Штрафы будут повышены в соответствии с Федеральным законом №13-ФЗ от 7 февраля 2017 года «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Максимальный порог штрафа для организаций повышен до 75 тыс. рублей, а для предпринимателей – до 20 тыс. рублей. Раньше в КоАП существовал только один общий для всех случаев состав правонарушения в области персональных данных, теперь появилось семь составов.
Штрафы за нелегальную обработку персональных сведений граждан касаются всех компаний и предпринимателей, которые получают паспортные данные россиян. Конкретного перечня организаций в законе не содержится, однако все компании, которые являются операторами персональных данных, должны быть зарегистрированы в Роскомнадзоре.
Закон распространяется на всех работодателей, которые получают сведения от сотрудников по трудовым договорам или договорам гражданско-правового характера. Работодателю не нужно уведомлять Роскомнадзор об обработке личной информации только в том случае, если он состоит с гражданином в трудовых или гражданско-правовых отношениях (согласно ч.2 статьи 22 Федерального закона №152-ФЗ).
Чтобы обезопасить себя от штрафов, компаниям нужно соблюдать следующие условия:
- Исключить случаи нецелевого сбора и обработки данных;
- Получать письменное согласие граждан на обработку их данных;
- Знакомить граждан с политикой обработки персональных данных;
- Отвечать на вопросы граждан о том, каким образом используются их персональные данные;
- Выполнять требования граждан об уточнении персональных данных, их блокировании или уничтожении;
- Обеспечивать сохранность носителей с персональными данными, исключая их утечку, порчу, кражу, копирование.
Примером нецелевого сбора излишней информации являются случаи, когда сайт для новостной рассылки по электронной почте требует от посетителей предоставить паспортные данные. Штраф для предпринимателей за подобное нарушение составляет от 5 до 10 тыс. рублей, а для организаций – от 30 до 50 тыс. рублей.
Письменное согласие на обработку персональных данных не требуется только при их получении в личных и семейных целях. В большинстве случаев дополнительно к основному договору стороны должны подписывать соглашение об обработке персональных данных. Оно может включаться в текст основного договора или выступать как отдельный документ. Пример нарушения в этой части – передача кредиторами третьим лицам информации о должниках для взыскания займов или случаи, когда оператор мобильной связи передает контакты абонентов без их ведома сторонним компаниям и на телефонные номера клиентов начинает поступать спам.
Информация о порядке работы с персональными данными также должна находиться в свободном доступе, чтобы с ней имел возможность ознакомиться каждый.
За подобные нарушения предусмотрена ответственность и для государственных и муниципальных органов власти. В своих документах они должны обезличивать персональные данные граждан и не допускать указания их места жительства и полных ФИО.