ФЗ-589: Незаконный сбор биометрии обойдется еще большими штрафами
С конца 2023 года операторы биометрических персональных данных (ПДн) начали нести более серьезную административную ответственность за сбор информации без согласия субъектов биометрических ПДн, со штрафами до 1,5 миллионов рублей. Таковы меры, описанные в новой статье КоАП, введенной вместе со вступлением в силу Федерального закона №589-ФЗ. Разбираем, за что и сколько именно теперь придется заплатить нарушителям, и как избежать нарушений.
Новый закон, №589-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», определяет в том числе положение о том, что биометрические ПДн могут быть предоставлены только с согласия их субъектов, а также вводит меры наказания за нарушение закона №572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации».
Согласно новым мерам, описанным в статье 13.11.3 КоАП, возросли штрафы за сбор биометрии без письменного согласия граждан: должностным лицам – от 100 тысяч до 300 тысяч рублей, юридическим лицам — от 300 тысяч до 700 тысяч рублей. Ранее наказанием за незаконный сбор биометрических ПДн были штрафы до 20 тысяч рублей для граждан, и до 500 тысяч рублей для юридических лиц. Также, за незаконное размещение и обновление таких данных для должностных лиц вводится штраф от 100 до 300 тысяч рублей, и для организаций – от 500 тысяч до 1 миллиона рублей.
При повторном нарушении должностным лицам придется внести в казну от 300 тысяч до 500 тысяч рублей, ИП – от 500 тысяч до 1 миллиона, а организациям – от 1 млн до 1,5 млн. Рассматривать дела о нарушении размещения и обновления биометрических данных будут суды, а также, в рамках своих полномочий, Центральный банк РФ.
«Повышение штрафов за незаконный сбор и обработку биометрических персональных данных – еще один этап в развитии законодательства в области ПДн. Однако, сами штрафы сейчас существуют больше в вакууме, и применяются только в результате проверок, проводимых по факту утечки данных. Для большей эффективности закона сейчас рассматривается законопроект о том, чтобы наделить надзорные органы возможностью проведения внеплановых проверок организаций. Самим же организациям я бы рекомендовал пересмотреть необходимость обработки биометрических персональных данных и определить, действительно ли данные, с которыми они работают, являются таковыми», - прокомментировал Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT.
В качестве рекомендаций для минимизации рисков - организациям стоит уделить внимание таким мерам, как обезличивание (маскирование) биометрических персональных данных и минимизация работы с ними. Например, можно хранить конкретную биометрическую информацию без привязки к полному имени ее субъекта или другим его ПДн. Подобные меры успешно применяются в проектах iTPROTECT. В частности, примерно в 65% от последних 50 проектов, связанных с организацией обработки биометрических персональных данных, экспертам iTPROTECT удалось уйти от необходимости их обработки в явном виде, что позволило клиентам сэкономить временные и финансовые ресурсы. Если вам нужна помощь в этом вопросе – оставьте заявку у нас на сайте.
Новый закон, №589-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», определяет в том числе положение о том, что биометрические ПДн могут быть предоставлены только с согласия их субъектов, а также вводит меры наказания за нарушение закона №572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации».
Согласно новым мерам, описанным в статье 13.11.3 КоАП, возросли штрафы за сбор биометрии без письменного согласия граждан: должностным лицам – от 100 тысяч до 300 тысяч рублей, юридическим лицам — от 300 тысяч до 700 тысяч рублей. Ранее наказанием за незаконный сбор биометрических ПДн были штрафы до 20 тысяч рублей для граждан, и до 500 тысяч рублей для юридических лиц. Также, за незаконное размещение и обновление таких данных для должностных лиц вводится штраф от 100 до 300 тысяч рублей, и для организаций – от 500 тысяч до 1 миллиона рублей.
При повторном нарушении должностным лицам придется внести в казну от 300 тысяч до 500 тысяч рублей, ИП – от 500 тысяч до 1 миллиона, а организациям – от 1 млн до 1,5 млн. Рассматривать дела о нарушении размещения и обновления биометрических данных будут суды, а также, в рамках своих полномочий, Центральный банк РФ.
«Повышение штрафов за незаконный сбор и обработку биометрических персональных данных – еще один этап в развитии законодательства в области ПДн. Однако, сами штрафы сейчас существуют больше в вакууме, и применяются только в результате проверок, проводимых по факту утечки данных. Для большей эффективности закона сейчас рассматривается законопроект о том, чтобы наделить надзорные органы возможностью проведения внеплановых проверок организаций. Самим же организациям я бы рекомендовал пересмотреть необходимость обработки биометрических персональных данных и определить, действительно ли данные, с которыми они работают, являются таковыми», - прокомментировал Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT.
В качестве рекомендаций для минимизации рисков - организациям стоит уделить внимание таким мерам, как обезличивание (маскирование) биометрических персональных данных и минимизация работы с ними. Например, можно хранить конкретную биометрическую информацию без привязки к полному имени ее субъекта или другим его ПДн. Подобные меры успешно применяются в проектах iTPROTECT. В частности, примерно в 65% от последних 50 проектов, связанных с организацией обработки биометрических персональных данных, экспертам iTPROTECT удалось уйти от необходимости их обработки в явном виде, что позволило клиентам сэкономить временные и финансовые ресурсы. Если вам нужна помощь в этом вопросе – оставьте заявку у нас на сайте.