Новости

Теги:
  • 13.12.2023 Штрафы за обработку персональных данных без согласия или с нарушениями увеличатся.

    За обработку персональных данных без письменного согласия их субъекта (когда оно необходимо) или с нарушением требований к содержанию такого согласия, будут применяться следующие штрафы:

    для должностных лиц - от 100 тысяч до 300 тысяч рублей;
    для юридических лиц - от 300 тысяч до 700 тысяч рублей.
    За обработку биометрических персональных данных в Единой системе идентификации и аутентификации физических лиц с нарушением установленных требований, будут применяться следующие штрафы:

    для должностных лиц - от 100 тысяч до 300 тысяч рублей;
    для юридических лиц - от 500 тысяч до 1 миллиона рублей.
    До вступления в силу изменений штрафы за эти нарушения составляли для должностных лиц от 20 тысяч до 40 тысяч рублей, для юридических лиц - от 30 тысяч до 150 тысяч рублей (для банков и ряда других юридических лиц - от 50 тысяч до 200 тысяч рублей).

    Изменения вступают в силу с 1 января 2024 года.

    Изменения внесены в Кодекс Российской Федерации об административных правонарушениях (КоАП РФ) Федеральным законом от 12 декабря 2023 года № 589-ФЗ.

    Эти изменения направлены на повышение защиты персональных данных граждан.

    В частности, ужесточение ответственности за обработку биометрических персональных данных обусловлено тем, что эти данные являются более чувствительными, чем другие виды персональных данных, и их утечка может нанести больший ущерб гражданам.

    Таким образом, теперь за обработку персональных данных без согласия или с нарушениями можно будет получить более высокий штраф. Это должно стимулировать операторов персональных данных более ответственно относиться к обработке данных граждан.

    Различия в штрафах за согласие и биометрические данные заключаются в следующем:

    За обработку биометрических персональных данных предусмотрены более высокие штрафы, чем за обработку других видов персональных данных. Это связано с тем, что биометрические данные являются более чувствительными, чем другие виды персональных данных, и их утечка может нанести больший ущерб гражданам.
    Штрафы для юридических лиц за обработку биометрических персональных данных также выше, чем штрафы для юридических лиц за обработку других видов персональных данных. Это связано с тем, что юридические лица, как правило, обладают большими ресурсами, и более высокие штрафы должны стимулировать их более ответственно относиться к обработке биометрических данных.

    Теги: изменения КоАП РФ

  • 02.12.2023 Госдума ужесточила ответственность за незаконную обработку персональных данных статьей КоАП 13.11.3

    .Правительственные поправки в КоАП РФ, которые были приняты депутатами во втором чтении законопроекта № 353266-8, предусматривают увеличение штрафов за нарушение правил обработки персональных данных.

    В частности, в КоАП РФ вводится новая статья 13.11.3, предусматривающая ответственность за размещение, обновление биометрических персональных данных в Единой системе идентификации и аутентификации физических лиц с использованием биометрических персональных данных (ЕСИА) с нарушением установленных законодательством требований.

    Штраф для должностных лиц за такое нарушение составит от 100 тысяч до 300 тысяч рублей, для юридических лиц - от 500 тысяч до 1 миллиона рублей.

    Таким образом, Госдума решила повысить ответственность за нарушения, связанные с обработкой биометрических персональных данных. Это связано с тем, что биометрические данные являются более чувствительными, чем другие виды персональных данных, и их утечка может нанести больший ущерб гражданам.
    Поправки в КоАП РФ вступят в силу с 1 января 2024 года.

    Теги: изменения

  • 17.02.2023 В 2023 году планируется усиление ответственности за нарушения в сфере обработки персональных данных

    В прошлом году произошло значительное увеличение количества кибератак на российские компании, что привело к большому количеству утечек персональных данных. В 2022 году данные 75% россиян оказались в открытом доступе в интернете из-за утечек, в сети оказались личные данные примерно 100 миллионов человек.

    Благодаря изменениям в 152-ФЗ «О персональных данных», вступивших в силу в Сентябре 2022 года, компании теперь обязаны уведомлять регулятора об утечках. И до конца 2022 года российские компании направили в Роскомнадзор порядка 100 уведомлений об утечках персональных данных.

    В этом году уже стало известно об утечках в таких крупных компаниях, как Спортмастер, Ситимобил, Газпромбанк Инвестиции, Здравсити.

    Для защиты нравственности, здоровья, прав и законных интересов граждан РФ, правительство и президент предполагают принять ряд мер по усилению ответственности за нарушения в сфере обработки персональных данных, направленных на борьбу с утечками, а также неправомерной трансграничной передачей персональных данных.
    Владимир Путин поручил кабинету министров до 1 Июля 2023 года рассмотреть вопрос об установлении оборотных штрафов в отношении компаний, допускающих утечку персональных данных. Соответствующий законопроект готовит Минцифры.

    Кабинет министров поддержал идею с введением уголовной ответственности за незаконный сбор, хранение и передачу персональных данных.
    Опубликовано постановление Правительства РФ об утверждении правил принятия решения о запрещении или об ограничении трансграничной передачи персональных данных.
    Мораторий на проверки бизнеса не распространяется на утечки персональных данных, и Роскомнадзор проводил и проводит проверки в компаниях, где была допущена утечка.
    Повышение ответственности за утечки персональных данных направлено на смещение акцента в выполнении требований законодательства с формальных мер на реальную защиту конфиденциальной информации, к которой относятся персональные данные.

    Теги: изменения

  • 13.07.2022 Крупнейшая реформа законодательства о персональных данных

    6 Июля 2022 года Государственная Дума РФ приняла законопроект № 101234-8 «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности»

    Это одни из самых крупных единоразовых изменений в законодательство о персональных данных за все время существования 152-ФЗ. Ниже представлены основные положения этого законопроекта.
    Добавляется принцип экстерриториальности, теперь 152-ФЗ распространяется на действия с персональными данными граждан РФ, даже если они осуществляются зарубежными операторами.
    Вместе с Федеральным законом от 01.05.2022 № 135-ФЗ и Федеральным законом от 28.05.2022 № 145-ФЗ вводится запрет на необоснованный сбор ПДн потребителей, включение в договоры условий, навязывающие дополнительные товары и услуги, а также административная ответственность за эти действия. Кроме того, добавляется запрет на включение в договор положений, ограничивающих права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних.

    Теги: изменения регуляторы

  • 18.05.2022 До конца года в России могут быть введены оборотные штрафы за утечку персональных данных

    Штрафы за утечку персональных данных могут ввести до конца года. В настоящий момент предлагаемый размер штрафа составляет 1% от годового оборота организации.
    Также планируется принять Федеральный закон, согласно которому оператор персональных данных будет обязан уведомлять об утечке, причем штраф за неуведомление может быть больше, чем за саму утечку.
    Планы о введении штрафов за утечку персональных данных существуют уже довольно давно, при этом, в настоящий момент ответственность по законодательству о персональных данных предусмотрена только за неисполнение требуемых мер, а не за нарушение безопасности персональных данных.
    Недавние кейсы с утечкой персональных данных Яндекс.Еда и Гемотест могут служить примером целесообразности подобной инициативы.

    Теги: изменения

  • 29.04.2022 Московский городской суд удовлетворил иск россиянки к страховой компании о сборе избыточных персональных данных

    На сайте СК «Согласие» гражданка хотела узнать стоимость полиса ОСАГО, но не смогла это сделать без предоставления персональных данных. Для расчета требовалось указать ФИО, дату рождения, пол, данные паспорта и водительского удостоверения. Кроме того, в пользовательском соглашении содержались пункты, касающиеся автоматического согласия на обработку ПДн и их передачу третьим лицам в рекламных целях.
    Составить иск гражданке помогли юристы Центра правовой помощи гражданам в цифровой среде. Требованиями иска было признать собираемые персональные данные на сайте страховой компании избыточными для расчета стоимости ОСАГО, а также исключить из пользовательского соглашения условия о том, что использование интернет-сайта посетителями означает дачу согласия на обработку ПДн, в том числе на направление рекламы, а также внести конкретный перечень третьих лиц, которым могут быть переданы персональные данные.
    Мещанский районный суд иск не удовлетворил, после чего была подана апелляция в Мосгорсуд, который отменил решение суда первой инстанции и удовлетворил все требования истицы.

    Суд отдельно подчеркнул, что информация об условиях договора, в том числе о страховых тарифах, должна предоставляться не только стороне договора, но и лицу, не принявшему окончательного решения о выборе страховой компании.
    Этот судебный кейс способен в дальнейшем усовершенствовать практику защиты персональных данных россиян в рамках юридических споров.
    Недавно созданный Центр правовой помощи гражданам в цифровой среде показал свою эффективность, что позволяет предполагать дальнейшее увеличение количества исков граждан к операторам ПДн по поводу неправомерной обработки их персональных данных.

    Теги: ответственность

  • 27.04.2022 По факту утечки персональных данных пользователей «Яндекс.Еды» возбуждено уголовное дело

    Следственный комитет Российской Федерации возбудил уголовное дело по результатам проверки фактов утечки персональных данных пользователей сервиса «Яндекс.Еда». Уголовное дело возбуждено по признакам составов преступлений, предусмотренных частью 1 статьи 137 («Нарушение неприкосновенности частной жизни»), частью 3 статьи 272 («Неправомерный доступ к компьютерной информации») и частью 2 статьи 273 («Создание, использование и распространение вредоносных компьютерных программ») Уголовного кодекса Российской Федерации.
    В настоящий момент проводится комплекс следственных действий и оперативно-розыскных мероприятий, направленных на раскрытие указанных деяний и установление лиц, их совершивших.
    Утечка персональных данных пользователей сервиса «Яндекс.Еда» была зафиксирована 1 Марта. В результате утечки в интернете были опубликованы телефоны и адреса покупателей.
    21 Апреля Мировой суд Москвы оштрафовал «Яндекс.Еду» на 60 000 руб. в соответствии с частью 1 Статьи 13.11 КоАП РФ. Максимальное наказание по этой статье составляет 100 000 руб.
    Ранее 33 пользователя сервиса подали коллективный иск в суд. Каждый из них требовал от компании по 100 000 руб. из-за утечки их персональных данных.

    Теги: ответственность

  • 22.04.2022 Госдума 20 Апреля приняла закон о защите покупателей от необоснованного сбора персональных данных

    Новый закон устанавливает запрет для продавца работ или услуг, а также исполнителя, агрегатора отказывать в заключении, изменении, расторжении или исполнении договора, если покупатель отказывается предоставить свои персональные данные.
    Также закон содержит перечень недопустимых условий договора, ущемляющих права потребителей. Законом предусмотрен запрет на понуждение потребителя под угрозой отказа в совершении сделки к предоставлению персональных данных в случаях, когда предоставление таких данных не предусмотрено законодательством РФ и не связано с совершением сделки о реализации товаров (работ, услуг).
    Закон вступит в силу с 1 Сентября 2022 года. Положения, устанавливающие перечень недопустимых условий договора, ущемляющих права потребителя, распространяются на отношения, возникшие из ранее заключенных договоров.
    В пояснительной записке объясняются цели закона, они заключаются в пресечении недобросовестного поведения на потребительском рынке, в том числе выражающегося в принудительном или необоснованном сборе персональных данных потребителей для целей, не связанных с заключением или исполнением договора.
    Согласно новому закону, продавец (исполнитель, владелец агрегатора) не вправе отказывать в заключении, исполнении договора, направленного на приобретение одних товаров (работ, услуг), по причине отказа потребителя в приобретении иных товаров (работ, услуг).
    По мнению законотворцев закон поможет избежать навязывания дополнительных услуг. К примеру, недопустимы станут ситуации, когда человек приобретает по договору долевого участия помещение одной площади, получает меньше квадратных метров, но требовать возмещение не может, поскольку в договоре этого не предусмотрено.
    Помимо этого, продавцы не смогут навязывать, в каком именно суде в случае возникновения спора должна рассматриваться претензия: человек вправе выбрать наиболее удобный для него вариант - по месту проживания, по месту расположения магазина или по месту нахождения продавца. Кроме того, если продавец все же попытается навязать невыгодные условия договора, гражданин вправе потребовать убрать недопустимые условия договора, а продавец обязан будет скорректировать текст договора.
    Часто при подписывании договора покупателю не оставляют выбора в части предоставления своих персональных данных, которые потом перепродают для рекламных рассылок. Теперь такая возможность будет ограничена.

  • 06.04.2022 В Госдуму РФ внесен законопроект об усилении защиты персональных данных

    6 Апреля 2022 года в Госдуму РФ внесен законопроект о внесении изменений в 152-ФЗ «О персональных данных».
    Согласно пояснительной записке к законопроекту, инициатива разработана в целях усиления защиты прав граждан как субъектов персональных данных на неприкосновенность их частной жизни. В этой связи проектом вносятся поправки в закон "О персональных данных", направленные на совершенствование правовой защищенности субъектов персональных данных, а также усиление государственного контроля в этой сфере.

    В числе основных планируемых изменений, введение принципа экстерриториальности с тем, чтобы российское законодательство о персональных данных применялось и за пределами страны. Устанавливается возможность вмешательства уполномоченных органов власти в вопросы обработки персональных данных российских граждан на территории других государств.
    Понятие трансграничной передачи персональных данных расширяется и включает в себя больше условий. Кроме того, вводится отдельное уведомление о намерении осуществлять трансграничную передачу персональных данных, устанавливается порядок подачи такого уведомления. При этом трансграничная передача может быть запрещена или ограничена.
    Уточняется положение обработчика, лица, осуществляющего обработку персональных данных, а не только оператора.
    Не будет требоваться согласие субъекта на передачу его персональных данных другому лицу в рамках поручения на обработку, зато в поручении оператора для лица, осуществляющего обработку персональных данных, нужно будет определять перечень ПДн.
    Оператор будет не вправе отказать в заключении договора с субъектом, если он отказывается предоставить биометрические персональные данные или не дает согласие на обработку ПДн.
    Политику оператора в отношении обработки персональных данных нужно будет публиковать не просто в сети интернет, а в том числе на страницах принадлежащего оператору сайта, с использованием которого осуществляется сбор ПДн.
    Оператор будет обязан обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), включая информирование о компьютерных инцидентах, повлекших неправомерные доступ, представление, распространение, передачу персональных данных.
    В случае утечки персональных данных необходимо будет уведомить Роскомнадзор в течение 24 часов.
    Заложен выход подзаконного акта, устанавливающий порядок уничтожения персональных данных.
    Исключается большинство условий, которые позволяли не подавать уведомление о начале обработки персональных данных в Роскомнадзор. Если ранее было сложно не выходить за рамки исключений, теперь это станет практически невозможно, и уведомление нужно будет подавать подавляющему большинству операторов.
    Вносятся изменения в порядок подачи уведомления, теперь оно будет содержать больше сведений.
    Роскомнадзор становится самостоятельным и наделяется законодательной инициативой.

    В дополнение вносятся изменения в Федеральный закон от 13 июля 2015 года № 218-ФЗ «О государственной регистрации недвижимости». Устанавливается, что персональные данные, содержащиеся в Едином государственном реестре недвижимости, могут быть предоставлены третьим лицам только с согласия физического лица - субъекта таких данных. Для этого в ЕГРН вносится соответствующая запись на основании заявления физического лица, владельца недвижимости.

    Теги: изменения

  • 04.04.2022 Сервису «Яндекс.Еда» грозят многомиллионные издержки за утечку персональных данных

    Недавно произошла резонансная утечка персональных данных пользователей сервиса «Яндекс.Еда». В сети появилась интерактивная карта, где по адресу можно было увидеть сколько и каких заказов сделал тот или иной человек за достаточно длительный период времени, номер его телефона. Кроме того, видимо совместив данные из другой базы, злоумышленники добавили к информации такие персональные данные, как ФИО, адреса электронной почты.

    Ресурсы с картой были в кратчайшие сроки заблокированы. Представители Яндекс.Еды заявили, что утечка произошла в результате недобросовестных действий одного из сотрудников, компания решила втрое сократить число сотрудников с доступом к конфиденциальным данным пользователей, а также провести дополнительные работы, направленные на усиление защиты информации.
    При этом, максимальный штраф за подобное нарушение в соответствии с частью 1 Статьи 13.11 КоАП РФ составляет 100 000,00 рублей для юридического лица.
    Вместе с тем, многие из пострадавших субъектов персональных данных подали коллективный иск к сервису, по 100 000,00 рублей каждый. В настоящий момент зарегистрированы иски от 33 пользователей в Москве, не исключены иски от клиентов из других городов. Суммарные претензии к сервису «Яндекс.Еда» уже составляют несколько миллионов рублей и могут возрасти.
    Иск был подан в соответствии с частью 2 Статьи 17 ФЗ-152 «О персональных данных»: «субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке».

    При этом, суд будет решать, какую именно назначить итоговую компенсацию каждому пострадавшему пользователю с учетом обстоятельств, при которых ему был причинен моральный вред.
    Согласно исковому заявлению, после утечки персональных данных пользователям «Яндекс.Еды» начали массово поступать звонки с незнакомых номеров с рекламными предложениями различных услуг, им также стали звонить мошенники. Пользователи сервиса считают, что была нарушена неприкосновенность их частной жизни, они переживают за свою безопасность.
    Для повышения ответственности операторов в случае дел, не имеющих столь широкого освещения, необходимо внести изменения в КоАП РФ в части штрафов за нарушение безопасности персональных данных, наподобие тех штрафов, которые были введены за нарушение требования о локализации персональных данных граждан РФ на территории России, и которые составляют до 6 миллионов рублей за первое нарушение и до 18 миллионов рублей за повторное.

    Теги: ответственность