Защита персональных данных и информационная безопасность

Новости законодательства

Изменения в законодательстве о персональных данных

28 февраля этого года Федеральный закон № 23-ФЗ внес изменения в закон «О персональных данных». Новая редакция ч.5 ст.18 152-ФЗ ужесточила требования к локализации баз персональных данных — сбор персональных данных россиян с использованием зарубежных баз данных с 1 июля этого года будет запрещен.

Сейчас оператор персональных данных должен организовать их обработку в базах данных на территории России. Законодатели решили, что такое требование позволяет вести сбор персональных данных за границей или через промежуточные базы данных на территории России.

Поправки касаются не только информационных систем операторов, но и процесса сбора персональных данных через информационные системы обработчиков.

Обращаем ваше внимание, что действующая ст.12 и ч.5 ст.18 в новой редакции Закона не ограничивают трансграничную передачу персональных данных, собранных на территории РФ.

Если требования о локализации баз данных, содержащих персональные данные, не выполняются, то, в соответствии с п. 8, 9 ст. 13.11 КоАП РФ, на граждан будет наложен штраф от 30 тыс. до 50 тыс. рублей; на должностных лиц — от 100 тыс. до 200 тыс. рублей; на юридических лиц — от 1 млн до 6 млн. рублей. При повторном нарушении штрафы возрастут: для физлиц — от 50 тыс. до 100 тыс. рублей; должностных лиц — от 500 тыс. до 800 тыс. рублей; организаций — от 6 млн. до 18 млн. рублей.

Граждане, ведущие предпринимательскую деятельность без образования юридического лица, несут в этом случае такую же административную ответственность, как организации.

Пока официальных разъяснений регуляторов, как и соответствующей правоприменительной практики в части толкования новых требований о локализации баз данных, нет.

Источник информации: Федеральный закон от 28 февраля 2025 г. № 23-ФЗ «О внесении изменений в Федеральный закон „О персональных данных“ и отдельные законодательные акты Российской Федерации»

Ужесточение административной ответственности за нарушение требований о защите информации

Зарегистрирован законопроект о внесении изменений в статью 13.12 КоАП РФ об увеличении административных штрафов и срока давности привлечения к ответственности за нарушения правил защиты информации. В апреле 2025 года этот законопроект должен быть рассмотрен законодателями.

Источник информации: Опубликовано на сайте Госдумы РФ

Полномочия Роскомнадзора в части обезличивания персональных данных

Опубликован проект постановления Правительства РФ о предоставлении Роскомнадзору полномочий по регламентированию требований и методов обезличивания персональных данных, кроме случаев, когда это необходимо для повышения эффективности государственного или муниципального управления, в соответствии с п.9.1 ч.1 ст.6 Федерального закона «О персональных данных».

Источник информации: Федеральный портал проектов нормативных правовых актов

Налоговый статус резидента при использовании онлайн-банкинга из-за границы

Минфин России совместно с Росфинмониторингом, Банком России и ФНС доработали проект Постановления Правительства РФ, уточняющего, как будут обновляться данные о налоговом резидентстве клиентов банков.

Использование онлайн приложений банков в основном из-за границы может свидетельствовать об изменении статуса налогового резидентства физических лиц, и поэтому такая информация должна быть обновлена.

Но даже если клиент банка часто использует онлайн-сервисы из других стран, это не означает, что он автоматически стал нерезидентом. В этом случае банк запросит у него новые данные для определения налогового статуса. Поводом для обновления информации может стать использование сервисов в течение не менее 6 месяцев в более чем половине случаев из-за рубежа. Организации финансовых рынков смогут оперативно обновлять информацию о налоговом резидентстве своих клиентов (выгодоприобретателей или контролирующих их лиц) и передавать налоговой службе более полную и достоверную информацию.

Источник информации Информация Минфина России

Обзор судебной практики

Пересылка на личную почту документов, содержащих персональные данные

Фабула дела. Руководитель компании уволил ведущего экономиста за грубое нарушение трудовых обязанностей по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ за разглашение охраняемой законом тайны, а именно, персональных данных — сотрудница отправила служебные документы на личный электронный почтовый ящик.

Уволенная оспорила увольнение в прокуратуре и затем в суде.

Суд установил, что компания не обеспечила защиту пересылаемой информации, что было подтверждено свидетелями и наличием нескольких вариантов Положения о защите конфиденциальной информации, противоречащих друг другу по содержанию.

В ходе судебного разбирательства было выявлено, что в документах компании отсутствовало положение о запрете пересылки информации на личные почтовые ящики, а факт передачи информации третьим лицам, а также какой-либо ущерб компании в результате отправки документов на личную почту не были подтверждены.

Городской суд признал увольнение истца незаконным и постановил восстановить на работе в ранее занимаемой должности и взыскать в ее пользу более 180 тыс. руб. за вынужденный прогул, зарплату за работу сверхурочно более 62 тыс. руб., компенсацию морального вреда в размере 100 тыс. руб.

Несмотря на то, что Решение суда не вступило в законную силу, следует отметить тот факт, что небрежное отношение работодателя к оформлению документов в отношении защиты конфиденциальной информации может нести серьезные, в том числе и репутационные риски.

Добросовестность оператора персональных данных, уведомившего Роскомнадзор, не означает отсутствия его вины

Фабула дела. ИП по договору с организацией оказывало услуги по технической поддержке информационных систем. В обязанности исполнителя входило полное обслуживание информационных систем заказчика. В результате хакерской атаки персональные данные работников и клиентов компании стали доступны неопределенному кругу лиц, о чем организация уведомила Роскомнадзор.

Суд решил, что в нарушение закона N 152-ФЗ «О персональных данных» компания допустила раскрытие третьим лицам и распространение персональных данных без согласия субъектов персональных данных, в связи с чем привлек организацию к ответственности по ч.1 ст. 13.11 КоАП РФ.

Позиция Общества: отрицая наличие своей вины, компания сообщила, что:

• предприняла меры, направленные на защиту персональных данных работников, для чего был заключен договор с ИП на оказание услуг по сопровождению и технической поддержке информационных систем;
• только в силу добросовестности Общества, которое добровольно направило уведомление в Роскомнадзор, факт предоставления неправомерного доступа к базе данных оператора стал известен.

Позиция Роскомнадзора:

• заключенный с ИП договор не содержит услуги по технической защите конфиденциальной информации, в этой связи позиция Общества, что ответственность за данные нарушения несет ИП — ошибочна;
• действия компании по добровольному обращению в Роскомнадзор не свидетельствуют об отсутствии ее вины, так как в данном случае оно действовало добросовестно в соответствии с Законом о персональных данных, уведомив Роскомнадзор о факте неправомерной передачи.

Восьмой кассационный суд общей юрисдикции поддержал позицию Роскомнадзора. В настоящее время отсутствуют сведения об обжаловании решения.