Что ждет компанию за несоблюдение законодательства в области защиты персональных данных
С 01.01.2023 г. были внесены существенные изменения в законодательство в области защиты персональных данных (далее — ПДн) Был серьезно доработан закон о персональных данных № 152-ФЗ (№ 266-ФЗ от 14.07.2022 г.), а также с 01.03.2023 г. вступили в силу приказы Роскомнадзора (РКН) и ФСБ по утечке данных и определении степени угроз, связанных с этим.
Приведем краткий обзор этих изменений, но для начала напомним, что персональные данные — это любая информация, которая относится к конкретному физическому лицу. Соответственно, субъектом персональных данных являются физлица — сотрудники и контрагенты (клиенты, покупатели, учредители, займодавцы и др.) компании (или ИП, или иного лица, которое взаимодействует с физлицами в ходе своей деятельности), то есть обработка персональных данных (а, следовательно, и требования по их защите) касается практически любого хозяйствующего субъекта.
Итак, что изменилось в порядке работы с ПДн:
Во-первых, ввели новый порядок информирования РКН о передаче ПДн в другие страны. Теперь Роскомнадзор будет рассматривать уведомления операторов и разрешать, ограничивать или запрещать трансграничную передачу ПДн в другие страны (ст. 12 № 152-ФЗ). Пока не пройдет 10 рабочих дней после отправки уведомления в РКН, передавать ПДн в страны, которые не обеспечивают их защиту, запрещено.
Во-вторых, появился реестр учета инцидентов в области ПДн, который ведет Роскомнадзор. Операторы при этом должны уведомлять РКН о произошедшем инциденте и результатах расследования.
В-третьих, Роскомнадзор утвердил требования к оценке вреда, который оператор может причинить субъектам ПДн, если нарушит № 152-ФЗ. Степень угроз оценивается предприятием в зависимости от качества обрабатываемых данных и устанавливается как:
- высокая (обработка сведений о несовершеннолетних, биометрические данные);
- средняя (обработка в иных целях, публикаций в интернете);
- низкая (обработка общедоступных источников).
В-четвертых, утверждены новые требования к подтверждению уничтожения данных и порядку хранения документов, подтверждающих уничтожение ПДн. Если оператор обрабатывает информацию без использования средств автоматизации, документальным подтверждением станет акт об уничтожении ПДн. Если же обработка проводится с использованием средств автоматизации, подтверждением будут акт об уничтожении ПДн и выгрузка из журнала регистрации событий в информационной системе ПДн.
ВАЖНО
За невыполнение требований законодательства в области обработки ПД предприятия и ИП могут привлекаться к административной ответственности, в том числе получить штраф, предусмотренный ст. 13.11 КоАП РФ, в размере от 20 тыс. до 18 млн рублей в зависимости от правонарушения и его повторности.
Нарушение № 152-ФЗ может повлечь и гражданско-правовую ответственность — компенсацию морального вреда и возмещение убытков гражданину, который пострадал от действий оператора (ч. 2 ст. 24 № 152-ФЗ).
Ответственность может наступить, если оператор нарушил:
- права субъекта по закону о персональных данных;
- правила обработки персональных данных с учетом изменений с 1 марта 2023 года;
- требования к защите информации.
За нарушение работы с ПДн в 2023 году Роскомнадзор будет привлекать к ответственности чаще. Причем для этого не всегда потребуется проводить выездные проверки (письмо РКН от 31.01.2023 № 09-6488). Так же наказать могут и без выезда в компанию. В некоторых ситуациях зафиксировать правонарушение в сфере ПДн и привлечь к ответственности могут даже без выездных контрольных мероприятий (письмо РКН от 31.01.2023 № 09-6488). Речь идет о нарушениях, которые оговорены в частях 1–2.1 и 4 статьи 13.11 КоАП. Например, к особым нарушениям причислена обработка данных без письменного согласия, а также обработка, не совместимая с целями сбора данных.
Роскомнадзор уточняет в своих разъяснениях, что по таким нарушениям контролеры могут действовать без взаимодействия с нарушителем. Например, если нарушение обнаружил сам сотрудник РКН и у него есть полномочия составлять протокол, либо поступило указание от прокуратуры. Поводом для возбуждения дела могут послужить жалоба, сообщения в СМИ, например, об утечке данных (п. 1–3 ч. 1 ст. 28.1 КоАП).
Что же нужно сделать организации при работе с персональными данными физлиц (работников, клиентов организации), чтобы защитить себя от штрафов?
1. Назначить ответственного за организацию обработки ПДн и разработать для него должностную инструкцию, четко прописывающую его обязанности.
2. Издать внутренние документы, которые определят действия работодателя в отношении обработки ПДн, и предоставить их сотрудникам. Собрать у работников согласия на обработку персональных данных и иные документы, необходимые для обработки ПДн. Конкретный перечень мер и документов устанавливается исходя из специфики деятельности организации, численности сотрудников и многих других факторов.
3. Проконтролировать, соответствует ли обработка ПДн действующим законам и локальным актам организации. Необходимо постоянно производить мониторинг и контролировать исполнение требований и соблюдение правил, отслеживать изменения действующего законодательства, оптимизировать способы и методы защиты для избегания различных негативных последствий.
4. Оценить возможный вред, который может быть причинен сотрудникам и организации при нарушении защиты ПДн.
5. Применять организационные и технические меры по защите ПДн. Они должны защищать ПДн от неправомерного доступа, блокирования, изменения, копирования и так далее..
По данным Роскомнадзора, в 2023 году участились случаи неправомерного распространения персональных данных. В связи с этим ведомство опубликовало ряд рекомендаций, которые помогут избежать нарушений и штрафов при работе с персональными данными.
Для организации работы с ПДН специалисты нашей организации помогут вам:
1. Проверить соблюдение законодательства организацией в области защиты ПДн.
2. Актуализировать формы отчетности и внутренних документов посредством проверки наличия обязательной документации и форм отчетности.
3. Создать такие документы, а также новые документы, необходимые для обработки ПДн в компании.