Изменения персональных данных: приоритеты при их выполнении

Когда вступают в силу изменения в законе, в том числе и персональных данных,  у каждого работодателя возникают вопросы:

  • Какие основные риски ему теперь грозят?
  • Куда направить кадровые ресурсы, если они ограничены?
  • Что предпринять в первую очередь, чтобы избежать ответственности?
Важно выполнить все новые требования закона. Однако на практике для этого необходимо время и средства. Поэтому работодателю приходится расставлять приоритеты при налаживании работы с персданными по новым правилам. Какие действия совершить в первую очередь, установим в статье.

ИНТЕРЕСНЫЕ СТАТЬИ

Как провести внутренний аудит персональных данных

Подробнее

РЕКОМЕНДАЦИЯ

Выясните, какие изменения в Законе о персданных несут основные риски при выявлении нарушений для любой организации. Оцените, за что именно грозят административные штрафы и каковы их размеры. Такой критерий оценки приоритета будет понятен вашему руководителю

Персональные данные: ключевые риски

Экспертов нашей компании спрашивают, что именно нужно сделать срочно:

  • скорректировать Политику по персональным данным;
  • внести изменения в Положения по работе с персданными;
  • обучить ответственных лиц;
  • переделать согласия на обработку персданных;
  • составить уведомление в Роскомнадзор с учетом новых требований к нему и др.
Чтобы установить приоритетные направления в работе с персданными по новым правилам, нужно определить основные риски работодателя. Проще всего для этого изучить ответственность за возможные нарушения при их обработке с учетом Закона № 266-ФЗ. В первую очередь важно обратить внимание на штрафы. Они могут быть как небольшими, так и крупными.

ЧТО ГОВОРИТ ЗАКОН?

Например, компании грозит штраф от 10 000 до 15 000, если новым требованиям не соответствуют (п. 6 ст. 13.12 КоАП РФ) Политика и Положение по персональным данным. Если же не назначить ответственного лица и\или его не обучить, возможны не только такие штрафы, но и ответственность непосредственно для руководителя организации.

Выросли штрафы и за использования персональных данных лица без его согласия, либо нарушения правил их сбора, хранения, передачи: для юридических лиц теперь они составляют до 700 000 руб., ранее - до 150 000 руб. Если нарушение допускается повторно, ИП заплатят до 1 млн руб, а компании - до 1,5 млн руб. 

При этом за нарушение новых требований при подаче уведомления в Роскомнадзор (или его неподаче) предусмотрен штраф для юридических лиц всего лишь от 3 000 до 5 000 рублей (по ст. 19.7. КоАП РФ). На первый взгляд кажется, что штрафы незначительные. Кроме того, в случае наложения их можно оспорить, поскольку Роскомнадзор пока не принял новой формы такого уведомления

Однако за некоторые нарушения в работе с персданными по новым правилам предусмотрены и крупные штрафы. Установив их, мы определим два главных приоритета при работе с персданными.

Итак, для каждой организации есть две ключевые зоны риска:

  1. Место хранения баз данных на территории России – штрафы при первой проверке от 1 000 000 до 6 000 000 рублей (п. 8 ст. 13.11. КоАП РФ).
  2. Получение согласий от всех субъектов персональных данных и корректность этого самого согласия – размер административного штрафа может быть непредсказуем:
  • от 40 000 до 700 000 рублей – при первом выявлении (п. 2 ст. 13.11 КоАП РФ);
  • от 100 000 до 1 500 000 рублей – при повторном таком нарушении (п. 2.2 ст. 13.11 КоАП РФ).
Чек-лист нарушений для экспресс-аудита  Скачать

Почему же величина штрафа так непредсказуема? Дело в том, что в практике Роскомнадзора достаточно случаев применения такого штрафа по отношению к каждому нарушению, к каждому субъекту или к каждому согласию.

Таким образом, многие нарушения при работе с персданными создают риски проведения проверки Роскомнадзора и приближают наступление негативных последствий для работодателя (и Политика, и неподанное уведомление). Однако в силу штрафных санкций первоначально важно разобраться с базами хранения персональных данных и согласиями субъектов.
ИНТЕРЕСНЫЕ СТАТЬИ

Персональные данные: какие изменения важно учесть в работе

Подробнее

Как проверить согласия

Если решить вопрос с базами данных и местом их хранения не всегда под силу службе управления персоналом, то проверить согласия – точно в зоне ее компетенции и ответственности.

При работе с согласиями в первую очередь важно проверить как их наличие, так и содержание. У работодателя обязаны быть согласия:

  • работников;
  • кандидатов (чьи данные хранятся в компании не только в бумажном виде, но и в электронном виде);
  • родственников работников (при необходимости)
Скачайте нашу презентацию по аудиту персональных данных в конце статьи и проконсультируйтесь со специалистом, если у вас возникли дополнительные вопросы!
Содержание согласий должно соответствовать новым требованиям статьи 9 Федерального закона от 27.07.2006 № 152 «О персональных данных». Каждое согласие должно быть «конкретным, предметным, информированным, сознательным и однозначным». Поэтому из содержания нужно исключить все общие фразы и указать конкретику по всем его элементам.

Такие требования относятся к согласиям:

  • на обработку персональных данных;
  • на их распространение;
  • на их передачу третьим лицам (при наличии фактов такой передачи).
ОБРАТИТЕ ВНИМАНИЕ!

Третий важный приоритет при работе с персданными – организация их корректной трансграничной передачи. С 1 марта 2023 года она осуществляется по новым правилам

Согласно статистике Роскомнадзора, согласие на обработку персональных данных - документ, в котором организации чаще всего допускают ошибки. Наша команда проверит письменные согласия на обработку персданных в вашей компании (согласие на обработку, на распространение, на передачу третьим лицам и др.), а также другие документы по персданным. Мы определим, соответствуют ли они актуальным требованиям Закона о персональных данных, и дадим рекомендации по их доработке
Материал подготовлен экспертами департамента трудового права компании «Митрофанова и партнеры»
Поделиться материалом
Скопировать ссылку