Что ждет компанию за несоблюдение законодательства в области защиты персональных данных

С 01.01.2023 г. были внесены существенные изменения в законодательство в области защиты персональных данных (далее — ПДн) Был серьезно доработан закон о персональных данных № 152-ФЗ (№ 266-ФЗ от 14.07.2022 г.), а также с 01.03.2023 г. вступили в силу приказы Роскомнадзора (РКН) и ФСБ по утечке данных и определении степени угроз, связанных с этим.

Приведем краткий обзор этих изменений, но для начала напомним, что персональные данные — это любая информация, которая относится к конкретному физическому лицу. Соответственно, субъектом персональных данных являются физлица — сотрудники и контрагенты (клиенты, покупатели, учредители, займодавцы и др.) компании (или ИП, или иного лица, которое взаимодействует с физлицами в ходе своей деятельности), то есть обработка персональных данных (а, следовательно, и требования по их защите) касается практически любого хозяйствующего субъекта.

Итак, что изменилось в порядке работы с ПДн:

Во-первых, ввели новый порядок информирования РКН о передаче ПДн в другие страны. Теперь Роскомнадзор будет рассматривать уведомления операторов и разрешать, ограничивать или запрещать трансграничную передачу ПДн в другие страны (ст. 12 № 152-ФЗ). Пока не пройдет 10 рабочих дней после отправки уведомления в РКН, передавать ПДн в страны, которые не обеспечивают их защиту, запрещено.

Во-вторых, появился реестр учета инцидентов в области ПДн, который ведет Роскомнадзор. Операторы при этом должны уведомлять РКН о произошедшем инциденте и результатах расследования.

В-третьих, Роскомнадзор утвердил требования к оценке вреда, который оператор может причинить субъектам ПДн, если нарушит № 152-ФЗ. Степень угроз оценивается предприятием в зависимости от качества обрабатываемых данных и устанавливается как:

• высокая (обработка сведений о несовершеннолетних, биометрические данные);
• средняя (обработка в иных целях, публикаций в интернете);
• низкая (обработка общедоступных источников).

В-четвертых, утверждены новые требования к подтверждению уничтожения данных и порядку хранения документов, подтверждающих уничтожение ПДн. Если оператор обрабатывает информацию без использования средств автоматизации, документальным подтверждением станет акт об уничтожении ПДн. Если же обработка проводится с использованием средств автоматизации, подтверждением будут акт об уничтожении ПДн и выгрузка из журнала регистрации событий в информационной системе ПДн.

Нарушение № 152-ФЗ может повлечь и гражданско-правовую ответственность — компенсацию морального вреда и возмещение убытков гражданину, который пострадал от действий оператора (ч. 2 ст. 24 № 152-ФЗ).

Ответственность может наступить, если оператор нарушил:

• права субъекта по закону о персональных данных;
• правила обработки персональных данных с учетом изменений с 1 марта 2023 года;
• требования к защите информации.

За нарушение работы с ПДн в 2023 году Роскомнадзор будет привлекать к ответственности чаще. Причем для этого не всегда потребуется проводить выездные проверки (письмо РКН от 31.01.2023 № 09-6488). Так же наказать могут и без выезда в компанию. В некоторых ситуациях зафиксировать правонарушение в сфере ПДн и привлечь к ответственности могут даже без выездных контрольных мероприятий (письмо РКН от 31.01.2023 № 09-6488). Речь идет о нарушениях, которые оговорены в частях 1–2.1 и 4 статьи 13.11 КоАП. Например, к особым нарушениям причислена обработка данных без письменного согласия, а также обработка, не совместимая с целями сбора данных.

Роскомнадзор уточняет в своих разъяснениях, что по таким нарушениям контролеры могут действовать без взаимодействия с нарушителем. Например, если нарушение обнаружил сам сотрудник РКН и у него есть полномочия составлять протокол, либо поступило указание от прокуратуры. Поводом для возбуждения дела могут послужить жалоба, сообщения в СМИ, например, об утечке данных (п. 1–3 ч. 1 ст. 28.1 КоАП).

Что же нужно сделать организации при работе с персональными данными физлиц (работников, клиентов организации), чтобы защитить себя от штрафов?

1. Назначить ответственного за организацию обработки ПДн и разработать для него должностную инструкцию, четко прописывающую его обязанности.
2. Издать внутренние документы, которые определят действия работодателя в отношении обработки ПДн, и предоставить их сотрудникам. Собрать у работников согласия на обработку персональных данных и иные документы, необходимые для обработки ПДн. Конкретный перечень мер и документов устанавливается исходя из специфики деятельности организации, численности сотрудников и многих других факторов.
3. Проконтролировать, соответствует ли обработка ПДн действующим законам и локальным актам организации. Необходимо постоянно производить мониторинг и контролировать исполнение требований и соблюдение правил, отслеживать изменения действующего законодательства, оптимизировать способы и методы защиты для избегания различных негативных последствий.
4. Оценить возможный вред, который может быть причинен сотрудникам и организации при нарушении защиты ПДн.
5. Применять организационные и технические меры по защите ПДн. Они должны защищать ПДн от неправомерного доступа, блокирования, изменения, копирования и так далее..

По данным Роскомнадзора, в 2023 году участились случаи неправомерного распространения персональных данных. В связи с этим ведомство опубликовало ряд рекомендаций, которые помогут избежать нарушений и штрафов при работе с персональными данными.

Для организации работы с ПДН специалисты нашей организации помогут вам:

1.  Проверить соблюдение законодательства организацией в области защиты ПДн.
2. Актуализировать формы отчетности и внутренних документов посредством проверки наличия обязательной документации и форм отчетности.
3. Создать такие документы, а также новые документы, необходимые для обработки ПДн в компании.

Реклама
ООО АФ «Аудит Классик»,
Zaoclassic.ru.