Персональные данные: какие новшества готовит нам законодатель.

От /
pexels pixabay 159832 scaled

Сегодня мы хотим рассмотреть существующие законодательные инициативы и спрогнозировать изменения, которые будет необходимо внести в документацию в течение полугода.

Будем рассматривать законопроекты:

  1. № 679980-8 О внесении изменений в статью 9 Федерального закона “О персональных данных” и статью 10 Закона Российской Федерации “О защите прав потребителей”
  2. № 502113-8 О внесении изменений в Уголовный кодекс Российской Федерации (в части установления ответственности за незаконные использование и передачу, сбор и хранение компьютерной информации, содержащей персональные данные)
  3. № 502104-8 О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части усиления ответственности за нарушение порядка обработки персональных данных)
  4. № 608384-8 О внесении изменений в статью 9 Федерального закона “О персональных данных”(в части уточнения формы согласия субъекта персональных данных на обработку его персональных данных)

Уже только из названий понятно, что послаблений не предвидится, но все не так уж и плохо.

Начнем с простого и не сильно страшного: внесение изменений в Уголовный кодекс. Водится новая статья 272-1: Незаконные использование и(или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконного хранения и (или) распространения.

В целом данная законодательная инициатива достаточно здравая и ставит своей целью пресечение торговли персональными данными. В ней даны достаточно четные критерии, которые не позволят привлечь к уголовной ответственности предпринимателя, который проводит сбор и обработку персональных данных с нарушениями.

Основной интерес вызывает часть 1, в которой дано определение данному преступлению:

Незаконные использование и(или) передача (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем

Т.е. криминализируется именно оборот и использование информации, полученной путем неправомерного доступа к информационным системам обработки персональных данных. Да, уверен, что у некоторых людей возникнет желание в рамках недобросовестной конкуренции привлечь кого-то к уголовной ответственности за нарушение порядка получения персональных данных (например, при отсутствии регистрации в реестре операторов), но я уверен, что в суде такое дело не дойдет до приговора в первой инстанции.

Дальнейшие части предусматривают ответственность в ряде квалифицирующих случаев: часть вторая – касательно специальных персональных данных, третья и пятая касаются мотивов и последствий, а вот четвертая рассматривает интересный случай – трансграничную передачу (кстати санкция в этом случае весьма серьезная – лишение свободы до 8 лет плюс штраф до 2 миллионов рублей).

Законопроект о внесении изменений в ФЗ «о ЗПП» и в ФЗ о «ПДн» интереснее. Более детально прорабатывается вопрос получения согласия на обработку персональных данных, в частности закрепляется порядок, фактически действующий в настоящее время:

Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных

Также вводится запрет на столь любимые многими маркетологами анкеты, без заполнения которых невозможно получить информацию о товаре. Наверняка Вы сталкивались с такими: «оставьте нам контакты и мы с Вами свяжемся для передачи индивидуального предложения». Теперь так сделать будет сложнее:

Продавец (исполнитель, владелец агрегатора) не вправе ограничивать доступ потребителя к информации, предусмотренной пунктом 2 настоящей статьи, в связи с отказом потребителя предоставить персональные данные за исключением случаев, если обязанность предоставления таких данных предусмотрена законодательством Российской Федерации.

По большому счету изменения здравые и негативных последствий для бизнеса нести не должны (конечно, если Вы не практикуете сбор персональных данных по схеме описанной выше).

Законопроекта о внесении изменений в КоАП мы неоднократно касались в предыдущих статьях, поэтому повторяться не будем: очень сильно увеличиваются штрафы, вводится ответственность за отсутствие регистрации в реестре операторов персональных данных Росконадзора, вводятся оборотные штрафы. Что произошло нового с этим проектом?

  1. Заместитель председателя комитета Госдумы по информполитике, связи и ИТ Андрей Свинцов заявил, что принятие этого законопроекта планируется до конца 2024 года.
  2. Скорее всего после принятия изменений будет установлен срок на приведение документации бизнеса в порядок.
  3. Минэкономразвития предложило снизить размер штрафов (в конечном итоге они все равно становятся выше, но не настолько как планировалось).

Вот поправки Минэкономразвития весьма интересны, поскольку скорее всего, и будут приняты в конечном итоге (приведем цифры, с которыми может столкнуться малый бизнес):

  1. если утечка затронет 1-10 тысяч субъектов персональных данных, установить штраф для юридических лиц и ИП в размере 1,5-2 млн рублей (сейчас в законопроекте — от 3 до 5 млн рублей);
  2. за утечку специальных персональных данных, затронувшую 500-5000 субъектов персональных данных, на юридических лиц и ИП предлагается накладывать штраф в размере от 3 млн до 5 млн рублей;

В конечном итоге штрафы будут и будут высокими, это потребует инвестиций в информационную безопасность, в разработку организационных методов работы с персональными данными. Кстати инвестиции в информационную безопасность планируется признать смягчающим вину фактором (если расходы превышают 0,1% от выручки за предшествующий год).

В качестве итога: нужно готовиться к работе с персональными данными в новых реалиях. Что нужно делать уже сейчас:

  1. Регистрация оператором персональных данных
  2. Инвестирование в инфраструктуру информационной безопасности
  3. Внедрение организационных мер по работе с персональными данными (разграничьте доступы к информации между сотрудниками)
  4. Актуализация документации, подписываемой с клиентами: выведите согласия в отдельный документ, уберите согласия из текстов договоров.

Мы искренне желаем Вам процветания и отсутствия интереса к Вашему бизнесу со стороны контролирующих органов и готовы помочь Вам в организации документооборота и бизнес-процессов в работе с персональными данными.

С уважением,
Власов Денис Сергеевич
Юридическая компания Мафдет

+79781375629

Home

Related Posts

Прокрутить вверх