В конце декабря 2023 г. вступил в силу закон[1], увеличивающий штрафы за обработку персональных данных в отсутствие письменного согласия субъекта либо на основании ненадлежащим образом оформленного согласия.
Когда необходимо письменное согласие на обработку персональных данных?
По общему правилу, согласие на обработку персональных данных может быть дано субъектом в любой форме, которая позволяет подтвердить получение такого согласия (то есть, в принципе, даже устно). Согласие именно в письменной форме требуется для обработки специальных категорий персональных данных, касающихся:
- расовой, национальной принадлежности,
- политических взглядов, религиозных или философских убеждений,
- состояния здоровья,
- интимной жизни.
Кроме того, письменное согласие необходимо для обработки биометрических персональных данных – сведений, которые характеризуют физиологические и биологические особенности человека, – это, например, отпечатки пальцев, ДНК.
Штрафы за обработку персональных данных без письменного согласия субъекта
В соответствии с новыми правилами, нарушение, совершенное впервые, повлечет штраф для юридических лиц — от трехсот тысяч до семисот тысяч рублей. Ранее штрафы за аналогичное правонарушение были значительно меньше, максимальный штраф для юридического лица составлял сто пятьдесят тысяч рублей.
Штраф за повторную обработку персональных данных без необходимого письменного согласия составит для юридических лиц от одного миллиона до полутора миллионов рублей. Ранее максимальный штраф для юридических лиц за повторное нарушение мог составлять до пятисот тысяч рублей.
Штрафы за нарушения при размещении биометрии в ЕБС
Кроме того, КоАП дополнен новой статьей 13.11.3, которая устанавливает ответственность за нарушения при работе с биометрией.
Размещение биометрических данных в Единой биометрической системе (ЕБС) с нарушением законодательных требований повлечет наложение административного штрафа на юридических лиц — от пятисот тысяч до одного миллиона рублей.
Требования к размещению данных в ЕБС сосредоточены в статье 4 Закона № 572[2]: в частности, данные помещаются в ЕБС в присутствии субъекта, согласие на обработку должно быть дано письменно, подписано «живой» или усиленной неквалифицированной электронной подписью; согласие должно соответствовать форме, установленной Правительством.
В целом нововведения касаются, в первую очередь, обработки биометрических персональных данных и размещения таких данных в ЕБС. Таким образом, работа с биометрическими данными требует особой внимательности и неукоснительного следования законодательству.
[1] Федеральный закон от 12.12.2023 № 589-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».
[2] Федеральный закон от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных…».