.

В 152-ФЗ нет требования о разработке локальных нормативных актов. Но такая норма есть в Трудовом кодексе. Работодатель должен издать с учетом мнения профсоюза порядок обработки ПД сотрудников и ознакомить с ним всех работников с (п. 8 ст. 86, ст.

88 ТК РФ).

С 1 сентября 2022 года ОПД к Политике и локальным актам появились новые требования (ст. 1 266-ФЗ). Оператор указывает по каждой цели обработки:

  • категории и перечень ПД;
  • категории субъектов;
  • способы, сроки обработки и хранения;
  • порядок уничтожения ПД при достижении целей.

Политика и локальные акты не могут ограничивать права субъекта ПД, а также наделять ОПД дополнительными полномочиями (п. 2 ч. 1 ст. 18.1 152-ФЗ).

Операторам нужно актуализировать свои внутренние документы на предмет соответствия требованиям новой редакции 152-ФЗ. В 2022 году действует мораторий на плановые проверки Роскомнадзора, но на внеочередные визиты по жалобе от гражданина он не распространяется.

Оператор обеспечивает открытый доступ к своей Политике, в том числе публикует ее на своем сайте.

Примерный перечень документов оператора-юрлица в 2022 году может выглядеть так:

  1. Политика обработки ПД.
  2. Приказ о назначении ответственного за организацию работ.
  3. Реестр персональных данных.
  4. Положение о защите ПД работников.
  5. Формы согласия на обработку, типовых договоров с клиентами, уведомлений субъектов ПД и Роскомнадзора.
  6. Положение о работе с персональными данными.
  7. Регламент взаимодействия с ГосСОПКА.

Соблюдение прав субъектов ПД

Гражданин свободно принимает решение о предоставлении личных сведений оператору и дает согласие на их обработку (ч. 1 ст. 9 152-ФЗ). Из этого следуют обязанности оператора:

  1. Получать ПД только законным путем. Не собирать избыточную информацию о гражданине, несовместимую с целями сбора (ст. 5 152-ФЗ). Наглядный пример: по общему правилу работодатель не может требовать от кандидата на вакансию сведения о вероисповедании, беременности, принадлежности к политической партии.
  2. Не объединять базы ПД, обрабатываемых в несовместимых целях (ст. 5 152-ФЗ). Данные работников следует вести отдельно от сведений о подписчиках на рекламную рассылку.
  3. При сборе ПД информировать гражданина о том, для чего будут использоваться и где храниться его данные (ч. 7 ст. 14 152-ФЗ).
  4. Разъяснить физическому лицу юридические последствия отказа от предоставления согласия или ПД, если они обязательны по закону (ч. 2 ст. 18 152-ФЗ). Это требование действует с 1 сентября 2022 года, поэтому компаниям лучше подготовить типовой шаблон разъяснений, чтобы их сотрудники по незнанию не нарушили права гражданина.
  5. Получать ПД непосредственно от владельца, если иное не установлено законодательно. При сборе личных сведений от третьих лиц оператор должен сообщить об этом субъекту, кроме случаев по ст. 18 152-ФЗ. Форму уведомления оператор устанавливает самостоятельно.
  6. Получать согласие гражданина, если это требуется по закону (ч. 1 ст. 6, ч. 3 ст. 9 152-ФЗ). Доказывать наличие правовых оснований для действий с ПД. Часть операций с личной информацией выполняется только с согласия субъекта, например, обработка данных о национальности, состоянии здоровья (п. 1 ч. 2 ст. 10 152-ФЗ).

С 1 сентября 2022 года добавились требования о предметности и осознанности согласия. Оператору придется чаще запрашивать документ у физлица. Предметность — это соответствие содержания согласия конкретной цели. Например, заполнение анкеты соискателя на вакансию нельзя объединять с получением контактов для рекламной рассылки. Осознанность — доказанное намерение физического лица дать согласие на отдельное действие: его подпись, плюсик, галочка и другие отметки.

Субъект ПД имеет право отозвать согласие на обработку. В этом случае оператор может продолжить действия с личными сведениями только при наличии правовых оснований. Если их нет, ОПД прекращает обработку ПД в течение 30 дней с даты поступления отзыва (ч. 5 ст. 21 152-ФЗ).

Срок в 30 дней не распространяется на случаи прямых контактов с потенциальными покупателями в маркетинговых целях. Это, например, рекламные рассылки на E-mail. Их можно проводить только с предварительного согласия субъекта ПД, а при отзыве согласия прекращать немедленно (ст. 15 152-ФЗ).

Субъект имеет право получать информацию от оператора о своих личных данных. ОПД обязан ответить на его запрос в течение 10 рабочих дней. Срок можно продлить не более чем на пять рабочих дней при условии письменного уведомления гражданина. Ответ на запрос субъекта ПД высылают в той же форме, в какой был получен запрос, если иное не указано в самом обращении (ч. 3 ст.

14 152-ФЗ).

Отчитывайтесь легко и без ошибок

Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!

Предоставление информации в Роскомнадзор и субъекту ПДн

Ранее было установлена обязанность оператора предоставлять запрашиваемую информацию в Роскомнадзор в течение 30 дней с даты получения запроса. Теперь срок сократили до 10 рабочих дней (п. 4 ст. 20 закона 152-ФЗ). Продлить срок можно на 5 рабочих дней.

Для этого оператор должен направить в Роскомнадзор мотивированное уведомление, в котором указать причины продления срока.

Оператор должен предоставить субъекту ПДн информацию об обрабатываемых персональных данных, при условии, что субъект обратится с соответствующим запросом. Ранее срок для предоставления информации установлен не был. Сейчас оператору дается 10 рабочих дней на предоставление запрашиваемой информации (п. 3 ст. 14 закона 152-ФЗ).

Срок также можно продлить на 5 рабочих дней при условии предоставления субъекту уведомления о причинах продления срока.

Оператор должен представить запрашиваемые сведения по той же форме, что субъект направил запрос. Это правило действует, если субъект ПДн в запросе самостоятельно не определил в какой форме он планирует получить информацию.

«Такском» предлагает сотрудникам организаций и гражданам (физлицам) электронные подписи для любых задач

Как передать обработку ПД третьим лицам

Операторы при определённых условиях могут поручить обработку ПД третьим лицам (ч. 3 ст. 6 Закона № 152-ФЗ). Для этого нужно заключить соответствующий договор. Также обработка может производиться на основе акта государственного или муниципального органа или на основании поручения оператора персональных данных.

В акте необходимо указать:

  • перечень обрабатываемых персональных данных;
  • обязанность третьего лица предоставлять по запросу оператора ПД в течение срока действия поручения документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по их защите;
  • обязанность третьего лица соблюдать требования ч. 5 ст. 18, ст. 18.1 Закона № 152-ФЗ, возлагаемые на оператора ПД;
  • обязанность третьего лица уведомить оператора ПД о случаях неправомерной или случайной передачи персональных данных в сроки, установленные ч. 3.1 ст. 21 Закона № 152-ФЗ (в те же сроки оператор обязан уведомить об инциденте Роскомнадзор).

Правила обработки ПД работают и в отношении иностранных организаций и физлиц (ч. 1.1 ст. 1 Закона № 152-ФЗ). Положения закона применяются к случаям, когда ПД граждан РФ обрабатываются на основании договора (соглашения) или на основании согласия гражданина на обработку ПД.

Ответственность перед субъектом ПД при этом несёт как само обрабатывающее ПД лицо, так и оператор ПД (ч. 6 ст. 6 Закона № 152-ФЗ).

Когда следует прекратить обработку ПД

По общему правилу, оператор ПД должен в течение 10 рабочих дней обеспечить прекращение обработки ПД при обращении субъекта ПД с таким требованием.

Срок можно продлить, но не более чем на пять рабочих дней. Для этого оператор должен направить в адрес субъекта ПД мотивированное уведомление с указанием причин продления срока (ч. 5.1 ст. 21 Закона № 152-ФЗ).

Технические меры при обработке персональных данных

Перечень технических мер для операторов, обрабатывающих данные в ИСПДн, регламентирован приказами органов-регуляторов:

  • приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • приказом ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации».

Перечисленные акты носят технический характер и адресованы преимущественно специалистам в области информационной безопасности. В состав таких мер включены:

  • идентификация и аутентификация субъектов доступа и объектов доступа;
  • защита машинных носителей персональных данных, антивирусная защита;
  • и др.

Также оператор должен разработать и применять физические меры защиты персональных данных, например, оборудовать помещение, где хранятся персональные данные, запирающимися замками. По запросу Роскомнадзора оператор обязан представить документы или иным образом подтвердить принятие мер защиты (часть 4 статьи 18.1 ФЗ №152-ФЗ).

Помимо принятия мер защиты оператор обязан проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения требований закона (подпункт 5 части 1 статьи 18.1 ФЗ № 152-ФЗ). Требования к оценке установлены в приказе Роскомнадзора от 27.10.2022 №178 [10] . По результатам оценки составляется Акт оценки вреда, в котором указывается степень вреда: высокая, средняя или низкая.

Оператор обязан осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных законодательству и локальным актам оператора. Порядок аудита утверждают отдельным локальным актом или включают в Положение о защите персональных данных.

За невыполнение обязанности по сохранности персональных данных при обработке персональных данных без использования средств автоматизации, если это повлекло неправомерные действия в отношении персональных данных, оператора могут привлечь к ответственности по части 6 статьи 13.11 КоАП РФ. Штраф для должностных лиц от 8 000 до 20 000 рублей; на индивидуальных предпринимателей – от 20 000 до 40 000 рублей; на юридических лиц – от 50 000 до 100 000 рублей.

За нарушение правил защиты персональных данных в ИСПДн привлекают к ответственности по части 6 статьи 13.12. КоАП РФ. Штраф на должностных лиц – от 1 000 до 2 000 рублей; на юридических лиц – от 10 000 до 15 000 рублей.

Как было установлено в одном из дел, Управление ФСБ в ходе проведения оперативно-розыскных мероприятий выявило, что в организации не определены уровни защищенности персональных данных в ИСПДн, в нарушение Приказа № 378 не утверждены правила доступа в помещения, где хранятся средства криптозащиты, и перечень лиц, имеющих право доступа. Постановлением УФСБ организация была признана виновной в совершении административного правонарушения, предусмотренного частью 6 статьи 13.12 КоАП РФ и подвергнута наказанию в виде административного штрафа в размере 15 000 рублей. Суд признал квалификацию нарушения правильной, но счет правонарушение малозначительным и заменил штраф на замечание [11] .

Кроме того, стоит помнить, что в нарушении норм Закона о персональных данных, регламентирующих требования к защите персональных данных, могут усмотреть наличие следующих составов преступлений: нарушение неприкосновенности частной жизни (статья 137 УК РФ) или неправомерный доступ к компьютерной информации, в результате которого произошло уничтожение, блокирование, модификация (изменение) или копирование информации (статья 272 УК РФ).

Обязанности при взаимодействии с субъектом персональных данных

Статьей 20 Закона о персональных данных регламентированы обязанности Оператора при обращении к нему субъекта персональных данных или его представителя (далее по тексту – «субъект ПД»). В соответствии с указанной нормой Оператор обязан:

1. Предоставить информацию о персональных данных или возможность ознакомления с ними.

В силу части 7 статьи 14 ФЗ № 152-ФЗ субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, как-то: факта обработки, оснований, целей и способов обработки, источников получения данных, сведений о лицах, которым поручена обработка и т.п. По общему правилу, запрашиваемые сведения должны быть предоставлены в течение 10-ти рабочих дней с момента получения запроса.

Оператор обязан предоставлять по просьбе субъекта ПД информацию об обрабатываемых персональных данных (перечне, правовых основаниях, целях и способах обработки и т.п.) – в течение 10 рабочих дней с даты получения запроса. В такие же сроки предоставляется субъекту возможность ознакомления с этими данными. Срок может быть продлен до 5 рабочих дней при условии мотивированного уведомления субъекта с указанием причин продления срока.

Сведения, должны быть предоставлены в доступной форме, В них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных. Предоставление запрашиваемой информации осуществляется на безвозмездной основе.

В случае отказа от предоставления запрашиваемых данных оператор обязан письменной форме дать мотивированный ответ в такие же сроки с указанием оснований отказа. Отказ допускается только по основаниям, прямо предусмотренным ФЗ № 152-ФЗ:

  • обработка осуществляется в целях обороны страны, безопасности государства и охраны правопорядка или в связи с задержанием субъекта ПД по подозрению в совершении преступления, обвинению по уголовному делу либо избрании меры пресечения;
  • обработка осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов и финансированию терроризма;
  • доступ субъекта ПД к его персональным данным нарушает права и законные интересы третьих лиц;
  • обработка персональных данных осуществляется в соответствии с законодательством о транспортной безопасности в целях безопасного функционирования транспортного комплекса.

Отметим, что обязанность предоставлять запрашиваемые сведения возникает в случае, если запрос содержит обязательные сведения, предусмотренные статьей 14 ФЗ № 152-ФЗ: сведения о документе, удостоверяющем личность, сведения, подтверждающие участие отношения с оператором (номер договора, дата заключения договора, или иные сведения), подпись субъекта ПД, что и подтверждается судебной практикой [12] .

Роскомнадзор получает большое количество обращений граждан об отказах должностных лиц в предоставлении запрашиваемой информации. Хотя, как показывает практика, контролирующий орган в большинстве случаев не усматривает в действиях указанных лиц признаков правонарушения, риск привлечения к ответственности при незаконном отказе существует.

Максимальное наказание для должностных лиц – штраф до 12 000 рублей, для индивидуальных предпринимателей – до 30 000 рублей, для юридических лиц – до 80 000 рублей.

2. Внести изменения в обрабатываемые персональные данные или уничтожить.

Оператор обязан внести изменения в персональные данные, если субъект ПД предоставил Оператору сведения, повреждающие, что они являются неполными, неточными или неактуальными – в течение 7 рабочих дней со дня предоставления сведений. О внесенных изменения субъекта персональных данных необходимо уведомить.

Максимальное наказание для должностных лиц – штраф до 20 000 рублей, для индивидуальных предпринимателей – до 40 000 рублей, для юридических лиц – до 90 000 рублей.

В такие же сроки оператор обязан уничтожить персональные данные субъекта, если субъект ПД представит подтвержденные сведения, что персональные данные незаконно получены или не являются необходимыми для заявленной цели обработки.

Нарушение обязанностей по взаимодействию с субъектами персональных данных влечет за собой риск привлечения к административной ответственности, предусмотренной частью 4 статьи 13.11 КоАП РФ. Штраф на должностных лиц – от 8 000 до 12 000 рублей; на индивидуальных предпринимателей – от 20 000 до 30 000 рублей; на юридических лиц – от 40 000 до 80 000 рублей. Кроме того, на практике встречаются случаи подачи субъектом ПД исков компенсации морального вреда за непредоставление запрашиваемой информации или неосуществлении действий по прекращению обработки данных [13] .

Так, в одном из дел хозяйственное общество, являющееся оператором персональных данных, не выполнило требования Роскомнадзора об удалении персональных данных работников на указанных интернет-страницах. Общество признано виновным в совершении административного правонарушения, предусмотренного частью 5 статьи 13.11 КоАП РФ, и подвергнуто административному наказанию в виде штрафа в размере 25 000 рублей.

Подводя итоги, подчеркнем необходимость надлежащего исполнения Операторами обязанностей, предусмотренных Законом о персональных данных, вне зависимости от того, является ли оператор ПД микропредприятием или крупным обществом. Игнорирование обязанностей повлечет за собой неблагоприятные последствия для бизнеса в виде штрафов, размер которых год от года растет.

[1] Приказ Роскомнадзора от 28.10.2022 № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных».

[2] Приказ Роскомнадзора от 14.11.2022 № 187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных».

[3] Постановление Второго кассационного суда общей юрисдикции от 07.10.2022 № 16-7329/2022.

[4] Постановление Верховного Суда РФ от 27.12.2019 № 5-АД19-239.

[5] Здесь и далее также установлена ответственность за повторное совершение однородного правонарушения с более строгим наказанием.

[6] Постановление Второго кассационного суда общей юрисдикции от 26.12.2022 по делу № 16-9987/2022.

[7] Штраф был назначен исходя из редакции, действовавшей на дату вынесения постановления.

[8] Постановление Пятого кассационного суда общей юрисдикции от 18.02.2021 № 16-355/2021.

[9] Решение Калужского областного суда от 28.02.2023 по делу № 7-21-36/2023.

[10] Приказ Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».

[11] Решение Первомайского районного суда города Краснодара от 23.04.2019 по делу № 12-185/19.

[12] Постановление Девятого кассационного суда общей юрисдикции от 23.07.2021 № 16-1125/2021.

[13] Решение Кировского районного суда города Саратова от 17.09.2018 по делу № 2-5252/2018~М-5153/2018.

Оцените статью
KDPkonsalting.ru
Добавить комментарий

© 2026 KDPkonsalting.ru