Загрузка...
11.05.2023
9 мин. на чтение

В Госдуму внесен законопроект об увеличении штрафов за отсутствие письменного согласия субъекта персональных данных, а также об административной ответственности за нарушения при обработке биометрии

Юридическая компания «Пепеляев Групп» сообщает, что 4 мая 2023 г. в Госдуму внесен законопроект № 353266-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее – Законопроект), предусматривающий значительное увеличение штрафов за обработку персональных данных без согласия субъекта в письменной форме в случаях, когда такое согласие должно быть получено в соответствии с законодательством, а также штрафов за обработку биометрических персональных данных с нарушением установленных законодательством требований.

Законопроект предусматривает внесение в части 2 и 2.1 ст. 13.11 КоАП РФ («Нарушение законодательства Российской Федерации в области персональных данных») следующих изменений:

Действующая редакция

Редакция Законопроекта

2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных,

 

2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, а равно размещение биометрических персональных данных субъекта персональных данных в единой биометрической системе, в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, с нарушением установленных законодательством Российской Федерации в области персональных данных требований,

за исключением случаев, предусмотренных статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, –

влечет наложение административного штрафа на граждан в размере от 6 000 до 10 000 рублей;

Без изменений

на должностных лиц – от 20 000 до 40 000 рублей;

на должностных лиц – от 100 000 до 300 000 рублей;

на юридических лиц – от 30 000 до 150 000 рублей.

на юридических лиц – от 300 000 до 700 000 рублей.

2.1. Повторное совершение административного правонарушения, предусмотренного частью 2 настоящей статьи, –

влечет наложение административного штрафа на граждан в размере от 10 000 до 20 000 рублей;

Без изменений

на должностных лиц – от 40 000 до 100 000 рублей;

на должностных лиц – от 300 000 до 500 000 рублей;

на индивидуальных предпринимателей – от 100 000 до 300 000 рублей;

на индивидуальных предпринимателей – от 500 000 до 1 000 000 рублей;

на юридических лиц – от 300 000 до 500 000 рублей.

на юридических лиц – от 1 000 000 до 1 500 000 рублей.

1.   Увеличение штрафов за отсутствие письменного согласия субъекта

Напомним, что в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных (ч. 4 ст. 9 Закона о персональных данных). К таким согласиям можно отнести:

  • согласие субъекта на обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность  и которые используются оператором для установления личности субъекта персональных данных) (ч. 1 ст. 11 Закона о персональных данных), в том числе согласие физического лица на обработку биометрических персональных данных в целях проведения его аутентификации (п. 5 ч. 3 ст. 16 Федерального закона от 29.12.2022 № 572-ФЗ[1]);

  • согласие субъекта на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (п. 1 ч. 2 ст. 10 Закона о персональных данных);

  • согласие работника на получение его персональных данных у третьей стороны (п. 3 ст. 86 Трудового кодекса РФ);

  • согласие работника на передачу его персональных данных третьей стороне, в том числе в коммерческих целях (ст. 88 Трудового кодекса РФ);

  • согласие субъекта на включение его персональных данных в общедоступные источники персональных данных, в том числе справочники, адресные книги (ч. 1 ст. 8 Закона о персональных данных);

  • согласие субъекта на принятие на основании исключительно автоматизированной обработки его персональных данных решения, порождающего в отношении него юридические последствия или иным образом затрагивающего его права и законные интересы (ч. 2 ст. 16 Закона о персональных данных).

Как указано в таблице выше, Законопроект предусматривает значительное увеличение штрафов (для юридических лиц – в 3-10 раз) за обработку персональных данных без согласия в письменной форме в случаях, когда такое согласие должно быть получено в соответствии с законодательством.

Напомним, что равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью (ч. 4 с. 9 Закона о персональных данных).

2.   Штрафы за обработку биометрических персональных данных с нарушением установленных требований

Напомним, что к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных (ч. 1 ст. 11 Закона о персональных данных).

К биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, голос, анализы ДНК и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись) (Письмо Роскомнадзора от 10.02.2020 № 08АП-6782 «О направлении информации по протоколу совещания» вместе с «Практическими рекомендациями по применению положений Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при обработке биометрических персональных данных несовершеннолетних»).

Особое значение имеет вопрос возможности квалификации изображения человека в качестве биометрических персональных данных.

Так, фотографические изображения посетителей организации, содержащиеся в системе контроля управления доступа (СКУД), будут являться биометрическими персональными данными, поскольку они характеризуют физиологические и биологические особенности человека, позволяют установить, принадлежит ли данному лицу предъявляемый СКУД пропуск, на основе которого можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества с указанными в СКУД. Таким образом, фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным (Письмо Роскомнадзора от 10.02.2020 № 08АП-6782 «О направлении информации по протоколу совещания» (вместе с «Практическими рекомендациями по применению положений Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при обработке биометрических персональных данных несовершеннолетних»); Письмо Минцифры России от 17.07.2020 № ОП-П24-070-19433 «О рассмотрении обращения»).

Правоприменительная практика по данному вопросу противоречива.

Не относятся к биометрическим персональным данным (Письмо Минкомсвязи России от 28.08.2020 № ЛБ-С-074-24059 «О методических рекомендациях» (вместе с «Методическими рекомендациями для общеобразовательных организаций по вопросам обработки персональных данных»):

  • данные, полученные при сканировании паспорта оператором персональных данных для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т. п.), т. е. без проведения процедур идентификации (установления личности);

  • данные, полученные при осуществлении ксерокопирования документа, удостоверяющего личность;

  • фотографическое изображение, содержащееся в личном деле работника;

  • подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы;

  • рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека и находящиеся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента;

  • материалы видеосъемки в публичных местах и на охраняемой территории.

3.   Единая биометрическая система (ЕБС)

В случае если проверка биометрических персональных данных осуществляется автоматизированно, а не с участием уполномоченного должностного лица организации, то на организацию может распространяться действие Федерального закона от 29.12.2022 № 572-ФЗ, в соответствии с которым:

  • Для осуществления идентификации и (или) аутентификации физических лиц используется Единая биометрическая система (ЕБС);

  • Обработка биометрических персональных данных вне ЕБС запрещена, за исключением случаев, предусмотренных Федеральным законом;

  • Предоставление физическими лицами своих биометрических персональных данных в целях, предусмотренных настоящим Федеральным законом, не может быть обязательным;

  • Отказ физического лица от прохождения идентификации и (или) аутентификации с использованием его биометрических персональных данных не может служить основанием для отказа ему в оказании услуги, продаже товаров, выполнении работ или отказа в приеме на обслуживание;

  • Запрещается осуществление идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, при которых необходима трансграничная передача биометрических персональных данных;

  • Организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, – организации, владеющие информационными системами, обеспечивающими аутентификацию на основе биометрических персональных данных физических лиц, и (или) оказывающие услуги по аутентификации на основе биометрических персональных данных физических лиц, применяющие для этих целей векторы единой биометрической системы и прошедшие аккредитацию в порядке, установленном в соответствии с настоящим Федеральным законом;

  • Аккредитация организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, предполагает в качестве одного из условий минимальный размер собственных средств (капитала) не менее чем 500 миллионов рублей.

О чем подумать, что сделать?

Рекомендуем всем заинтересованным лицам:

  • определить, осуществляет ли организация обработку персональных данных в случаях, требующих получения согласия в письменной форме;

  • разработать соответствующие формы согласий, содержащие установленный перечень информации;

  • обеспечить получение согласий в письменной форме, включая при необходимости получение согласий в форме электронного документа, подписанного электронной подписью;

  • определить, являются ли персональные данные, обрабатываемые организацией, биометрическими персональными данными (включая квалификацию изображения человека в качестве биометрических персональных данных);

  • установить применимость к деятельности организации положений Федерального закона от 29.12.2022 № 572-ФЗ;

  • подтвердить наличие в организации необходимых документов, регулирующих обработку персональных данных, в том числе биометрических персональных данных.

Помощь консультанта

Специалисты «Пепеляев Групп» готовы оказать компаниям всестороннюю юридическую поддержку в связи с обработкой организациями персональных данных, включая биометрические персональные данные.

Спектр услуг «Пепеляев Групп» включает следующие:

1. Разработка пакета необходимых форм согласий, включая:

  • согласие субъекта на обработку персональных данных в соответствии с отдельными целями обработки персональных данных оператора (согласие на обработку персональных данных кандидата на вакантную должность, согласие на обработку персональных данных родственника работника, согласие на обработку персональных данных посетителя сайта и иные);

  • согласие субъекта на поручение обработки персональных данных;

  • согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения;

  • согласие субъекта на обработку персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;

  • согласие субъекта на обработку биометрических персональных данных;

  • согласие субъекта на обработка специальных категорий персональных данных;

  • согласие работника на получение его персональных данных у третьей стороны;

  • согласие работника на передачу его персональных данных третьей стороне, в том числе в коммерческих целях;

  • согласие субъекта на включение его персональных данных в общедоступные источники персональных данных;

  • согласие субъекта на принятие на основании исключительно автоматизированной обработки его персональных данных решения, порождающего в отношении него юридические последствия или иным образом затрагивающего его права и законные интересы.

2. Консультирование по вопросам соблюдения письменной формы согласий, включая вопросы использования электронных подписей.

3. Помощь в организации процесса получения согласий.

4. Разработка соглашений об электронном взаимодействии.

5. Помощь в определении, являются ли персональные данные, обрабатываемые организацией, биометрическими персональными данными.

6. Анализ применимости к деятельности организации положений Федерального закона от 29.12.2022 № 572-ФЗ.

7. Разработка необходимых документов, регулирующих обработку персональных данных, в том числе биометрических персональных данных.


[1] Федеральный закон от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации».


Если Вы заметили ошибку или опечатку, выделите ее и нажмите CTRL+Q

Вас также может заинтересовать

skill

14.04.2023

Экспертиза в ходе выездной налоговой проверки: рекомендации как вести себя, права, разъяснения судов

В этом ролике вы узнаете о рекомендациях для проверяемого налогоплательщика при проведении экспертизы в ходе выездной налоговой проверки, о преимуществах сбора информации...

Смотреть

22.12.2022

Утверждены новые формы уведомлений Роскомнадзора

С 26 декабря 2022 г. операторы персональных данных будут обязаны использовать новые формы уведомлений о намерении осущес...

27.09.2022

Что нужно знать бизнесу о защите персональных данных

В 2022 году прошла реформа законодательства о персональных данных, и у бизнеса появились новые обязанности. Одна их них ...

08.09.2022

Роскомнадзор разъяснил операторам порядок направления уведомлений об обработке персональных данных и опубликовал некоторые формы электронных уведомлений

Роскомнадзор выпустил разъяснения о сроках направления операторами уведомлений об обработке персональных данных. Также...

02.08.2022

Реформа законодательства о персональных данных: к чему готовиться юристам

Баира Бембеева, старший юрист Цифровой группы «Пепеляев Групп», проанализировала инициативы в рамках реформы законодательства...