Федеральный закон от 30 ноября 2024 года №420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» изменил статью 13.11 «Нарушение законодательства Российской Федерации в области персональных данных» и установил новые штрафы.
В частях 10 и 11 статьи 13.11 установлены штрафы за неуведомление Роскомнадзора. Теперь невыполнение или несвоевременное выполнение оператором предусмотренной законодательством РФ в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных будет наказываться штрафами. Речь идет о двух видах уведомлений:
1. О намерении осуществлять обработку персональных данных (ч.10) – неуведомление влечёт наложение административного штрафа:
- на граждан - в размере от 5 до 10 тысяч рублей;
- на должностных лиц - от 30 до 50 тысяч рублей;
- на юридических лиц - от 100 до 300 тысяч рублей.
2. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (ч.11) – неуведомление влечет наложение административного штрафа:
- на граждан - в размере от 50 до 100 тысяч рублей;
- на должностных лиц - от 400 до 800 тысяч рублей;
- на юридических лиц - от 1 до 3 миллионов рублей.
Для справки: Статья 22 «Уведомление об обработке персональных данных» предусматривает (ч.1), что «оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных».
Требование об уведомлении о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных установлено ч. 3.1 ст. 21 закона. Оператор обязан с момента выявления такого инцидента уведомить уполномоченный орган по защите прав субъектов персональных данных:
- в течение двадцати четырех часов - о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
- в течение семидесяти двух часов - о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
Мой комментарий: Хочу обратить внимание на то, что законом предусмотрен ещё один вид уведомлений - уведомление о намерении осуществлять трансграничную передачу персональных данных. С 1 марта 2023 года операторы до начала осуществления деятельности по трансграничной передаче персональных данных обязаны направить его в Роскомнадзор.
Данное уведомление рассматривается Роскомнадзором в порядке, установленном постановлением Правительства Российской Федерации от 16.01.2023 г. №24 «Об утверждении Правил принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан».
Источник: Консультант Плюс
https://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=491932
Комментариев нет:
Отправить комментарий