Изменения персональных данных: приоритеты при их выполнении

1 сентября 2022 года вступили в силу изменения в Законе о персональных данных (внесены Федеральным законом 266-ФЗ от 14.07.2022). У каждого работодателя возникли вопросы:

  • Какие основные риски ему теперь грозят?
  • Куда направить кадровые ресурсы, если они ограничены?
  • Что предпринять в первую очередь, чтобы избежать ответственности?
Важно выполнить все новые требования закона. Однако на практике для этого необходимо время и средства. Поэтому работодателю приходится расставлять приоритеты при налаживании работы с персданными по новым правилам. Какие действия совершить в первую очередь, установим в статье.

ИНТЕРЕСНЫЕ СТАТЬИ

Как провести внутренний аудит персональных данных

Подробнее

РЕКОМЕНДАЦИЯ

Выясните, какие изменения в Законе о персданных несут основные риски при выявлении нарушений для любой организации. Оцените, за что именно грозят административные штрафы и каковы их размеры. Такой критерий оценки приоритета будет понятен вашему руководителю

Персональные данные с 1 сентября 2022 года: ключевые риски

Экспертов нашей компании спрашивают, что именно нужно сделать срочно:

  • скорректировать Политику по персональным данным;
  • внести изменения в Положения по работе с персданными;
  • обучить ответственных лиц;
  • переделать согласия на обработку персданных;
  • составить уведомление в Роскомнадзор с учетом новых требований к нему и др.
Чтобы установить приоритетные направления в работе с персданными по новым правилам, нужно определить основные риски работодателя. Проще всего для этого изучить ответственность за возможные нарушения при их обработке с учетом Закона № 266-ФЗ. В первую очередь важно обратить внимание на штрафы. Они могут быть как небольшими, так и крупными.

ЧТО ГОВОРИТ ЗАКОН?

Например, компании грозит штраф от 10000 до 15000, если новым требованиям не соответствуют (п. 6 ст. 13.12 КоАП РФ) Политика и Положение по персональным данным. Если же не назначить ответственного лица и\или его не обучить, возможны не только такие штрафы, но и ответственность непосредственно для руководителя организации.

При этом за нарушение новых требований при подаче уведомления в Роскомнадзор (или его неподаче) предусмотрен штраф всего лишь от 3000 до 5000 рублей (по ст. 19.7. КоАП РФ). На первый взгляд кажется, что штрафы незначительные. Кроме того, в случае наложения их можно оспорить, поскольку Роскомнадзор пока не принял новой формы такого уведомления

Однако за некоторые нарушения в работе с персданными по новым правилам предусмотрены и крупные штрафы. Установив их, мы определим два главных приоритета при работе с персданными.

Итак, для каждой организации есть две ключевые зоны риска:

  1. Место хранения баз данных на территории России – штрафы при первой проверке от 1000000 до 6000000 рублей (п. 8 ст. 13.11. КоАП РФ).
  2. Получение согласий от всех субъектов персональных данных и корректность этого самого согласия – размер административного штрафа может быть непредсказуем:
  • от 30000 до 150000 рублей – при первом выявлении (п. 2 ст. 13.11 КоАП РФ);
  • от 300000 до 500000 рублей – при повторном таком нарушении (п. 2.2 ст. 13.11 КоАП РФ).
Почему же величина штрафа так непредсказуема? Дело в том, что в практике Роскомнадзора достаточно случаев применения такого штрафа по отношению к каждому нарушению, к каждому субъекту или к каждому согласию.

Таким образом, многие нарушения при работе с персданными создают риски проведения проверки Роскомнадзора и приближают наступление негативных последствий для работодателя (и Политика, и неподанное уведомление). Однако в силу штрафных санкций первоначально важно разобраться с базами хранения персональных данных и согласиями субъектов.

ИНТЕРЕСНЫЕ СТАТЬИ

Персональные данные: изменения в 152-ФЗ в 2024 году

Подробнее

Новый закон о персональных данных 2022: как проверить согласия

Если решить вопрос с базами данных и местом их хранения не всегда под силу службе управления персоналом, то проверить согласия – точно в зоне ее компетенции и ответственности.

При работе с согласиями в первую очередь важно проверить как их наличие, так и содержание. У работодателя обязаны быть согласия:

  • работников;
  • кандидатов (чьи данные хранятся в компании не только в бумажном виде, но и в электронном виде);
  • родственников работников (при необходимости)
Скачайте нашу презентацию по аудиту персональных данных в конце статьи и проконсультируйтесь со специалистом, если у вас возникли дополнительные вопросы!
Содержание согласий должно соответствовать новым требованиям статьи 9 Федерального закона от 27.07.2006 № 152 «О персональных данных». Каждое согласие должно быть «конкретным, предметным, информированным, сознательным и однозначным». Поэтому из содержания нужно исключить все общие фразы и указать конкретику по всем его элементам.

Такие требования относятся к согласиям:

  • на обработку персональных данных;
  • на их распространение;
  • на их передачу третьим лицам (при наличии фактов такой передачи).
ОБРАТИТЕ ВНИМАНИЕ!

Третий важный приоритет при работе с персданными – организация их корректной трансграничной передачи. Однако осуществлять ее по новым правилам нужно только с 1 марта 2023 года. Поэтому пока важно решить вопросы с первыми двумя приоритетами

ЭКСПЕРТНЫЙ АУДИТ ПЕРСОНАЛЬНЫХ ДАННЫХ
Наша команда проверит письменные согласия на обработку персданных в вашей компании с учетом последних требований Закона о персональных данных и даст рекомендации по их доработке.

Стоимость услуги за три согласия – 45 000 рублей.

Формы согласий на аудит и доработку вы можете определить самостоятельно, исходя из предложенных ниже вариантов.

Вариант № 1. Проверка и рекомендации по доработке письменных согласий:
  • работников;
  • кандидатов;
  • родственников работников.
Вариант № 2. Проверка и рекомендации по доработке видов согласий:
  • согласие на обработку;
  • согласие на распространение;
  • согласие на передачу третьим лицам.
Материал подготовлен экспертами департамента трудового права компании «Митрофанова и партнеры»
Поделиться материалом
Скопировать ссылку