Почти все компании являются операторами персональных данных (ПДн). Как только организация начала собирать имена, телефоны и другие данные, относящиеся к категории персональных, она автоматически подпадает под действие Федерального закона «О персональных данных» № 152-ФЗ и должна соблюдать определенные требования.

Обязанности и ответственность операторов, изменения в законодательстве

Федеральный закон предписывает оператору персональных данных работать в соответствии с требованиями. Согласно им оператор обязан:

  1. Подать в Роскомнадзор (РКН) уведомление о начале обработки персональных данных. Если компания давно их обрабатывает, но не сообщала об этом ранее, в форме можно выбрать прошедшую дату.
  2. Провести оценку возможного вреда субъекту ПДн при нарушениях требований обработки персональных данных.
  3. Уведомить Роскомнадзор об инциденте в течение 24 часов после утечки информации, а в течение 3 суток передать результаты расследования — причины и кто виноват.
  4. Получать от субъектов согласие на обработку их персональных данных. Для распространения ПДн (публикации или предоставления неограниченному кругу лиц) требуется отдельное письменное согласие.
  5. Разработать политику обработки ПДн и предоставить к ней свободный доступ. В документе необходимо обозначить цели обработки, перечень персональных данных и технологии работы с ними, сроки хранения, формат взаимодействия с субъектами ПДн и другое. С рекомендациями Роскомнадзора по разработке политики обработки персональных данных можно ознакомиться по ссылке.
  6. Обеспечивать безопасность ПДн и предотвращать их разглашение. Оператор должен провести организационные и технические мероприятия, направленные на защиту персональных данных, в том числе на сохранение их конфиденциальности.
  7. Обрабатывать только те персональные данные, которые необходимы для достижения целей обработки.
  8. Назначать ответственного за обработку ПДн.
  9. Предоставлять субъекту персональных данных сведения относительно обработки его ПДн.
  10. Хранить данные только в пределах установленного периода и уничтожать их после окончания срока хранения.

Таким образом, чтобы избежать санкций государственных органов, важно правильно осуществлять обработку персональных данных. Операторам ПДн (юридическим лицам, ИП и самозанятым) необходимо строго соблюдать установленные правила. Они должны заполнять документацию в соответствии с законодательством, своевременно подавать в Роскомнадзор уведомление об обработке персональных данных и обеспечивать безопасность ПДн.

В 2024–2025 годах в законы о персональных данных внесли важные изменения:

  • 11 декабря 2024 года ввели статью 272.1 УК РФ, которая установила уголовную ответственность за незаконную обработку персональных данных и создание ресурсов для их получения, хранения и распространения. Теперь за такие правонарушения грозит до 10 лет лишения свободы.
  • 1 января 2025 года начала действовать новая форма согласия на обработку персональных данных в ЕСИА и единой биометрической системе.
  • 30 мая 2025 года вступили в силу новые требования к обработке персональных данных.
    • Операторов обязали обрабатывать ПДн только на территории Российской Федерации и запрашивать разрешение на сбор cookie.
    • Компании, обрабатывающие ПДн, должны направить в Роскомнадзор уведомление об обработке персональных данных. В противном случае им грозит штраф до 300 000 рублей.
    • Ужесточили административную ответственность за утечку персональных данных. Теперь в соответствии с Федеральным законом № 420-ФЗ штраф за это правонарушение связан с объемом неправомерной передачи ПДн.
    • За повторную утечку юридические лица обязаны заплатить оборотный штраф от 0,1 до 3 % от выручки за календарный год или за часть этого года, но не менее 25 миллионов и не более 500 миллионов рублей. Должностным лицам за подобное правонарушение грозит взыскание до 2 миллионов рублей.

Кто в организации несет материальную и уголовную ответственность?

В случае нарушения закона «О персональных данных» ответственность несут конкретные должностные лица и юрлицо.

Материальные взыскания предусмотрены для физлиц, допустивших нарушение (системных администраторов, специалистов по ИБ, кадровиков), и организации.

Административную ответственность несут должностные лица (штраф до 2 000 000 рублей) и юрлица (штраф до 3 % от годовой выручки).

Уголовное наказание предусмотрено при умышленном сборе и продаже ПДн в особо крупном размере без согласия граждан или при значительном вреде. Несут этот вид ответственности физические лица. Им грозят наказания: штраф до 3 миллионов рублей, лишение свободы до 10 лет, запрет занимать определенные должности.

Как проходят проверки Роскомнадзора?

Проверки могут быть плановыми и внеплановыми. На практике это означает мониторинг сайтов компаний на наличие политики конфиденциальности. Также проводят проверку форм получения согласия, анализируют журналы обработки данных и состояние технических мер защиты. По результатам проверочных мероприятий нередко выписывают предписания и штрафы. Это особенно характерно для случаев, когда не обеспечена должная защита персональных данных.

В ходе проверочных мероприятий в первом полугодии 2024 года Роскомнадзор выявил, что 103 сайта из 107 нарушали закон.

Для подготовки к проверке:

  1. Удостоверьтесь, что ваша компания указана в реестре операторов персональных данных на сайте Роскомнадзора. Если обрабатываете ПДн, но не зарегистрированы, это нарушение.
  2. Обновите локальные нормативные акты: положения о ПДн, политику конфиденциальности, приказы о назначении ответственных лиц и так далее. Минимальный перечень внутренних документов можно увидеть по ссылке.
  3. Проверьте формы согласия на обработку персональных данных. Документы должны соответствовать требованиям № 152-ФЗ и быть подписаны субъектом ПДн до начала работы с персональными данными.
  4. Проведите аудит системных ресурсов, которые используются для обработки ПДн: классифицируйте информационные системы персональных данных (ИСПДн), проверьте, соответствуют ли технические и программные средства защиты утвержденным стандартам.
  5. Обеспечьте физическую защиту данных: ограничьте доступ, установите системы видеонаблюдения и контроля допуска посетителей.
  6. Назначьте ответственных за организацию обработки и защиту ПДн приказом.
  7. Удостоверьтесь, что ответственный за обработку ПДн сотрудник создал инструкции, проводит обучение персонала, регистрирует события безопасности, ведет журнал инцидентов.
  8. Оцените риски и уязвимости — подготовьте модель угроз, модель нарушителя безопасности информации и план реагирования.
  9. Подготовьте согласия, техническую документацию, журналы, приказ о назначении ответственного за обработку ПДн, политику обработки и другие документы, чтобы при проверке предоставить сотрудникам Роскомнадзора.
  10. Проверьте свои знания: представитель компании должен понимать, как устроена обработка данных. Вам могут задать вопросы для проверки знаний.

Часто внеплановые проверки проводят после жалоб субъектов ПДн, например, на нежелательные рекламные звонки и СМС.

Как минимизировать риски получения штрафов за утечку?

Чтобы предотвратить получение штрафов за утечку персональных данных, рекомендуется заблаговременно принять меры защиты компании. Способов для этого много — от установки DLP-системы до антифишинговой подготовки сотрудников. Нужно разработать политику безопасности, установить и настроить технические средства защиты данных и многое другое.

Обратите внимание, затраты на обеспечение информационной безопасности (ИБ) компании фигурируют в законе в качестве смягчающих обстоятельств. При этом должны быть соблюдены условия:

  1. Минимальный порог затрат на ИБ за 36 месяцев не менее 0,1 % от общей выручки компании.
  2. Для реализации работ по ИБ привлекались подрядчики, лицензированные ФСТЭК России и ФСБ России, либо использовались собственные ресурсы компании при наличии у нее необходимых лицензий.
  3. Компания может документально подтвердить, что соблюдала нормативные требования информационной безопасности в течение последнего года.
  4. Отсутствуют отягчающие обстоятельства.

При выполнении этих условий за утечку ПДн суд назначит взыскание в 1/10 от минимального размера оборотного штрафа.

Для организации работы с персональными данными в точном соответствии с законодательством проще всего обратиться в экспертную организацию.

Одним из направлений деятельности ГК Айтиком является информационная безопасность. Мы помогаем компаниям соблюдать требования законодательства, в том числе Федерального закона № 152-ФЗ «О персональных данных».

Среди наших услуг:

  • консультации по регистрации в качестве оператора персональных данных;
  • аудит информационных систем персональных данных;
  • оценка угроз безопасности информации и подготовка рекомендаций по построению системы защиты;
  • установка и настройка средств защиты информации;
  • разработка организационно-распорядительной документации, регламентирующей вопросы защиты персональных данных в организации;
  • аттестация объекта информатизации.

Обладаем необходимыми лицензиями ФСБ России и ФСТЭК России.

Позвоните по номеру 8 (800) 550-76-43 и получите консультацию.

Также учебный центр ГК Айтиком предлагает ответственным за обработку ПДн сотрудникам предприятий пройти обучение по программе «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных». Научим классифицировать ИСПДн, формировать модели угроз, разрабатывать политику безопасности, работать с Роскомнадзором и минимизировать риски.

Программа курса согласована ФСТЭК России. По окончанию выдается удостоверение о повышении квалификации.

Подробнее о курсе — по ссылке.

Не дожидайтесь проверок и штрафов — заранее организуйте обработку ПДн в соответствии с требованиями законодательства.