С 23 декабря 2023 года вступил в силу закон № 589-ФЗ, который увеличивает ответственность за обработку персданных.
Под него попадают компании, которые не получают или неправильно оформляют согласие от клиентов, сотрудников или партнеров. Например, при обработке биометрии, специальных категорий персональных данных (таких как сведения о состоянии здоровья) или при передаче такой информации третьим лицам.
Юридическим лицам грозят штрафы до 700 000 рублей, индивидуальным предпринимателям — до 300 000 рублей.
За повторное нарушение компании заплатят до 1,5 млн рублей, а ИП — до500 000 рублей.
При этом штрафы будут назначать не в совокупности, а за каждый отдельный случай.Например, если организация неправильно обращается с персональными данными 100 сотрудников, ей выпишут 100 штрафов — сумма будет умножена.
Об этом на конференции «Комплаенс в области персональных данных: бизнес-стратегии, цифровые риски и рекомендации» рассказала Елена Агаева — партнер, руководитель практики защиты персональных данных АБ ЕПАМ, член Центра компетенций при Роскомандзоре по направлению «Персональные данные».
Что сделать для сокращения рисков
Шаг 1 — проверить, есть ли в компании Политика или иные локальные акты по вопросам обработки персональных данных. Если такие документы есть, то важно понять, соответствуют ли они требованиям закона.
В Политике и в других документах обязательно нужно определить:
категории и перечень обрабатываемых персональных данных;
категории субъектов, данные которых обрабатываются;
способы, сроки обработки и хранения персданных;
порядок уничтожения такой информации.
Шаг 2 — проверить, есть ли согласия на обработку персональных данных и соответствуют ли они следующим требованиям:
согласие должно быть конкретным, информативным, сознательным, предметным и однозначным;
нужно получать отдельное согласие на обработку персональных данных, разрешенных субъектом для распространения (публикации на сайте, общедоступном стенде и т. д.);
необходимо доказать законность обработки персданных, которые компания берет из открытых источников. Например, при использовании систем мониторинга активности в интернете, при подборе кадров HR-службами.
Последний пункт важен, поскольку с 18 ноября 2023 года появился новый индикатор риска нарушения требований в области обработки персональных данных.
Внеплановую проверку могут назначить, если Роскомнадзор обнаружит хотя бы 3 расхождения между следующими сведениями:
информацией из уведомлений о намерении обрабатывать персональные данные и (или) осуществлять их трансграничную передачу;
данными, которые оператор опубликовал на своем сайте.
Шаг 3 — выявить угрозы безопасности персональных данных при их обработке в информационных системах. Проверить, были ли приняты необходимые правовые, организационные и технические меры для их защиты. Что нужно сделать компании:
назначить лицо, ответственное за организацию обработки персональных данных;
при необходимости выбрать должностное лицо, которое будет отвечать за безопасность персданных в информационной системе;
определить список лиц с доступом к этим данным. Важно, чтобы информация была нужна им для выполнения служебных или трудовых обязанностей;
организовать безопасность в помещении, где хранится информационная система, чтобы не допустить неконтролируемый доступ третьих лиц.
Узнайте больше о том, как мошенники проникают в компьютер главбуха, про скорую помощь при взломе, можно ли прожить без антивируса. Читайте интервью «Клерка» с экспертом Лаборатории Касперского.