C 27 марта вступили в силу положения Федерального закона от 24.02.2021 № 19-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Законодатели увеличили штрафы за нарушение законодательства РФ в области персональных данных, предусмотрели штрафы за повторные нарушения и исключили меру административного наказания в виде предупреждения по некоторым пунктам. Подробнее об изменениях в материале.
Вместе cо штрафами увеличен срок давности привлечения к административной ответственности за нарушения в области персональных данных с 3 месяцев до 1 года (п. 1 ст. 4.5). В случае признания административного правонарушения длящимся, срок исчисляется со дня обнаружения данного правонарушения (п.2 ст. 4.5), то есть со дня, когда должностное лицо, уполномоченное составлять протокол об административном правонарушении, выявило факт его совершения.
Приведем таблицу с разъяснениями по исчислению срока давности за нарушения в области персональных данных в соответствии с изменениями.
|
Статья и пункт КоАП РФ |
Содержание |
Требования по срокам, установленные для операторов персональных данных |
Исчисление срока давности в соответствии с изменениями |
|
13.11 (п. 1) |
Обработка данных в случаях, не предусмотренных законодательством |
- |
Длящееся правонарушение: 1 год со дня обнаружения административного правонарушения |
|
13.11 (п. 2) |
Обработка персональных данных без письменного согласия субъекта |
- |
Длящееся правонарушение: 1 год со дня обнаружения административного правонарушения |
|
13.11 (п. 3) |
Невыполнение обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных |
Срок установлен только для операторов персональных данных, являющихся государственными или муниципальными органами. Документы, определяющие политику в отношении обработки персональных данных, подлежат опубликованию на официальном сайте государственного или муниципального органа в течение 10 дней после их утверждения (ч. 2 Постановления Правительства РФ от 21.03.2012 № 211). |
1) для операторов персональных данных, являющихся государственными или муниципальными органами: не длящееся правонарушение в форме бездействия, 1 год со дня, следующего за последним днем периода, предоставленного для исполнения соответствующей обязанности.
2) для остальных операторов: длящееся правонарушение, 1 год со дня обнаружения административного правонарушения.
|
|
13.11 (п. 4) |
Невыполнение обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных |
Оператор обязан сообщить в порядке, предусмотренном статьей 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 30 дней с даты получения запроса субъекта персональных данных или его представителя (ст. 20 Федерального закона № 152-ФЗ). |
Не длящееся правонарушение в форме бездействия: 1 год со дня, следующего за последним днем периода, предоставленного для исполнения соответствующей обязанности |
|
13.11 (п. 5) |
Невыполнение оператором в сроки, установленные законодательством, требования об уточнении персональных данных, их блокировании или уничтожении |
Сроки указаны в статье 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». В случае подтверждения факта неточности персональных данных оператор обязан уточнить персональные данные либо обеспечить их уточнение в течение 7 рабочих дней со дня представления сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, и снять блокирование персональных данных (п. 2). В случае выявления неправомерной обработки персональных данных оператор в срок, не превышающий 3 рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение (п. 3). В случае достижения цели обработки оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение и уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий 30 дней с даты достижения цели обработки (п. 4). В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки и в случае, если сохранение персональных данных более не требуется для целей обработки, уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий 30 дней с даты поступления указанного отзыва (п. 5). В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3-5 настоящей статьи, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами (п. 6). |
Не длящееся правонарушение в форме бездействия: 1 год со дня, следующего за последним днем периода, предоставленного для исполнения соответствующей обязанности |
|
13.11 (п. 6) |
Невыполнение при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ |
- |
Длящееся правонарушение: 1 год со дня обнаружения административного правонарушения |
|
13.11 (п. 7) |
Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных |
- |
Длящееся правонарушение: 1 год со дня обнаружения административного правонарушения |
|
13.11 (п. 8) |
Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации |
- |
Длящееся правонарушение: 1 год со дня обнаружения административного правонарушения |
|
19.7 |
Непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, или представление таких сведений в неполном объеме или искаженном виде |
В случае изменения сведений, отраженных в уведомлении об обработке персональных данных, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение 10 рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных (п. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). |
Не длящееся правонарушение в форме бездействия: 1 год со дня, следующего за последним днем периода, предоставленного для исполнения соответствующей обязанности |
Отметим, что изменение срока давности увеличивает риск наложения штрафов по результатам проверок Роскомнадзора. Операторам персональных данных теперь сложно будет избежать ответственности за нарушения в области обработки персональных данных в связи с истечением срока давности, как случалось раньше. Поэтому рекомендуем ответственно подойти к разработке необходимой организационно-распорядительной документации и проведению мероприятий по обработке и защите персональных данных.