⚡Президент России подписал закон (589-ФЗ от 12.12.2023) об ужесточении административной ответственности за нарушения при использовании биометрических персональных данных (ПД) граждан и за несоблюдение письменной формы согласия на обработку ПД - когда ее использование является обязательным.

Процентное распределение правильных и неправильных вариантов ответов в этой викторине вполне закономерное (по состоянию на 08.00 22.12 2023).
Связано это с тем, что:
1. Информировать об инцидентах с ПДн необходимо Роскомнадзор.
2. ФСБ (в дополнение к пункту 1) необходимо информировать о компьютерных инцидентах с ПДн (тоже касается и субъектов в части информирования о компьютерных инцидентах).
3. Минцифры необходимо информировать об инцидентах с биометрическими ПДн, используемыми для идентификации. Также стоит отметить, что приказ Мирцифры от 10.09.2021 № 930, который обязывает осуществлять такое информирование и Минцифры, распространяется на биометрические ПДн модальностей "данные изображение лица " и "данные голоса, собранные текстозависимым методом", а вот на геномную информацию, которая также является биометрическими ПДн, которые, наверняка, обрабатываются в некоторых организациях здравоохранения (но могу ошибаться), не распространяется. Да и вообще стоит учитывать, что этот приказ Минцифры фактически не применятся ввиду издания приказа Минцифры от 13.05.2023 № 453.

🏛 На regulations.gov.ru выложили прооект Приказа Минцифры, вносящего изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных.
🔸Список дополняется пунктом 4:
"Выявление контролирующим органом в течение календарного года двух и более фактов непредставления контролируемым лицом, являющимся владельцем сайта и (или) страницы сайта в сети «Интернет», программы для электронных вычислительных машин, на которых применяются рекомендательные технологии, информации, связанной с применением рекомендательных технологий, а также доступа к программно-техническим средствам рекомендательных технологий по запросу контролирующего органа".

О новых штрафах за нарушение №152-ФЗ

В последнее время СМИ упоминали о новых штрафах и уголовной ответственности за нарушения требований №152-ФЗ. Собрал всю информацию по этому вопросу в один пост👇🏻

1️⃣ Ужесточение ответственности за обработку биометрических ПДн

Финальная версия законопроекта затронула не только обработку биометрии, но и всех случаи, требующие письменного согласия субъекта.  Федеральный закон уже опубликован, но вступает в силу он 23 декабря 2023.  

Новые штрафы предусматриваются за: 

➡️ Обработку ПДн без письменного согласия субъекта или в случае несоответствия такого согласия требованиям №152-ФЗ (ч. 2 ст. 13.11 КоАП РФ):

▪️ для граждан – от 10.000 до 15.000 рублей;
▪️ для должностных лиц – от 100.000 до 300.000 рублей;
▪️ для юридических лиц –  от 300.000 до 700.000  рублей.

➡️ Повторное нарушение, предусмотренное ч. 2.1. ст. 13.11 КоАП РФ:

▪️ для граждан – от 15.000 до 30.000 рублей;
▪️ для должностных лиц – от 300.000 до 500.000 рублей;
▪️ для ИП – от 500.000 до 1.000.000 рублей;
▪️ для юридических лиц  от 1.000.000 до 1.500.000 рублей.

➡️ Размещение и обновление банками, МФЦ и иными организациями биометрии в ЕБС с нарушением положений №572-ФЗ (новая ст. 13.11.3 КоАП РФ): 

▪️ для должностных лиц – от 100.000 до 300.000 рублей;
▪️ для юридических лиц - от 500.000 до 1.000.000 рублей.

2️⃣ Ужесточение ответственности за утечки ПДн

Законопроект уже внесен в Госдуму, но будет рассмотрен только на весенней сессии. Минцифры поддержало идею введения обстоятельств, смягчающих ответственность оператора, поэтому вряд ли проект примут в текущей редакции.

Однако увеличение размеров ответственности предполагается не только за утечки, но и за иные нарушения при обработке ПДн. Например, законопроект содержит отдельные штрафы за не уведомление Роскомнадзора о намерении осуществлять обработку ПДн.

Поскольку такое уведомление подается по результатам комплаенса процессов обработки ПДн, то новую норму можно считать еще и общим штрафом за отсутствие комплаенса (если комплаенс не соответствует сведениям в уведомлении).

Обзор по штрафам сделали коллеги из Листка бюрократической защиты информации.

3️⃣ Ужесточение уголовной ответственности за преступления, связанные с обработкой ПД

Законопроект внесен в ГД РФ, его рассмотрение также назначено на весеннюю сессию. Но уже сейчас вызывают вопросы широкие понятия: “неправомерный доступ”, “незаконная передача”. 

Абстрактные формулировки создают риски для обработки ПДн, например, внутри групп компаний, где два сидящих за одним столом сотрудника могут быть формально работниками в разных ООО, между которыми нет формализованных отношений по требованиям №152-ФЗ. 

Возможно, нарушение есть, но является ли оно преступлением? Инициатив по корректировкам законопроекта пока не встречалось.