Ужесточение наказаний за утечку и неправильную обработку персональных данных. Интервью

С 30 мая ужесточились штрафы за несоблюдение требований закона о персональных данных. Теперь компании и индивидуальные предприниматели обязаны заранее уведомлять Роскомнадзор о своей деятельности в этой сфере. Нарушение данного требования влечет денежные санкции. Напоминаем, что с осени 2022 года подобные нормы уже действовали, но суммы штрафов были значительно меньше. 

В студии — Егор Коваленко.

Гость: Галина Антонец, адвокат Приморской коллегии адвокатов.

Штрафы и на компанию, и на  руководителя

Егор Коваленко:

- Предлагаю начать все-таки с общего вопроса. В чем суть этих изменений и сколько времени шли к их принятию?

Галина Антонец:

- Смотрите, вообще обязанность подать уведомление о том, что вы обрабатываете персональные данные, возникла ещё с 1 сентября 2022 года. Так или иначе многие это сделали. Тогда штрафы были довольно низкими: для юридических лиц максимальный штраф составлял всего лишь 5 тысяч рублей, а для должностного лица — от 100 до 300 рублей. Это была практически символическая сумма. Однако именно сейчас ситуация резко меняется, поскольку с 30 мая штрафы существенно возрастают.

Например, максимальная санкция для юридического лица достигает 300 тысяч рублей, если оно не представило соответствующее уведомление о работе с персональными данными. Для физического лица предусмотрен штраф в размере 10 тысяч рублей, а должностному лицу придётся заплатить до 50 тысяч рублей. Причём важно учитывать следующее обстоятельство: Роскомнадзор вправе наложить штрафы одновременно и на компанию, и на её руководителя. Таким образом, общая сумма штрафов может достигать значительных размеров. Всем организациям и предпринимателям, которые раньше не подавали такие уведомления, крайне рекомендуется срочно это сделать. Тем же компаниям, которые уже успели отправить уведомления до 26 декабря 2022 года, также предстоит внести изменения, поскольку форма подачи документов претерпела определённые изменения. 

Важно отметить следующий нюанс: отдельные субъекты бизнеса ошибочно полагают, будто им вовсе не обязательно представлять уведомления, поскольку они якобы не занимаются обработкой персональных данных. Хочу развеять это заблуждение: фактически каждая компания, индивидуальный предприниматель, юридическое лицо и даже физическое лицо — будь то ИП или самозанятый гражданин — неизбежно работает с персональными данными.

Объём работ колоссален

Егор Коваленко:

- Обязательно по всем этим пунктам мы пройдемся, но есть статистика для наших слушателей, чтобы они понимали, что коснется практически всех: сейчас с персональными данными в нашей стране работают более 5 миллионов юридических лиц, включая индивидуальных предпринимателей. По Приморью можно оценить эти масштабы? Сколько в единицах?

Галина Антонец:

- Считайте половина населения. Потому что это или самозанятые, или предприниматели. То есть половина - это люди, которые должны были подать уведомления и должны в этой системе зарегистрироваться. Объём работ колоссален. Особенно много вопросов возникает у категории самозанятых: часто бытует мнение, мол, я не занимаюсь никакой деятельностью, связанной с обработкой личных сведений, однако это далеко не так. Даже если ваша деятельность связана исключительно с доставкой пиццы или продажей игрушек через торговые площадки («маркетплейсы»), регистрация необходима. 

Ведь независимо от масштабов деятельности вы непременно сталкиваетесь с необходимостью получать и обрабатывать личные данные клиентов. Ты работаешь с персональными данными. Потому что ты их получаешь, ты их обрабатываешь. Только цель обработки у тебя иная. Поэтому, да, все должны подавать абсолютно.

Номер телефона — это не персональные данные

Егор Коваленко:

- Давайте здесь как раз и проясним, что персональными данными мы уже можем считать номер телефона, фамилию, имя, отчество.

Галина Антонец:

- Не совсем так. Что такое персональные данные? Это данные, по которым можно определить конкретное лицо. Допустим, просто номер телефона — это не персональные данные. То есть просто номер телефона без указания фамилии, имени там или каких-то данных — это не персональные данные. Но если по этому номеру телефона можно меня определить, то это персональные данные. Фотографии — персональные данные. Допустим, просто указать, что адвокат Приморской коллегии адвокатов — это не персональные данные. Если адвокат Галина Антонец, то это, соответственно, персональные данные. 

Об этом и многом другом в интервью в медиастудии ГТРК «Владивосток».