Как турфирме избежать миллионных штрафов за ошибки с персональными данными

Через полгода штрафы за нарушения в области сбора и обработки персональных данных (ПД) вырастут в разы. Например, вы знали, что можно «попасть» на 20 млн рублей за аватарку пользователя на вашем интернет-ресурсе? Мы попросили специалистов компании «Юристы для турбизнеса «Байбородин и партнеры» разобрать конкретные ситуации, чтобы помочь турфирмам избежать рисков. Напомним, речь идет о статье 13.11 КоАП РФ, которая была частично изменена и существенно дополнена (9 новых пунктов и дополнительные примечания). В числе поправок — административная ответственность индивидуального предпринимателя за большинство правонарушений, которую он будет нести как юридическое лицо. Изменения вступят в силу 30 мая 2025 года. Ответственность и штрафы: что изменилось? 1. Ч. 1-2 ст. 13.11. КоАП РФ: выросли штрафы за обработку персональных данных, несовместимую с целями сбора: штраф для юридических лиц — от 150 тысяч до 300 тысяч рублей. За повторное нарушение штраф уже составит от 300 тысяч до 500 тысяч рублей. Максим Ковалевский: «Это отнюдь не новый состав административного правонарушения — КоАП РФ располагал подобной санкцией и ранее. Однако если раньше никто особо не напрягался из-за относительно небольшого размера штрафа, то сейчас ситуация иная — он стал весьма значительным. Кроме того, отдельно выделен еще более серьезный штраф за повторное нарушение. В этой связи компаниям может быть рекомендовано обратить особое внимание на соблюдение целей сбора персональных данных при их обработке». Пример нарушения: Турфирма заключает договоры с туристами. Собирает персональные данные и даже берет письменное согласие на их обработку. Однако при обработке ПД турфирма, например, передает их третьим лицам, которые никак не задействованы для целей исполнения изначально заключенного договора с туристом. Такое нарушение при проверке может повлечь штраф в размере от 150 тыс. до 300 тыс. рублей, за повторное нарушение — от 300 тыс. до 500 тыс. рублей. 2. Ч. 10 ст. 13.11. КоАП РФ: Предусмотрен отдельный пункт, связанный с неисполнением или несвоевременным исполнением обязанности по уведомлению Роскомнадзор о намерении осуществлять обработку персональных данных. Штраф составляет для юридических лиц от 100 до 300 тысяч рублей; Александр Байбородин: «Многие компании до последнего не направляли уведомление в Роскомнадзор (РКН). Аргумент был такой: „Штраф небольшой, а уведомишь — так точно придут с проверкой“. Определенная логика в этом была, действительно, в некоторых ведомствах, по слухам, была и есть практика: „Потерянные ключи ищи под фонарем. Почему? Там видно лучше“, — то есть проверяли компании, которые есть в реестрах, а те, которых нет, — не трогали. Сейчас штраф вырос до ощутимой суммы. Очевидно, это подтолкнет направить уведомление всех, кто до сих пор сомневался». Пример нарушения: Турфирма заключает договоры с туристами. Собирает ФИО, телефоны, мейлы, берет копии паспортов. Таким образом, компания является оператором персональных данных, однако не уведомляет Роскомнадзор. Такое нарушение при проверке может повлечь штраф в размере от 100 до 300 тыс. рублей. А ТЕПЕРЬ САМОЕ ИНТЕРЕСНОЕ 3. ч. 11 ст. 13.11. КоАП РФ: За неисполнение или несвоевременное исполнение обязанности по уведомлению РКН о случае установления факта случайной или неправомерной передачи (распространения/доступа) персональных данных, что влечет нарушение прав субъектов персональных данных, предусматривается штраф, размер которого для юридических лиц составляет от 1 млн до 3 млн рублей. Вадим Погорелов: «Обязанность по уведомлению РКН об инцидентах с персональными данным не является новой. Сроки таких уведомлений были обозначены еще в 2022 году. И вполне логично, что установление штрафа как меры воздействия на бизнес с целью принуждения к исполнению такой обязанности было вопросом времени. С учетом достаточно сжатых сроков для уведомления и проведения внутреннего расследования руководству компаний и назначенным ответственным за обработку персональных данных, очевидно, придется постоянно быть начеку, поскольку именно от своевременного реагирования компании на инциденты будет зависеть риск получения штрафа в столь крупном размере». Пример нарушения: Турфирма заключает договоры с туристами. Собирает ПД, обрабатывает их должным образом, при этом они хранятся в ее базе данных. Возникает ситуация, при которой к базе получают доступ злоумышленники, копируют ее и потом используют полученные сведения в незаконных целях. Однако при возникновения подобного инцидента турфирма не уведомляет РКН и пытается скрыть сам факт произошедшего. Такое нарушение при проверке может повлечь штраф в размере от 1 до 3 млн рублей. 4. Ч. 12-14 ст. 13.11. КоАП РФ: За действия (бездействие) оператора, повлекшие неправомерную передачу (распространение/доступ) информации, содержащей персональные данные, устанавливаются следующие штрафы (в зависимости от объема утечки): а) при компрометации персональных данных от одной тысячи до десяти тысяч субъектов персональных данных и (или) от десяти тысяч до ста тысяч идентификаторов — для юридических лиц от 3 млн до 5 млн рублей; б) при компрометации персональных данных от десяти тысяч до ста тысяч субъектов персональных данных и (или) от ста тысяч до одного миллиона идентификаторов — для юридических лиц от 5 млн до 10 млн рублей; в) при компрометации персональных данных более ста тысяч субъектов персональных данных и (или) более одного миллиона идентификаторов — для юридических лиц от 10 млн до 15 млн рублей. Вадим Погорелов: «С учетом последних тенденций, связанных с периодическими утечками персональных данных граждан РФ, вполне закономерным выглядит инициатива по установлению достаточно сурового наказания лиц, в результате действия или бездействия которых такие утечки происходят. А размер штрафов неизбежно приведет к тому, что бизнесу придется озаботиться защитой персональных данных не „на бумаге“, а фактически, что непременно повысит расходы компаний по ведению бизнеса и снижению потенциальных рисков. Создается впечатление, что именно в этом и кроется основная цель вносимых поправок». Пример нарушения: Турфирма заключает договоры с туристами. Собирает персональные данные, обрабатывает их должным образом, при этом ПД хранятся в базе данных. Менеджер увольняется из турагентства и забирает с собой базу клиентов. В относительно безобидном сценарии в дальнейшем он делает рассылку по клиентам. В этом случае у туристов может возникнуть справедливое возмущение: «Откуда у вас мои персональные данные?». Но есть вариант и похлеще: бывший менеджер турфирмы использует персональные данные в мошеннических схемах получения средств с чужих банковских счетов. Ответственности в данном случае будет подлежать не только он, но и сама турфирма, которая не приняла надлежащие меры по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных. Такое нарушение при проверке может повлечь штраф в размере от 3 млн. до 15 млн. рублей (в зависимости от объемов утечки). 5. Ч. 16 ст. 13.11. КоАП РФ: В случае совершения оператором действий (бездействия), в результате которого было допущено неправомерное распространение (передача/доступ) персональных данных специальной категории, оператор рискует получить штраф, размер которого для юридических лиц составляет от 10 млн до 15 млн рублей. Вадим Погорелов: «С учетом дополнения нормы частями, указанным выше, совсем не лишним будет напомнить, что именно относится к специальной категории персональных данных. Ст. 10 ФЗ № 152 указывает таковыми: персональные данные, содержание сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состояния здоровья, интимной жизни. Пример нарушения: Турфирма заключает договоры с туристами. При этом по тем или иным причинам (в силу, скажем, специфики туруслуг) собирает персональные данные, относящиеся к специальной категории. Как вариант, может возникнуть ситуация, при которой полученные данные, относящиеся к специальной категории, были без наличия отдельного согласия на то субъекта ПД переданы третьим лицам (хотя бы даже и во исполнение указанного договора). Такое нарушение при проверке может повлечь штраф в размере от 10 до 15 млн рублей. 6. Ч. 17 ст. 13.11. КоАП РФ: В случае совершения оператором действий (бездействия), в результате которых было допущено неправомерное распространение (передача/доступ) биометрических персональных данных, оператор рискует получить штраф, размер которого для юридических лиц составляет от 15 млн до 20 млн рублей. Максим Ковалевский: «А вот это уже новый состав административного правонарушения. Причем хочется отдельно отметить, что санкция в виде штрафа, откровенно говоря, колоссальна! И ни в коем случае не следует ее игнорировать или как-то несерьезно относится к ней. Согласитесь, что лучше уж озаботится наличием соответствующего подтверждающего документа субъекта персональных данных, нежели потом „кусать локти“. Напомним, что согласно ч. 1 ст. 11 Федерального закона N 152-ФЗ от 27.07. 2006 „О персональных данных“ оператору необходимо получить отдельное согласие от субъекта персональных данных на обработку его биометрических ПД». Пример нарушения: Турфирма имеет собственный интернет-сайт, где пользователь может загрузить изображение своего лица (в виде той же аватарки) для, например, публикации какого-либо поста/отзыва. При этом турфирма не озаботилась получением отдельного согласия у субъекта ПД на распространение его биометрических персональных данных (коим как раз и может являться то самое фотоизображение лица пользователя). Такое нарушение при проверке может повлечь штраф в размере от 15 до 20 млн рублей. Отдельного внимания заслуживают ч. 15 и 18 ст. 13.11, согласно которым, в случае совершения административного правонарушения лицом, которое уже было подвергнуто административному наказанию за правонарушения, указанные выше, к юридическому лицу может быть применен штраф в размере от 1 до 3% от выручки за предыдущий года, но не менее 25 млн рублей и не более 500 млн рублей. Резюмируя, можно прийти к однозначному выводу о том, что политика государства в отношении защиты персональных данных граждан существенно ужесточается. На фоне широко распространившейся в 2024 году практики РКН по направлению запросов бизнесу на предмет подтверждения должного подхода к защите персональных данных, можно смело утверждать, что одних из ключевых залогов выживания бизнеса будет являться осознанный и ответственный подход к защите персональных данных. Таким образом, туристическим компаниям настоятельно рекомендуется уже сейчас озаботиться вопросом подготовки всех необходимых внутренних локальных актов, приведению сайта в надлежащий вид и принятию технических и фактических мер по обеспечению защиты обрабатываемых персональных данных. О том, какие шаги необходимо предпринять турфирме, чтобы избежать перечисленных рисков, читайте в нашем следующем материале.