Почти все компании являются операторами персональных данных (ПДн). Как только организация начала собирать имена, телефоны и другие данные, относящиеся к категории персональных, она автоматически подпадает под действие Федерального закона «О персональных данных» № 152-ФЗ и должна соблюдать определенные требования.
Обязанности и ответственность операторов, изменения в законодательстве
Федеральный закон предписывает оператору персональных данных работать в соответствии с требованиями. Согласно им оператор обязан:
- Подать в Роскомнадзор (РКН) уведомление о начале обработки персональных данных. Если компания давно их обрабатывает, но не сообщала об этом ранее, в форме можно выбрать прошедшую дату.
- Провести оценку возможного вреда субъекту ПДн при нарушениях требований обработки персональных данных.
- Уведомить Роскомнадзор об инциденте в течение 24 часов после утечки информации, а в течение 3 суток передать результаты расследования — причины и кто виноват.
- Получать от субъектов согласие на обработку их персональных данных. Для распространения ПДн (публикации или предоставления неограниченному кругу лиц) требуется отдельное письменное согласие.
- Разработать политику обработки ПДн и предоставить к ней свободный доступ. В документе необходимо обозначить цели обработки, перечень персональных данных и технологии работы с ними, сроки хранения, формат взаимодействия с субъектами ПДн и другое. С рекомендациями Роскомнадзора по разработке политики обработки персональных данных можно ознакомиться по ссылке.
- Обеспечивать безопасность ПДн и предотвращать их разглашение. Оператор должен провести организационные и технические мероприятия, направленные на защиту персональных данных, в том числе на сохранение их конфиденциальности.
- Обрабатывать только те персональные данные, которые необходимы для достижения целей обработки.
- Назначать ответственного за обработку ПДн.
- Предоставлять субъекту персональных данных сведения относительно обработки его ПДн.
- Хранить данные только в пределах установленного периода и уничтожать их после окончания срока хранения.
Таким образом, чтобы избежать санкций государственных органов, важно правильно осуществлять обработку персональных данных. Операторам ПДн (юридическим лицам, ИП и самозанятым) необходимо строго соблюдать установленные правила. Они должны заполнять документацию в соответствии с законодательством, своевременно подавать в Роскомнадзор уведомление об обработке персональных данных и обеспечивать безопасность ПДн.
В 2024–2025 годах в законы о персональных данных внесли важные изменения:
- 11 декабря 2024 года ввели статью 272.1 УК РФ, которая установила уголовную ответственность за незаконную обработку персональных данных и создание ресурсов для их получения, хранения и распространения. Теперь за такие правонарушения грозит до 10 лет лишения свободы.
- 1 января 2025 года начала действовать новая форма согласия на обработку персональных данных в ЕСИА и единой биометрической системе.
- 30 мая 2025 года вступили в силу новые требования к обработке персональных данных.
- Операторов обязали обрабатывать ПДн только на территории Российской Федерации и запрашивать разрешение на сбор cookie.
- Компании, обрабатывающие ПДн, должны направить в Роскомнадзор уведомление об обработке персональных данных. В противном случае им грозит штраф до 300 000 рублей.
- Ужесточили административную ответственность за утечку персональных данных. Теперь в соответствии с Федеральным законом № 420-ФЗ штраф за это правонарушение связан с объемом неправомерной передачи ПДн.
- За повторную утечку юридические лица обязаны заплатить оборотный штраф от 0,1 до 3 % от выручки за календарный год или за часть этого года, но не менее 25 миллионов и не более 500 миллионов рублей. Должностным лицам за подобное правонарушение грозит взыскание до 2 миллионов рублей.
Кто в организации несет материальную и уголовную ответственность?
В случае нарушения закона «О персональных данных» ответственность несут конкретные должностные лица и юрлицо.
Материальные взыскания предусмотрены для физлиц, допустивших нарушение (системных администраторов, специалистов по ИБ, кадровиков), и организации.
Административную ответственность несут должностные лица (штраф до 2 000 000 рублей) и юрлица (штраф до 3 % от годовой выручки).
Уголовное наказание предусмотрено при умышленном сборе и продаже ПДн в особо крупном размере без согласия граждан или при значительном вреде. Несут этот вид ответственности физические лица. Им грозят наказания: штраф до 3 миллионов рублей, лишение свободы до 10 лет, запрет занимать определенные должности.
Как проходят проверки Роскомнадзора?
Проверки могут быть плановыми и внеплановыми. На практике это означает мониторинг сайтов компаний на наличие политики конфиденциальности. Также проводят проверку форм получения согласия, анализируют журналы обработки данных и состояние технических мер защиты. По результатам проверочных мероприятий нередко выписывают предписания и штрафы. Это особенно характерно для случаев, когда не обеспечена должная защита персональных данных.
В ходе проверочных мероприятий в первом полугодии 2024 года Роскомнадзор выявил, что 103 сайта из 107 нарушали закон.
Для подготовки к проверке:
- Удостоверьтесь, что ваша компания указана в реестре операторов персональных данных на сайте Роскомнадзора. Если обрабатываете ПДн, но не зарегистрированы, это нарушение.
- Обновите локальные нормативные акты: положения о ПДн, политику конфиденциальности, приказы о назначении ответственных лиц и так далее. Минимальный перечень внутренних документов можно увидеть по ссылке.
- Проверьте формы согласия на обработку персональных данных. Документы должны соответствовать требованиям № 152-ФЗ и быть подписаны субъектом ПДн до начала работы с персональными данными.
- Проведите аудит системных ресурсов, которые используются для обработки ПДн: классифицируйте информационные системы персональных данных (ИСПДн), проверьте, соответствуют ли технические и программные средства защиты утвержденным стандартам.
- Обеспечьте физическую защиту данных: ограничьте доступ, установите системы видеонаблюдения и контроля допуска посетителей.
- Назначьте ответственных за организацию обработки и защиту ПДн приказом.
- Удостоверьтесь, что ответственный за обработку ПДн сотрудник создал инструкции, проводит обучение персонала, регистрирует события безопасности, ведет журнал инцидентов.
- Оцените риски и уязвимости — подготовьте модель угроз, модель нарушителя безопасности информации и план реагирования.
- Подготовьте согласия, техническую документацию, журналы, приказ о назначении ответственного за обработку ПДн, политику обработки и другие документы, чтобы при проверке предоставить сотрудникам Роскомнадзора.
- Проверьте свои знания: представитель компании должен понимать, как устроена обработка данных. Вам могут задать вопросы для проверки знаний.
Часто внеплановые проверки проводят после жалоб субъектов ПДн, например, на нежелательные рекламные звонки и СМС.
Как минимизировать риски получения штрафов за утечку?
Чтобы предотвратить получение штрафов за утечку персональных данных, рекомендуется заблаговременно принять меры защиты компании. Способов для этого много — от установки DLP-системы до антифишинговой подготовки сотрудников. Нужно разработать политику безопасности, установить и настроить технические средства защиты данных и многое другое.
Обратите внимание, затраты на обеспечение информационной безопасности (ИБ) компании фигурируют в законе в качестве смягчающих обстоятельств. При этом должны быть соблюдены условия:
- Минимальный порог затрат на ИБ за 36 месяцев не менее 0,1 % от общей выручки компании.
- Для реализации работ по ИБ привлекались подрядчики, лицензированные ФСТЭК России и ФСБ России, либо использовались собственные ресурсы компании при наличии у нее необходимых лицензий.
- Компания может документально подтвердить, что соблюдала нормативные требования информационной безопасности в течение последнего года.
- Отсутствуют отягчающие обстоятельства.
При выполнении этих условий за утечку ПДн суд назначит взыскание в 1/10 от минимального размера оборотного штрафа.
Для организации работы с персональными данными в точном соответствии с законодательством проще всего обратиться в экспертную организацию.
Одним из направлений деятельности ГК Айтиком является информационная безопасность. Мы помогаем компаниям соблюдать требования законодательства, в том числе Федерального закона № 152-ФЗ «О персональных данных».
Среди наших услуг:
- консультации по регистрации в качестве оператора персональных данных;
- аудит информационных систем персональных данных;
- оценка угроз безопасности информации и подготовка рекомендаций по построению системы защиты;
- установка и настройка средств защиты информации;
- разработка организационно-распорядительной документации, регламентирующей вопросы защиты персональных данных в организации;
- аттестация объекта информатизации.
Обладаем необходимыми лицензиями ФСБ России и ФСТЭК России.
Позвоните по номеру 8 (800) 550-76-43 и получите консультацию.
Также учебный центр ГК Айтиком предлагает ответственным за обработку ПДн сотрудникам предприятий пройти обучение по программе «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных». Научим классифицировать ИСПДн, формировать модели угроз, разрабатывать политику безопасности, работать с Роскомнадзором и минимизировать риски.
Программа курса согласована ФСТЭК России. По окончанию выдается удостоверение о повышении квалификации.
Подробнее о курсе — по ссылке.
Не дожидайтесь проверок и штрафов — заранее организуйте обработку ПДн в соответствии с требованиями законодательства.
Статьи
Остались вопросы
Оставьте номер телефона, мы перезвоним в ближайшее время