Чтобы стабильно работать и держать бизнес «на плаву», важно придерживаться актуальных законов России. В частности, стоит поговорить о защите персональных данных – вопросе, который актуален для любого бизнеса.
Государство гарантирует защиту прав граждан и предусматривает серьезные санкции за нарушение правил и незаконное использование личной информации. Если вы хотите успешно развивать свой бизнес и избегать проблем с Роскомнадзором, вам следует:
- детально разобраться, какие шаги необходимо предпринять для соблюдения всех законодательных требований;
- определить перечень документов и действий, соответствующих специфике вашей компании;
- подготовить все необходимые бумаги в соответствии с законодательством;
- осознать, что заблаговременное выполнение всех требований закона позволит избежать возможных штрафов и других негативных последствий, связанных с нарушением правовых норм.
План действий при работе с персональными данными
В современном мире каждый бизнес сталкивается с обработкой персональных данных. Это любые сведения, которые позволяют идентифицировать человека, включая фамилию, имя, адрес, номер телефона и другую информацию.
Даже если нет прямого контакта с владельцем данных, например, при создании интернет-магазина, где покупатели заполняют анкету с личными данными, необходимо соблюдать правила обработки ПДн.
Основные этапы приведения работы предприятия в соответствие с требованиями российского законодательства представлены ниже.
1. Определение целей обработки ПДн. От этого зависит заполнение документов и вероятность претензий со стороны субъектов данных. Можно определить несколько целей, но каждая должна быть в отдельной информационной базе. Чем конкретнее сформулированы цели, тем лучше.
2. Создание документации по защите ПДн:
- политика в отношении обработки персональных данных;
- приказ о назначении ответственного за организацию работы с ПДн;
- перечень сотрудников, имеющих доступ к ПДн;
- соглашение о конфиденциальности с персоналом;
- согласие на обработку ПДн;
- политика должна быть размещена на сайте компании и доступна в офисе.
3. Обеспечение защиты ПДн: предупреждение несанкционированного доступа, устранение последствий хакерских атак и т. д. Нужно определить уровень защищённости, разработать модель угроз и подготовить документацию по защите данных. Возможно, потребуется проверка безопасности ПДн у контрагента при трансграничной передаче данных.
4. Уведомление Роскомнадзора: сообщить о начале обработки ПДн в контролирующий орган в соответствии с установленной формой. Можно передать уведомление в бумажном или электронном виде. При изменении процессов обработки или прекращении работы с данными нужно уведомить РКН об изменениях или исключении из реестра операторов.
5. Получение согласия от субъектов на использование их ПДн: документ должен быть конкретным, осознанным и информативным. В некоторых случаях требуется письменное согласие с указанием обязательных сведений, установленных законом.
6. Оформление согласия на распространение сведений: этот документ нужен с 2021 года для ограничения передачи данных третьим лицам без согласия субъекта. Распространение — это раскрытие данных неограниченному кругу лиц, например, размещение на общедоступном сайте в интернете.
7. Уничтожение или обезличивание данных при окончании срока хранения, отзыве согласия или неправомерном использовании.
Когда в согласии на обработку ПД нет необходимости?
Для многих предприятий важно выполнить все шаги, перечисленные выше, однако иногда требуются дополнительные документы и процедуры для законного использования персональных данных, а иногда можно обойтись без некоторых формальностей. Давайте рассмотрим эти случаи подробнее.
Согласие на обработку не требуется, если:
- заключается сделка, в которой субъект является стороной, выгодоприобретателем или поручителем (например, указание реквизитов при заключении договора);
- отправляется кассовый чек по электронной почте клиента;
- фиксируются данные посетителей для однократного пропуска на территорию в специальном журнале;
- обрабатывается информация о трудоустройстве гражданина, только те данные, которые необходимы работодателю для трудовых отношений (образование, фамилия, имя, повышение квалификации и так далее)
Что грозит за нарушение правил работы с персональными данными
По данным статистики, число незаконных операций с персональными данными возросло на 80 %.
В связи с этим власти регулярно ужесточают меры наказания за несоблюдение норм обработки личной информации граждан. Последние значительные изменения произошли в 2021 году, когда после принятия ФЗ-19 штрафы удвоились. Если своевременно не привести свою деятельность в соответствие с требованиями по обработке персональных данных, придётся заплатить (максимальные суммы штрафов для юридических лиц):
- до 150 тыс. рублей за обработку ПДн без согласия субъекта или других законных оснований (до 500 тыс. рублей при повторном нарушении);
- до 100 тыс. рублей за использование сведений с неверно указанными в документах целями (до 300 тыс. рублей при повторном нарушении);
- до 60 или до 80 тыс. рублей за отсутствие публикации или доступа пользователей к политике обработки ПДн;
- до 90 или до 500 тыс. рублей за несвоевременное уточнение, удаление или уничтожение ПДн по запросу гражданина или его представителя;
- до 100 тыс. рублей за недостаточную защиту информации при обработке без использования автоматизированных средств;
- до 6 млн. или до 18 млн. рублей за нарушение правил сбора ПДн и их хранения в базах данных, расположенных на территории Российской Федерации.
Следует учесть, что все штрафы суммируются, и при обнаружении нескольких нарушений размер санкций может достигать сотен тысяч и даже миллионов рублей. От проверок не застрахованы ни крупные компании, ни малый и даже микробизнес. Простое погашение штрафа не поможет, так как вместе с ним будет выдано предписание об устранении нарушений, которое необходимо выполнить в любом случае.
Ваша ситуация требует детального разбора и подбора решения?
Мы готовы помочь – оставьте заявку и получите профессиональную консультацию.
Получить консультацию
.png)