Работа с персональными данными и оборотные штрафы

Добрый день, мы неоднократно обращали внимание на усиление внимания со стороны государства к вопросу соблюдения правил работы с персональными данными. Сейчас мы хотели бы обратить внимание на новый законопроект, которым вводятся оборотные штрафы за нарушение порядка работы с персональными данными, а также ответственность за отсутствие уведомления Роскомназдора о начале обработки персональных данных. Да, в ближайший месяц с большой долей вероятности этот вопрос коснется всех.

Итак, речь пойдет о законопроекте №502104-08. Основная цель данного законопроекта – предотвращение утечек персональных данных. Именно данным законопроектом вводится административная ответственность за утечку персональных данных, вводятся оборотные штрафы (в зависимости от объема утекших персональных данных), а также ответственность за неуведомление Роскомнадзора о начале обработки персональных данных.

1. Штрафы за обработку персональных данных, непредусмотренных целью обработки (в том числе избыточная обработка персональных данных), совершенную впервые, повышается в 1,5-5 раз:
   1. для граждан с 2000-6000 до 10000-15000;
   2. для должностных лиц с 10000-20000 до 50000-100000;
   3. для юридических лиц с 60000-100000 до 150000-300000.

2. В случае повторного нарушения штрафы также повышаются пропорционально.
3. Утечка персональных данных (при этом нет различия произошла утечка по вине сотрудников оператора или из-за внешних рисков):
   1. утечка данных 1000-10000 субъектов – штраф от 100 000 до 5 000 000;
   2. утечка данных 10 000 – 100 000 субъектов – штраф от 200 000 до 10 000 000;
   3. утечка данных более 100 000 – штраф от 300 000 до 15 000 000;
   4. утечка специальных персональных данных (вне зависимости от объема) – от 300 000 до 15 000 000.
4. В случае повторной утечки персональных данных, могут быть применены оборотные штрафы от 0.1% до 3% выручки за год (но не менее 15 000 000 и не более 500 000 000).

Следует обратить внимание на то, что сведения о здоровье физических лиц относятся к категории специальных персональных данных. Поэтому любая утечка персональных данных пациента потенциально может привести к наложению штрафа в размере от 300 000 до 15 000 000 рублей (штраф на физическое лицо от 300 000 до 400 000, на должностное лицо – от 1 500 000 до 2 000 000, на юридическое лицо – от 10 000 000 до 15 000 000).

Также вводится ответственность за неуведомление Роскомнадзора о начале обработки персональных данных: для граждан штраф от 5 000 до 10 000, для должностных лиц – от 30 000 до 50 000, для юридических олиц – от 100 000 до 300 000.

В последнее время к нам неоднократно обращались руководители и учредители клиник с вопросом о реорганизации бизнеса (перевод из ООО в ИП), с целью минимизации возможных штрафов.

Следует отметить, что в данном законопроекте данная схема минимизации штрафов также пресечена: административная ответственность индивидуального предпринимателя установлена в том же объеме, как и юридического лица (в настоящее время индивидуальный предприниматель продвергается штрафу как должностное лицо).

В целом, законопроект является логическим продолжением регулирования государством вопросов работы с персональными данными (об этой тенденции мы неоднократно писали ранее). Именно глобальные утечки со стороны крупнейших операторов (таких как Яндекс и Сбербанк) и последовавший за ними общественный резонанс привели к объективной необходимости усиления государственного регулирования.

Напоминаем, что в Крыму и Севастополе более 50% клиник, имеющих регистрацию в ФРМО, не зарегистрированы как операторы персональных данных, что автоматически вводит их в группу риска получения штрафа за нарушение порядка работы с персональными данными, неуведомление Роскомнадзора о начале работы с персональными данными и возникает риск утечки специальных пресональных данных.

Со своей стороны мы готовы оказать помощь в проведении аудита работы с персональными данными в Вашем бизнесе, подготовки верного пакета документов по работе с ними, а также в подаче уведомления в Роскомнадзор с целью регистрации в реестре операторов персональных данных.

Мы можем оказать Вам услуги как лично, так и дистанционно.

Наши контакты: +7 978 137 56 29 (телефон, телеграмм, WhatApp)