Очередной пакет изменений принят в прошлом году в отношении персональных данных. Некоторые поправки уже вступили в силу, часть — начнет действовать с 30 мая, остальные — ждут своей очереди. Давайте попробуем разобраться, что изменилось и как работать с персональными данными в сегодняшних реалиях.
В апреле прошлого года правительство распоряжением № 856-р утвердило бумажную и электронную формы согласия на размещение и обработку персональных данных в единой системе идентификации и аутентификации (ЕСИА) и единой биометрической системе (ЕБС).
Унифицированные формы включают пункты для заполнения паспортных данных субъекта, цели согласия, информацию об операторе персональных данных (ПД), о представителе субъекта ПД, срок действия, подпись и дату соглашения.
В обновленном бланке теперь доступна отметка о том, что согласие на обработку данных дает законный представитель несовершеннолетнего. Обусловлено это тем, что зачастую согласие вместо родителей давал другой родственник. Роскомнадзор (РКН) счел такое действие неправильным. Для компании подобное нарушение обойдется минимум в 30 000 рублей (п. 2 ст. 13.11 КоАП РФ).
Новые формы действуют с 1 января 2025 года.
Тридцатого мая вступит в силу Федеральный закон от 30 ноября 2024 г. № 420-ФЗ об изменениях в Кодексе об административных правонарушениях, которые предполагают как новые составы нарушений, так и новые размеры денежных санкций за них (ч. 12-18 ст. 13.11 КоАП). Штрафы будут устанавливаться в зависимости от количества пострадавших субъектов персональных данных и вида нарушения (см. табл. 1):
• неправомерная передача данных;
• нелегальное распространение сведений специальных категорий;
• неправомерное распространение биометрических данных.
С 30 мая 2025 года увеличатся штрафы за несвоевременное представление уведомлений в Роскомнадзор. Все компании, ИП и даже самозанятые (если они работают с персональными данными своих клиентов) обязаны зарегистрироваться в качестве операторов ПД в реестре на сайте Роскомнадзора. Ранее за неисполнение такого требования отдельного наказания не было. Да, компанию могли наказать по ст. 19.7 КоАП РФ за непредставление информации, но штраф был небольшой — до 5000 рублей. С 30 мая ситуация изменится кардинальным образом (см. табл. 2).