На главную региона

«Даже с одним сотрудником компания является оператором персональных данных»

Юрист KR&P Владислава Шандарина о штрафах для бизнеса за отсутствие регистрации в Роскомнадзоре

С 30 мая в России вырастут штрафы за нарушения при работе с персональными данными. Эти изменения затронут всех предпринимателей и организации, обязанных уведомлять о сборе и обработке данных. Ранее за несоблюдение этих требований штрафы для юридических лиц и индивидуальных предпринимателей составляли от 3 тыс. до 5 тыс. руб. Однако с конца мая суммы значительно увеличатся. Теперь штрафы будут варьироваться от 100 тыс. до 300 тыс. руб. «Ъ-Южный Урал» узнал у юриста адвокатского бюро KR&P Владиславы Шандариной, кто из южноуральских предпринимателей обязан уведомить Роскомнадзор о сборе персональных данных и как накажут тех, кто этого не сделал.

Фото: предоставлено Владиславой Шандариной

Фото: предоставлено Владиславой Шандариной

— Какие компании могут считаться операторами персональных данных?

— Любое юридическое или физическое лицо, получившее и сохранившее информацию о любом гражданине, автоматически становится оператором персональных данных. Важно иметь в виду, что речь идет именно о данных, по которым человека можно идентифицировать.

— Получается, любая компания, в которой работает больше одного сотрудника, уже оператор персональных данных?

— При заключении трудового договора организация фиксирует паспортные данные сотрудника, узнает место его жительства, контактный номер телефона. Даже с одним сотрудником компания является оператором персональных данных. Однако такая информация является персональными данными только в совокупности. Например, номер телефона становится охраняемым, когда рядом с ним указаны фамилия, имя и отчество сотрудника.

— В каких случаях самозанятые могут считаться операторами персональных данных?

— Закон прямо говорит нам, что операторами может быть государственный или муниципальный орган власти, а также юридические и физические лица, к числу которых относятся и самозанятые. Если вы записываете, храните и используете чужие данные, вы попадаете под действие закона.

— Если компания не включена в реестр, нужно обязательно успеть подать заявление до 30 мая или можно позднее?

— Обязанность большинства компаний уведомлять Роскомнадзор была предусмотрена законом еще с сентября 2022 года. Соответственно, с этой даты операторы нарушали закон. Однако ранее за такое неуведомление отсутствовала специальная административная ответственность. Теперь же законодатель предусмотрел штрафные санкции за невыполнение или несвоевременное выполнение обязанности по уведомлению уполномоченного органа о намерении выполнять обработку персональных данных.

— Как компании будут штрафовать? На каких основаниях могут провести проверку?

— Роскомнадзор как уполномоченный орган по защите прав субъектов персональных данных обладает широким перечнем прав, связанных с контролем компаний в этой области. Этот орган может запрашивать любую информацию, связанную с персональными данными, у любых субъектов, осуществлять проверку сведений, содержащихся в уведомлениях операторов, обращаться в суд с исковыми заявлениями, направлять в правоохранительные органы материалы для возбуждения уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, и так далее. Кроме того, к полномочиям Роскомнадзора также отнесено привлечение лиц-нарушителей к административной ответственности, предусмотренной КоАП РФ в сфере персональных данных. Таким образом, выявлением нарушений в рамках своих полномочий и назначением штрафных санкций будет заведовать именно Роскомнадзор.

— Если компания подала заявления после 30 мая, ей грозит какая-то ответственность?

— Если до 30 мая компания не осуществляла обработку персональных данных, то подача уведомления будет своевременной до начала такой деятельности. Однако если оператор уже занимается обработкой, а уведомление так и не подал, то риск привлечения к ответственности имеется. Полагаем, что за впервые совершенное правонарушение у компаний будут высокие шансы обойтись предупреждением, что исключит значительные штрафы.

— Выскажите свое экспертное мнение, пожалуйста, с какой целью в 60 раз увеличили штраф за нарушение этого закона?

— Думаю, что целью появления административной ответственности является привлечение операторов, которые хоть и не преступили линию уголовно наказуемого поступка, но из-за своей халатности допустили распространение данных контрагентов, клиентов, сотрудников. Однако эффективность этого нововведения будет зависеть от подхода надзорного органа. Он может пойти как по пути формального поведения, запрашивая данные у значительного числа операторов и наказывая с высокой вероятностью дальнейшего обжалования постановлений в судебном порядке, так и по пути выявления реальных угроз распространения данных, возможно, ориентируясь на сферу деятельности компаний.

— Может ли эта мера действительно способствовать снижению числа утечек персональных данных?

— Думаем да, эта мера поможет уменьшить число утечек, поскольку с 30 мая законодатель предусмотрел административную ответственность не только за неуведомление Роскомнадзора, но и за действия оператора, повлекшие неправомерную передачу информации, включающей персональные данные. Размер штрафных санкций варьируется от количества субъектов, чьи данные утекли.

— Какая ответственность грозит компаниям за утечки персональных данных?

— Законодатель разграничил для компаний санкцию в зависимости от последствий в виде нарушения прав субъекта персональных данных. Если права не нарушены до 300 тыс. руб., а если нарушены до 3 млн руб. Как ранее было отмечено, размер штрафа зависит и от числа субъектов, чьи данные были неправомерно переданы. Так, за распространение данных от 1 тыс. до 10 тыс. лиц штраф составит от 3 млн до 5 млн руб., далее санкция возрастает до 10 млн руб. при увеличении субъектов до 100 тыс. Наибольший размер за совершение правонарушения впервые достигает 15 млн руб. Наиболее серьезная санкция грозит за повторное нарушение — от 20 млн до 500 млн руб. Не стоит забывать и о наличии уголовной ответственности, которая предусмотрена ст. 272.1 УК РФ (незаконное распространение компьютерной информации, содержащей персональные данные.— “Ъ”), максимальное наказание по ней — лишение свободы на срок до пяти лет.

Беседовала Карина Кальярова