Рабочий день, 9 часов утра. Звонит телефон. Приятный женский голос сообщает, что, наконец-то, до меня дозвонились (?!) и могут помочь списать все долги. Отвечаю, что обратились не по адресу. Через 15 минут еще звонок, приглашают пройти бесплатное медобследование, дальше — банк, затем — энергосбыт и «такая дребедень целый день…». Больше половины рабочего времени уходит на подобные ответы. Кто виноват и что делать? Виноват, по всей видимости, технический прогресс, недобросовестный оператор персональных данных и ктото еще, а что делать — этим вопросом озадачено государство. Пока ответ не нашли, но — в поиске. В прошлом году внесли очередные поправки к закону о персональных данных, повысили штрафы и даже ввели уголовную ответственность. Поможет ли это предотвратить утечку информации — не знаю, но пока давайте разбираться, что изменилось и как работать с персональными данными в сегодняшних реалиях.
В апреле прошлого года правительство распоряжением № 856-р утвердило бумажную и электронную формы согласия на размещение и обработку персональных данных в единой системе идентификации и аутентификации (ЕСИА) и единой биометрической системе (ЕБС).
Унифицированные формы включают пункты для заполнения паспортных данных субъекта, цели согласия, информацию об операторе персональных данных (ПД), о представителе субъекта ПД, срок действия, подпись и дату соглашения.
В обновленном бланке теперь доступна отметка о том, что согласие на обработку данных дает законный представитель несовершеннолетнего. Обусловлено это тем, что зачастую согласие вместо родителей давал другой родственник. Роскомнадзор (РКН) счел такое действие неправильным. Для компании подобное нарушение обойдется минимум в 30 000 рублей (п. 2 ст. 13.11 КоАП РФ).
Новые формы действуют с 1 января 2025 года.
Тридцатого мая вступит в силу Федеральный закон от 30 ноября 2024 г. № 420-ФЗ об изменениях в Кодексе об административных правонарушениях, которые предполагают как новые составы нарушений, так и новые размеры денежных санкций за них (ч. 12–18 ст. 13.11 КоАП). Штрафы будут устанавливаться в зависимости от количества пострадавших субъектов персональных данных и вида нарушения (см. табл. 1):