Как турфирме избежать миллионных штрафов за ошибки с персональными данными
Подробный разбор от юристов
Через полгода штрафы за нарушения в области сбора и обработки персональных данных (ПД) вырастут в разы. Например, вы знали, что можно «попасть» на 20 млн рублей за аватарку пользователя на вашем интернет-ресурсе? Мы попросили специалистов компании «Юристы для турбизнеса «Байбородин и партнеры» разобрать конкретные ситуации, чтобы помочь турфирмам избежать рисков.
Напомним, речь идет о статье 13.11 КоАП РФ, которая была частично изменена и существенно дополнена (9 новых пунктов и дополнительные примечания). В числе поправок — административная ответственность индивидуального предпринимателя за большинство правонарушений, которую он будет нести как юридическое лицо. Изменения вступят в силу 30 мая 2025 года.
Ответственность и штрафы: что изменилось?
1. Ч.
Максим Ковалевский: «Это отнюдь не новый состав административного правонарушения — КоАП РФ располагал подобной санкцией и ранее. Однако если раньше никто особо не напрягался из-за относительно небольшого размера штрафа, то сейчас ситуация иная — он стал весьма значительным. Кроме того, отдельно выделен еще более серьезный штраф за повторное нарушение.
В этой связи компаниям может быть рекомендовано обратить особое внимание на соблюдение целей сбора персональных данных при их обработке».
Пример нарушения:
Турфирма заключает договоры с туристами. Собирает персональные данные и даже берет письменное согласие на их обработку.
Однако при обработке ПД турфирма, например, передает их третьим лицам, которые никак не задействованы для целей исполнения изначально заключенного договора с туристом.
Такое нарушение при проверке может повлечь штраф в размере от 150 тыс. до 300 тыс. рублей, за повторное нарушение — от 300 тыс. до 500 тыс. рублей.
2. Ч. 10 ст. 13.11. КоАП РФ: Предусмотрен отдельный пункт, связанный с неисполнением или несвоевременным исполнением обязанности по уведомлению Роскомнадзор о намерении осуществлять обработку персональных данных. Штраф составляет для юридических лиц от 100 до 300 тысяч рублей;
Александр Байбородин: «Многие компании до последнего не направляли уведомление в Роскомнадзор (РКН). Аргумент был такой: „Штраф небольшой, а уведомишь — так точно придут с проверкой“.
Определенная логика в этом была, действительно, в некоторых ведомствах, по слухам, была и есть практика: „Потерянные ключи ищи под фонарем. Почему? Там видно лучше“, — то есть проверяли компании, которые есть в реестрах, а те, которых нет, — не трогали.
Сейчас штраф вырос до ощутимой суммы. Очевидно, это подтолкнет направить уведомление всех, кто до сих пор сомневался».
Пример нарушения:
Турфирма заключает договоры с туристами. Собирает ФИО, телефоны, мейлы, берет копии паспортов.
Таким образом, компания является оператором персональных данных, однако не уведомляет Роскомнадзор.
Такое нарушение при проверке может повлечь штраф в размере от 100 до 300 тыс. рублей.
А ТЕПЕРЬ САМОЕ ИНТЕРЕСНОЕ
3. ч. 11 ст. 13.11. КоАП РФ: За неисполнение или несвоевременное исполнение обязанности по уведомлению РКН о случае установления факта случайной или неправомерной передачи (распространения/доступа) персональных данных, что влечет нарушение прав субъектов персональных данных, предусматривается штраф, размер которого для юридических лиц составляет от 1 млн до 3 млн рублей.
Вадим Погорелов: «Обязанность по уведомлению РКН об инцидентах с персональными данным не является новой. Сроки таких уведомлений были обозначены еще в 2022 году.
И вполне логично, что установление штрафа как меры воздействия на бизнес с целью принуждения к исполнению такой обязанности было вопросом времени.
С учетом достаточно сжатых сроков для уведомления и проведения внутреннего расследования руководству компаний и назначенным ответственным за обработку персональных данных, очевидно, придется постоянно быть начеку, поскольку именно от своевременного реагирования компании на инциденты будет зависеть риск получения штрафа в столь крупном размере».
Пример нарушения:
Турфирма заключает договоры с туристами. Собирает ПД, обрабатывает их должным образом, при этом они хранятся в ее базе данных.
Возникает ситуация, при которой к базе получают доступ злоумышленники, копируют ее и потом используют полученные сведения в незаконных целях. Однако при возникновения подобного инцидента турфирма не уведомляет РКН и пытается скрыть сам факт произошедшего.
Такое нарушение при проверке может повлечь штраф в размере от 1 до 3 млн рублей.
4. Ч.
- а) при компрометации персональных данных от одной тысячи до десяти тысяч субъектов персональных данных и (или) от десяти тысяч до ста тысяч идентификаторов — для юридических лиц от 3 млн до 5 млн рублей;
- б) при компрометации персональных данных от десяти тысяч до ста тысяч субъектов персональных данных и (или) от ста тысяч до одного миллиона идентификаторов — для юридических лиц от 5 млн до 10 млн рублей;
- в) при компрометации персональных данных более ста тысяч субъектов персональных данных и (или) более одного миллиона идентификаторов — для юридических лиц от 10 млн до 15 млн рублей.
Вадим Погорелов: «С учетом последних тенденций, связанных с периодическими утечками персональных данных граждан РФ, вполне закономерным выглядит инициатива по установлению достаточно сурового наказания лиц, в результате действия или бездействия которых такие утечки происходят.
А размер штрафов неизбежно приведет к тому, что бизнесу придется озаботиться защитой персональных данных не „на бумаге“, а фактически, что непременно повысит расходы компаний по ведению бизнеса и снижению потенциальных рисков.
Создается впечатление, что именно в этом и кроется основная цель вносимых поправок».
Пример нарушения:
Турфирма заключает договоры с туристами. Собирает персональные данные, обрабатывает их должным образом, при этом ПД хранятся в базе данных.
Менеджер увольняется из турагентства и забирает с собой базу клиентов. В относительно безобидном сценарии в дальнейшем он делает рассылку по клиентам. В этом случае у туристов может возникнуть справедливое возмущение: «Откуда у вас мои персональные данные?». Но есть вариант и похлеще: бывший менеджер турфирмы использует персональные данные в мошеннических схемах получения средств с чужих банковских счетов.
Ответственности в данном случае будет подлежать не только он, но и сама турфирма, которая не приняла надлежащие меры по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Такое нарушение при проверке может повлечь штраф в размере от 3 млн. до 15 млн. рублей (в зависимости от объемов утечки).
5. Ч. 16 ст. 13.11. КоАП РФ: В случае совершения оператором действий (бездействия), в результате которого было допущено неправомерное распространение (передача/доступ) персональных данных специальной категории, оператор рискует получить штраф, размер которого для юридических лиц составляет от 10 млн до 15 млн рублей.
Вадим Погорелов: «С учетом дополнения нормы частями, указанным выше, совсем не лишним будет напомнить, что именно относится к специальной категории персональных данных. Ст. 10 ФЗ № 152 указывает таковыми: персональные данные, содержание сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состояния здоровья, интимной жизни.
Пример нарушения:
Турфирма заключает договоры с туристами. При этом по тем или иным причинам (в силу, скажем, специфики туруслуг) собирает персональные данные, относящиеся к специальной категории.
Как вариант, может возникнуть ситуация, при которой полученные данные, относящиеся к специальной категории, были без наличия отдельного согласия на то субъекта ПД переданы третьим лицам (хотя бы даже и во исполнение указанного договора).
Такое нарушение при проверке может повлечь штраф в размере от 10 до 15 млн рублей.
6. Ч. 17 ст. 13.11. КоАП РФ: В случае совершения оператором действий (бездействия), в результате которых было допущено неправомерное распространение (передача/доступ) биометрических персональных данных, оператор рискует получить штраф, размер которого для юридических лиц составляет от 15 млн до 20 млн рублей.
Максим Ковалевский: «А вот это уже новый состав административного правонарушения. Причем хочется отдельно отметить, что санкция в виде штрафа, откровенно говоря, колоссальна! И ни в коем случае не следует ее игнорировать или как-то несерьезно относится к ней. Согласитесь, что лучше уж озаботится наличием соответствующего подтверждающего документа субъекта персональных данных, нежели потом „кусать локти“.
Напомним, что согласно ч. 1 ст. 11 Федерального закона N
Пример нарушения:
Турфирма имеет собственный интернет-сайт, где пользователь может загрузить изображение своего лица (в виде той же аватарки) для, например, публикации какого-либо поста/отзыва.
При этом турфирма не озаботилась получением отдельного согласия у субъекта ПД на распространение его биометрических персональных данных (коим как раз и может являться то самое фотоизображение лица пользователя).
Такое нарушение при проверке может повлечь штраф в размере от 15 до 20 млн рублей.
Отдельного внимания заслуживают ч. 15 и 18 ст. 13.11, согласно которым, в случае совершения административного правонарушения лицом, которое уже было подвергнуто административному наказанию за правонарушения, указанные выше, к юридическому лицу может быть применен штраф в размере от 1 до 3% от выручки за предыдущий года, но не менее 25 млн рублей и не более 500 млн рублей.
Резюмируя, можно прийти к однозначному выводу о том, что политика государства в отношении защиты персональных данных граждан существенно ужесточается.
На фоне широко распространившейся в 2024 году практики РКН по направлению запросов бизнесу на предмет подтверждения должного подхода к защите персональных данных, можно смело утверждать, что одних из ключевых залогов выживания бизнеса будет являться осознанный и ответственный подход к защите персональных данных.
Таким образом, туристическим компаниям настоятельно рекомендуется уже сейчас озаботиться вопросом подготовки всех необходимых внутренних локальных актов, приведению сайта в надлежащий вид и принятию технических и фактических мер по обеспечению защиты обрабатываемых персональных данных.
О том, какие шаги необходимо предпринять турфирме, чтобы избежать перечисленных рисков, читайте в нашем следующем материале.
Начала возвращаться, ругаться - им пофиг! Делают квадратные глаза и говорят что Вы выдумываете. А когда звонки и при ни х продолжаются - не знаем кто и почему Вам звонят!
Сначала бы порядок в госучереждениях навели, а потом уже к Турагентствам цеплялись!!!