янв
31
2025
redaktor
Желание властей мотивировать операторов персональных данных следовать хотя бы духу закона, вводя строгие штрафы с 2025 года, начинает реализовываться в разных сценариях.
Вот реальная история последних дней от нашего клиента.
Не успели отгреметь новогодние фанфары, а Управление Роскомнадзора одного из регионов Северо-Западного ФО провело «контрольное мероприятие без взаимодействия с контролируемым лицом», проверив официальный сайт небольшой компании. Нарушений, невидимых обычному пользователю сайта, нашли на 5 страниц замечаний. Важная деталь: в «Плане деятельности» Управления Роскомнадзора на 2024 год и в «Плане деятельности» на 2025 год контрольные мероприятия по мониторингу сайтов отсутствовали. И что не менее важно в этой истории - это тональность письма регулятора в адрес компании. Если еще год-два назад в письмах РКН присутствовали формулировки типа «обращаем внимание», «предлагаем», «просим», то в январе 2025 года, за полгода до введения новых штрафов, послание регулятора изобилует словами «требуем», «обязаны», «неповиновение» и т.д. Более того, Управление Роскомнадзора предупреждает оператора, что может оштрафовать его аж по трем составам КоАП РФ.
Итак, за что хотят наказать организацию?
Во-первых, при сборе персональных данных отсутствует согласие пользователя сайта.
Во-вторых, в размещенном на сайте пользовательском соглашении не указаны ссылки на все формы сбора, предполагающие внесение персональных данных.
В-третьих, раздел о правовых основаниях не предусматривает условия обработки ПДн.
В-четвертых, в Политике оператора не представлена информация, определяющая для каждой цели обработки категории ПДн, категории субъекта, сроки, способы обработки, порядок уничтожения ПДн.
В-пятых, в Политике отсутствует перечень некоторых категорий ПДн, собираемых с использованием форм обратной связи.
В-шестых, в поданном ранее Уведомлении по некоторым целям обработки указаны не все категории персональных данных.
В-седьмых, в разделе сайта «Документы», содержатся персональные данные в таких подразделах как «Охрана труда», «Выбор аудиторской организации» и т.д., а каких-либо указаний на наличие согласия субъектов на распространение персональных данных на сайте компании нет.
В-восьмых, на сайте отсутствует информация об «Условиях» распространения персональных данных.
А теперь вдумайтесь в следующие цифры. Формально, одним росчерком пера, инспектор Роскомнадзора может привлечь к ответственности компанию за:
-
отсутствие согласия на распространение ПДн – наказание для должностных лиц 100-300 тыс, на организацию 300-700 тыс. (ч.2. ст.13.11 КоАП),
-
непредставление информации в обновленном Уведомлении – 5 тыс. (ст.19.7 КоАП), но может быть применена новая норма с 30.05.2025г – наказание для должностных лиц-30-50 тыс, на оператора – 100-300 тыс.(ч.10 ст. 13.11 КоАП),
-
неуведомление Роскомнадзора по документу о целях обработки – 5 тыс (ст.19.7 КоАП).
Сам факт направления Управлением Роскомнадзора предписания в адрес данной компании будет означать, что оператор автоматически повышает свой уровень категории риска в соответствии с постановлением Правительства РФ, и из группы умеренного организация перейдет в группу среднего риска.
Мы на курсах повышения квалификации всегда даем слушателям домашние задания, вот и сейчас предлагаем вам проанализировать свой сайт, найти возможные нарушения законодательства и посчитать сумму возможных претензий регулятора.