Обязанности оператора персональных данных: требования к бизнесу

26 июля 2023 г.

Любая компания обрабатывает персональные данные (далее также – «ПД») своих работников, клиентов и контрагентов. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту – «Закон о персональных данных», «ФЗ № 152-ФЗ») называет такие компании операторами персональных данных (далее также – «операторы», «операторы «ПД», «ОПД»).

Закон о персональных данных накладывает на операторов много обязанностей при осуществлении обработки персональных данных, и количество только растет. Нередко их исполнение требует вложения денежных средств и привлечения специалистов.

В статье подробно рассмотрим обязанности, которые законодательство о персональных данных возлагает на бизнес, и ответственность операторов за их несоблюдение.

Обязанности операторов персональных данных

Обязанностям оператора посвящена отдельная глава 4 Закона о персональных данных, однако некоторые из них содержатся также и в других главах закона. Кроме того, они получают свое развитие в нормативных актах органов-регуляторов (Роскомнадзора, ФСТЭК РФ и ФСБ РФ).

Для удобства рассмотрения условно разделим обязательства на несколько групп.

  • обязанности при взаимодействии с Роскомнадзором;
  • обязанности по соблюдению принципов и условий обработки персональных данных;
  • обязанности по защите персональных данных;
  • обязанности при взаимодействии с субъектом персональных данных.

Ниже рассмотрим каждую из групп подробнее.

Обязанности ОПД при взаимодействии с Роскомнадзором

Начнем рассмотрение темы с данной группы, поскольку любая работа с персональными данными начинается с уведомления Роскомнадзора. Далее оператор в течение всей деятельности по обработке персональных данных обязан информировать контролирующий орган о наступлении определенных событий. Рассмотрим их подробнее.

1. Обязанность подавать уведомление об обработке персональных данных.

Оператор до начала обработки ПД обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (ч. 1 ст. 22 ФЗ № 152-ФЗ). Исключение, если обработка осуществляется:

  • без использования средств автоматизации;
  • в ГИС, созданных для защиты безопасности государства и общественного порядка;
  • для обеспечения транспортной безопасности в случаях, предусмотренных законодательством.

Форма уведомления утверждена приказом Роскомнадзора от 28.10.2022 № 180 (далее по тексту – «Приказ № 180»)[1] Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа на сайте Роскомнадзора. Для направления уведомления в электронном виде потребуется пройти аутентификацию на Портале государственных услуг, заполнить и направить размещенную на сайте Роскомнадзора форму.

В случае изменения сведений указанных в уведомлении, оператор обязан уведомить Роскомнадзор не позднее 15-го числа следующего месяца, а при прекращении обработки данных – в течение 10 рабочих дней с даты прекращения. Формы также предусмотрены Приказом № 180.

2. Обязанность подать уведомление о трансграничной передаче персональных данных.

С 1 марта 2023 года на операторов возложили обязанность подавать в Роскомнадзор уведомление о своем намерении осуществлять трансграничную передачу персональных данных (часть 3 статьи 12 ФЗ № 152-ФЗ). Трансграничной признается передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Это уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных, предусмотренного статьей 22 Закона о персональных данных.

Оно, как и «общее» уведомление о начале обработки персональных данных, подается в виде документа на бумажном носителе или в форме электронного документа на сайте Роскомнадзора. Форма уведомления пока не утверждена. Перечень необходимых сведений приведен в части 4 статьи 12 ФЗ № 152-ФЗ, также можно воспользоваться рекомендуемым образцом, размещенном на сайте ведомства.

3. Обязанность сообщать информацию по запросу Роскомнадзора.

Оператор обязан по запросу Роскомнадзора необходимую информацию в течение 10 рабочих дней с даты его получения (часть 4 статьи 20 ФЗ № 152-ФЗ). Указанный срок может быть продлен по мотивированному уведомлению оператора, но не более чем на 5 рабочих дней.

4. Обязанность уведомлять об утечках персональных данных.

С 1 сентября 2022 года на оператора также возложена обязанность уведомлять Роскомнадзор о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных (часть 3.1 статьи 21 ФЗ № 152-ФЗ).

Согласно введенным нормам ОПД должен уведомить контролирующий орган:

  • в течение 24 часов – о произошедшем инциденте, о предполагаемых причинах и вреде, о принятых мерах по устранению последствий инцидента;
  • в течение 72 часов – о результатах внутреннего расследования инцидента, а также о лицах, действия которых стали причиной инцидента.

Порядок взаимодействия контролирующего органа с оператором при учете инцидентов утвержден приказом Роскомнадзора от 14.11.2022 № 187[2].

ОПД, относящиеся к субъектам критической информационной инфраструктуры (предприятия оборонной промышленности, связи, транспорта, энергетики, здравоохранения, науки, банковского сектора, горнодобывающей, металлургической и химической промышленности) обязаны сообщать о компьютерных инцидентах через информационную систему ГосСОПКА (часть 12 статьи 19 ФЗ № 152-ФЗ). Остальные передают информацию путем направления уведомления через сайт Роскомнадзора.

За нарушение обязанностей при взаимодействии с Роскомнадзором операторов ПД привлекают к административной ответственности по статье 19.7 КоАП РФ «Непредставление сведений (информации)». Штраф на должностных лиц – от 300 до 500 рублей; на юридических лиц – от 3 000 до 5 000 рублей.

Проиллюстрируем на примерах из судебной практики. В одном из дел хозяйственное общество не представило на запрос Роскомнадзора уведомление об обработке персональных данных либо информационное письмо с указанием оснований, в соответствии с которыми оно вправе осуществлять обработку персональных данных без уведомления контрольного органа. Данное общество было признано виновным в совершении административного правонарушения по статье 19.7 КоАП РФ с наложением штрафа в размере 3 000 рублей[3].

Отметим, что вышеуказанные обязанности распространяются и на иностранные компании, осуществляющие деятельность по обработке персональных данных на территории России. Так, в деле, дошедшем до Верховного Суда РФ, иностранная компания не представила по запросу Роскомнадзора информацию об используемых при обработке данных российских пользователей баз данных, о наличии на балансовом учете компании приобретенных серверных мощностей. Компания также была признана виновной в административном правонарушении, предусмотренном статьей 19.7 КоАП РФ с назначением штрафа 3 000 рублей. Оспорить решение по мотиву того, что иностранная компания направила в Роскомнадзор письмо, содержащее подход к безопасности пользовательских данных, не удалось[4].

Обязанности по соблюдению принципов и условий обработки персональных данных

При работе с персональными данными оператор обязан соблюдать принципы и условия их обработки, предусмотренные Законом о персональных данных. Данное требование вытекает из положений статьи 6 ФЗ № 152-ФЗ. Рассмотрим основные из них:

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

Так, по общему правилу на обработку персональных данных оператор ПД должен получить согласие субъекта ПД (часть 1 статьи 6 ФЗ № 152-ФЗ). Обработка без согласия допускается только в случаях, прямо предусмотренных нормами Закона о персональных данных. Например, не нужно получать согласие на обработку, если данные нужны для исполнения договора, где владелец данных является его стороной или выгодоприобретателем, или если сведения нужны для исполнения требований пенсионного, налогового, трудового законодательства. Обязанность предоставить доказательства получения согласия или наличия оснований обработки без согласия возлагается на Оператора.

2. При сборе персональных данных оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку субъекту персональных данных (часть 4 статьи 16 ФЗ № 152-ФЗ).

3. По общему правилу получать персональные данные необходимо у их владельца. Если персональные данные получены из сторонних источников, Оператор обязан предоставить субъекту персональных данных информацию о целях их обработки, предполагаемых пользователях и источнике получения данных (части 2,3 статьи 18 ФЗ № 152-ФЗ).

3. Оператор обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных (статья 7 ФЗ № 152-ФЗ). Иное может быть предусмотрено только федеральным законом. Например, если персональные данные предоставляются по запросу органов дознания, следствия и суда в соответствии с процессуальным законодательством, законодательством об оперативно-розыскных мероприятиях.

4. Оператор обязан обеспечить хранение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ (часть 5 статьи 18 ФЗ № 152-ФЗ).

5. При обработке персональных данных должны быть обеспечены их точность достаточность и актуальность. Оператор должен принимать необходимые меры по удалению или уточнению неполных или неточных данных (часть 6 статьи 18 ФЗ № 152-ФЗ). Данные факты могут быть обнаружены оператором самостоятельно или в результате обращения субъекта персональных данных или запроса Роскомнадзора.

Обязанности оператора ПД в связи с выявлением фактов неправомерной обработки персональных данных или обработки неточных персональных данных подробно раскрываются в статье 21 ФЗ № 152-ФЗ.

В частности, оператор ПД обязан:

  • осуществить блокирование неправомерно обрабатываемых персональных данных на период проведения проверки соответствующих обстоятельств. Если обработка поручена третьему лицу – предпринять меры по обеспечению блокирования;
  • при подтверждении неправомерности обработки прекратить ее (обеспечить прекращение) – в течение 3 рабочих дней. В случае, если обеспечить правомерность обработки персональных данных невозможно, уничтожить такие персональные данные, – в течение 10 рабочих дней и о принятых мерах необходимо уведомить субъекта ПД / Роскомнадзор;
  • уточнить (принять меры к уточнению третьим лицом) персональные данные в случае выявления факта неточности – в течение 7 рабочих дней со дня получения подтверждающих сведений;
  • прекратить обработку персональных данных при получении отзыва согласия на обработку – в течение 30 дней, а также при получении требования от субъекта ПД о прекращении обработки – в течение 10 рабочих дней, за исключением случаев, когда законом или договором предусмотрено продолжение обработки без согласия субъекта;
  • уничтожить персональные данные (обеспечить уничтожение) в случае достижения цели обработки персональных данных – в течение 30 дней, за исключением случаев, когда законом или договором предусмотрено продолжение обработки без согласия субъекта.

КоАП РФ содержит несколько составов административных правонарушений за невыполнение обязанностей при обработке персональных данных:

  • часть 1 статьи 13.11 КоАП РФ «Обработка персональных данных вне предусмотренных законом случаях, либо несовместимых с целями сбора персональных данных» – штраф на должностных лиц – от 10 000 до 20 000 рублей; на юридических лиц – от 60 000 тысяч до 100 000 рублей[5];
  • часть 2 статьи 13.11 КоАП РФ «Обработка персональных данных без согласия в письменной форме субъекта персональных данных либо с нарушением требований к согласию» – штраф на должностных лиц – от 20 000 до 40 000 рублей; на юридических лиц – от 30 000 до 150 000 рублей;
  • ч. 8 ст. 13.11 КоАП РФ «Невыполнение оператором при сборе персональных данных, обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации» – штраф на должностных лиц – от 500 000 до 800 000 рублей; на юридических лиц – от 6 000 000 до 18 000 000 рублей.

Так, в одном из дел Роскомнадзором было установлено, что иностранная организации осуществляет сбор персональных данных граждан Российской Федерации (при регистрации предоставлялись имя, фамилия, номер телефона, адрес электронной почты), с использованием иностранного сервиса «Speedtest». В результате иностранная организации была признана судом виновной в совершении административного правонарушения, предусмотренного частью 6 статьей 13.11 КоАП РФ, назначен штраф в размере 1 000 000 рублей[6].

Обязанности операторов по защите персональных данных

Ключевой обязанностью оператора является защита персональных данных от неправомерных действий с ними (неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и т.п.). Для этого оператор обязан принимать необходимые правовые, организационные и технические меры (статья 19 ФЗ № 152-ФЗ).

К правовым мерам относят принятие соответствующих локальных нормативных актов, к организационным – назначение ответственных лиц, обучение работников, задействованных в обработке данных, к техническим – меры, направленные предотвращение угроз информационной безопасности. Полный перечень мер Закон о персональных данных не приводит, поэтому их оператор разрабатывает самостоятельно с учетом требований подзаконных нормативных актов и особенностей деятельности оператора. Рассмотрим меры, которые обязан принимать оператор, подробнее.

Правовые меры по защите персональных данных

Оператор обязан разработать Политику в отношении обработки персональных данных (далее по тексту – «Политика») и другие локальные акты по вопросам обработки персональных данных. В них определяются категории и перечень обрабатываемых данных, категории субъектов, чьи данные обрабатываются, способы, сроки обработки и хранения персональных данных, порядок их уничтожения.

Оператор должен обеспечить доступ к Политике неограниченному кругу лиц, в том числе опубликовать ее на своем сайте в сети Интернет (часть 2 статьи 18.1 ФЗ № 152-ФЗ). Нарушение такой обязанности влечет привлечение к административной ответственности по части 3 статьи 13.11. КоАП РФ, штраф на должностных лиц – от 6 000 до 12 000 рублей; на индивидуальных предпринимателей – от 10 000 до 20 000 рублей; на юридических лиц – от 30 000 до 60 000 рублей.

Так, при проведении прокурорской проверки было выявлено, что организация не опубликовала Политику. Постановлением мирового судьи организация была признана виновной в административном правонарушении по части 3 статьи 13.11 КоАП РФ, наложен штраф в размере 15 000 рублей[7]. Попытки оспорить постановление не увенчались успехом. Вышестоящие суды отметили, что доводы о чрезмерной суровости назначенного наказания и об отсутствии негативных последствий не являются основанием для пересмотра решения[8].

Отметим, что при отсутствии у оператора своего интернет-сайта, Политика должна быть доведена неограниченному кругу лиц иными доступными способами, например, размещением на информационном стенде. Так, в одном из дел Роскомнадзор отказал в возбуждении дела ввиду отсутствия состава административном правонарушения. Оператор доказал, что в отсутствие сайта Политика размещалась на информационном стенде, также дополнительно на нем было размещено объявление, содержащее QR-код для возможности ознакомления с ней в электронном виде на Google Disk[9].

Помимо Политики, как правило, составляются такие локальные акты и документы как Положение об обработке и защите персональных данных, приказы о допуске к обработке ПД, соглашения о неразглашении согласия на обработку, Положение о порядке организации работы с обращениями субъектов персональных данных и т.п. Также разрабатываются акты, направленные на предотвращение и выявление нарушений правил обработки в информационных системах, такие как:

  • приказ об утверждении перечня информационных систем персональных данных (далее по тексту – «ИСПДн»), которые используются в обработке;
  • инструкция сотрудника, ответственного за организацию обработки персональных данных в ИСПДн;
  • инструкция по организации антивирусной защиты в ИСПДн;
  • инструкция по внештатным ситуациям и другие.

Оператор ПД должен ознакомить работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных и локальными нормативными актами, проводить обучение указанных работников (пункт 6 части 1 статьи 18.1 ФЗ № 152-ФЗ).

Организационные меры при обработке персональных данных

Помимо правовых мер должны быть разработаны и организационные меры защиты. К таковым относят назначение лиц, ответственных за организацию обработки персональных данных (пункт 1 части 1 статьи 18.1 ФЗ № 152-ФЗ).

Для операторов, обрабатывающих персональные данные без использования средств автоматизации, этого достаточно. Для организации работ в ИСПДн назначают еще лицо, ответственное за обеспечение безопасности персональных данных.

Технические меры при обработке персональных данных

Перечень технических мер для операторов, обрабатывающих данные в ИСПДн, регламентирован приказами органов-регуляторов:

  • приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • приказом ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации».

Перечисленные акты носят технический характер и адресованы преимущественно специалистам в области информационной безопасности. В состав таких мер включены:

  • идентификация и аутентификация субъектов доступа и объектов доступа;
  • защита машинных носителей персональных данных, антивирусная защита;
  • и др.

Конкретный перечень и содержание мер определяется оператором исходя из определенных уровней защищенности.

Также оператор должен разработать и применять физические меры защиты персональных данных, например, оборудовать помещение, где хранятся персональные данные, запирающимися замками. По запросу Роскомнадзора оператор обязан представить документы или иным образом подтвердить принятие мер защиты (часть 4 статьи 18.1 ФЗ №152-ФЗ).

Помимо принятия мер защиты оператор обязан проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения требований закона (подпункт 5 части 1 статьи 18.1 ФЗ № 152-ФЗ). Требования к оценке установлены в приказе Роскомнадзора от 27.10.2022 №178[10]. По результатам оценки составляется Акт оценки вреда, в котором указывается степень вреда: высокая, средняя или низкая.

Оператор обязан осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных законодательству и локальным актам оператора. Порядок аудита утверждают отдельным локальным актом или включают в Положение о защите персональных данных.

За невыполнение обязанности по сохранности персональных данных при обработке персональных данных без использования средств автоматизации, если это повлекло неправомерные действия в отношении персональных данных, оператора могут привлечь к ответственности по части 6 статьи 13.11 КоАП РФ. Штраф для должностных лиц от 8 000 до 20 000 рублей; на индивидуальных предпринимателей – от 20 000 до 40 000 рублей; на юридических лиц – от 50 000 до 100 000 рублей.

За нарушение правил защиты персональных данных в ИСПДн привлекают к ответственности по части 6 статьи 13.12. КоАП РФ. Штраф на должностных лиц – от 1 000 до 2 000 рублей; на юридических лиц – от 10 000 до 15 000 рублей.

Как было установлено в одном из дел, Управление ФСБ в ходе проведения оперативно-розыскных мероприятий выявило, что в организации не определены уровни защищенности персональных данных в ИСПДн, в нарушение Приказа № 378 не утверждены правила доступа в помещения, где хранятся средства криптозащиты, и перечень лиц, имеющих право доступа. Постановлением УФСБ организация была признана виновной в совершении административного правонарушения, предусмотренного частью 6 статьи 13.12 КоАП РФ и подвергнута наказанию в виде административного штрафа в размере 15 000 рублей. Суд признал квалификацию нарушения правильной, но счет правонарушение малозначительным и заменил штраф на замечание[11].

Кроме того, стоит помнить, что в нарушении норм Закона о персональных данных, регламентирующих требования к защите персональных данных, могут усмотреть наличие следующих составов преступлений: нарушение неприкосновенности частной жизни (статья 137 УК РФ) или неправомерный доступ к компьютерной информации, в результате которого произошло уничтожение, блокирование, модификация (изменение) или копирование информации (статья 272 УК РФ).

Обязанности при взаимодействии с субъектом персональных данных

Статьей 20 Закона о персональных данных регламентированы обязанности Оператора при обращении к нему субъекта персональных данных или его представителя (далее по тексту – «субъект ПД»). В соответствии с указанной нормой Оператор обязан:

1. Предоставить информацию о персональных данных или возможность ознакомления с ними.

В силу части 7 статьи 14 ФЗ № 152-ФЗ субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, как-то: факта обработки, оснований, целей и способов обработки, источников получения данных, сведений о лицах, которым поручена обработка и т.п. По общему правилу, запрашиваемые сведения должны быть предоставлены в течение 10-ти рабочих дней с момента получения запроса.

Оператор обязан предоставлять по просьбе субъекта ПД информацию об обрабатываемых персональных данных (перечне, правовых основаниях, целях и способах обработки и т.п.) – в течение 10 рабочих дней с даты получения запроса. В такие же сроки предоставляется субъекту возможность ознакомления с этими данными. Срок может быть продлен до 5 рабочих дней при условии мотивированного уведомления субъекта с указанием причин продления срока.

Сведения, должны быть предоставлены в доступной форме, В них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных. Предоставление запрашиваемой информации осуществляется на безвозмездной основе.

В случае отказа от предоставления запрашиваемых данных оператор обязан письменной форме дать мотивированный ответ в такие же сроки с указанием оснований отказа. Отказ допускается только по основаниям, прямо предусмотренным ФЗ № 152-ФЗ:

  • обработка осуществляется в целях обороны страны, безопасности государства и охраны правопорядка или в связи с задержанием субъекта ПД по подозрению в совершении преступления, обвинению по уголовному делу либо избрании меры пресечения;
  • обработка осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов и финансированию терроризма;
  • доступ субъекта ПД к его персональным данным нарушает права и законные интересы третьих лиц;
  • обработка персональных данных осуществляется в соответствии с законодательством о транспортной безопасности в целях безопасного функционирования транспортного комплекса.

Отметим, что обязанность предоставлять запрашиваемые сведения возникает в случае, если запрос содержит обязательные сведения, предусмотренные статьей 14 ФЗ № 152-ФЗ: сведения о документе, удостоверяющем личность, сведения, подтверждающие участие отношения с оператором (номер договора, дата заключения договора, или иные сведения), подпись субъекта ПД, что и подтверждается судебной практикой[12].

Роскомнадзор получает большое количество обращений граждан об отказах должностных лиц в предоставлении запрашиваемой информации. Хотя, как показывает практика, контролирующий орган в большинстве случаев не усматривает в действиях указанных лиц признаков правонарушения, риск привлечения к ответственности при незаконном отказе существует.

Максимальное наказание для должностных лиц – штраф до 12 000 рублей, для индивидуальных предпринимателей – до 30 000 рублей, для юридических лиц – до 80 000 рублей.

2. Внести изменения в обрабатываемые персональные данные или уничтожить.

Оператор обязан внести изменения в персональные данные, если субъект ПД предоставил Оператору сведения, повреждающие, что они являются неполными, неточными или неактуальными – в течение 7 рабочих дней со дня предоставления сведений. О внесенных изменения субъекта персональных данных необходимо уведомить.

Максимальное наказание для должностных лиц – штраф до 20 000 рублей, для индивидуальных предпринимателей – до 40 000 рублей, для юридических лиц – до 90 000 рублей.

В такие же сроки оператор обязан уничтожить персональные данные субъекта, если субъект ПД представит подтвержденные сведения, что персональные данные незаконно получены или не являются необходимыми для заявленной цели обработки.

Нарушение обязанностей по взаимодействию с субъектами персональных данных влечет за собой риск привлечения к административной ответственности, предусмотренной частью 4 статьи 13.11 КоАП РФ. Штраф на должностных лиц – от 8 000 до 12 000 рублей; на индивидуальных предпринимателей – от 20 000 до 30 000 рублей; на юридических лиц – от 40 000 до 80 000 рублей. Кроме того, на практике встречаются случаи подачи субъектом ПД исков компенсации морального вреда за непредоставление запрашиваемой информации или неосуществлении действий по прекращению обработки данных[13].

Так, в одном из дел хозяйственное общество, являющееся оператором персональных данных, не выполнило требования Роскомнадзора об удалении персональных данных работников на указанных интернет-страницах. Общество признано виновным в совершении административного правонарушения, предусмотренного частью 5 статьи 13.11 КоАП РФ, и подвергнуто административному наказанию в виде штрафа в размере 25 000 рублей.

Подводя итоги, подчеркнем необходимость надлежащего исполнения Операторами обязанностей, предусмотренных Законом о персональных данных, вне зависимости от того, является ли оператор ПД микропредприятием или крупным обществом. Игнорирование обязанностей повлечет за собой неблагоприятные последствия для бизнеса в виде штрафов, размер которых год от года растет.

_____________________

 

[1] Приказ Роскомнадзора от 28.10.2022 № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных».

[2] Приказ Роскомнадзора от 14.11.2022 № 187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных».

[3] Постановление Второго кассационного суда общей юрисдикции от 07.10.2022 № 16-7329/2022.

[4] Постановление Верховного Суда РФ от 27.12.2019 № 5-АД19-239.

[5] Здесь и далее также установлена ответственность за повторное совершение однородного правонарушения с более строгим наказанием.

[6] Постановление Второго кассационного суда общей юрисдикции от 26.12.2022 по делу № 16-9987/2022.

[7] Штраф был назначен исходя из редакции, действовавшей на дату вынесения постановления.

[8] Постановление Пятого кассационного суда общей юрисдикции от 18.02.2021 № 16-355/2021.

[9] Решение Калужского областного суда от 28.02.2023 по делу № 7-21-36/2023.

[10] Приказ Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».

[11] Решение Первомайского районного суда города Краснодара от 23.04.2019 по делу № 12-185/19.

[12] Постановление Девятого кассационного суда общей юрисдикции от 23.07.2021 № 16-1125/2021.

[13] Решение Кировского районного суда города Саратова от 17.09.2018 по делу № 2-5252/2018~М-5153/2018.

 

26 июля 2023 г.

Наша почта
info@brace-lf.com

Вы можете направить нам запрос на e-mail с подробным описанием вопроса.

Наш телефон
+ 7 (499) 755-56-50

Связаться с нами по телефону.

Клиенты и партнеры

65.png
68.png
69.png
73.png
75.png
fitera.jpg
imko.png
logo.png
Logo_RED_RGB_Rus.png
logo_SK_2.png