Персональные данные: что изменилось в 2023 году и что будет в 2024 году
С развитием цифровых технологий законодатель уделяет всё больше внимания защите персональных данных. В 2023 году в Закон о персональных данных были внесены важные изменения, призванные обеспечить приватность и безопасность персональных данных - как работников, так и клиентов.
Но на этом изменение законодательной базы не останавливается и в 2024 году будут существенно увеличены штрафы за несоблюдение положений Закона. Читайте в нашей статье о важных изменениях в Законе о персональных данных, произошедших в 2023 году, как выстроить работу с персональными данными в 2024 году, чтобы избежать ответственности и предотвратить наложение штрафов и санкций.Изменения 2023 года
Ключевыми изменениями в 2023 году стали:
Требования по оформлению и содержанию этого акта установлены в приказе Роскомнадзора от 28.10.2022 № 179. При этом акты будут различаться в зависимости от того, использует ли организация (оператор обработки персональных данных) средства автоматизации или нет.
Если ранее такая оценка производилась и оформлялась в произвольной форме, то с 01.03.2023 приказ Роскомнадзора от 27.10.2022 № 178 детально ее регламентирует, а результаты оценки степени вреда должны быть оформлены соответствующим актом.
Более высокая степень оценки вреда требует применения работодателями более высокой степени защиты.
Раньше, согласно требованию Закона, соответствующее уведомление нужно было направить в течение 10 дней с момента изменения сведений. Теперь же уведомление направляется не позднее 15-го числа следующего месяца с даты, когда произошли изменения.
С 01.03.2023 оператор персональных данных обязан в течение 24 часов сообщить в Роскомнадзор обо всех инцидентах, повлекших утечку данных. Требования к сообщению установлены приказом Роскомнадзора от 14.11.2022 № 187.
Согласие Роскомнадзора будет зависеть от наличия в государстве-получателе законодательства о защите персональных данных, ратификации Конвенции Совета Европы о защите физлиц при автоматизированной обработке персональных данных.
Также введена новая ответственность за нарушения правил обработки биометрических персональных данных.
Так, в случаях использования персональных данных лица без его согласия, либо нарушения правил их сбора, хранения, передачи может быть наложен штраф в размере:
- на граждан – до 15 тыс. руб. (ранее штраф составлял до 10 тыс. руб.),
- на должностных лиц – до 300 тыс. руб. (ранее штраф составлял до 40 тыс. руб.),
- на юридических лиц – до 700 тыс. руб. (ранее штраф составлял до 150 тыс. руб.).
- для граждан – до 30 тыс. руб.,
- для должностных лиц – до 500 тыс. руб.,
- для индивидуальных предпринимателей – до 1 млн. руб.,
- для юридических лиц – до 1, 5 млн. руб.
Что изменится в 2024 году
Вносимые с 2024 года изменения в Закон № 152 о персональных данных будут касаться прежде всего ужесточения ответственности со стороны организаций и работодателей за неправомерный доступ и распространение персональных данных.
-
для граждан в более чем два раза (до 15 тыс. руб.),
-
для должностных лиц – в 5 раз (до 100 тыс. руб.),
-
для юридических лиц – в 3 раза (до 300 тыс. руб.).
В случае повторного совершения этого же правонарушения на юридическое лицо будет наложен штраф до 500 тыс. руб.
Также будет введена ответственность за невыполнение или несвоевременное выполнение обязанности по уведомлению Роскомнадзора о намерении осуществлять обработку персональных данных (штраф до 300 тыс. руб.). Если при этом еще будут нарушены права субъектов персональных данных, штраф составит до 3 млн. руб.
Так, факты передачи данных, включающей персональные данные:
– от 1 000 до 10 000 субъектов – штраф до 3 млн. руб.,
– от 10 000 до 100 000 субъектов – штраф до 10 млн. руб.,
– более 100 000 субъектов – штраф до 15 млн. руб.
За повторное совершение правонарушения штраф будет достигать от 0, 1 до 3% выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 млн. руб. и не более 500 млн руб.
Как видим, грозящие компаниям штрафы просто впечатляют воображение, поэтому сейчас, пока не поздно, важно настроить работу с персональными данными в соответствии с законодательством, чтобы в следующем году быть уверенным при общении с контролерами и не переживать за штрафные санкции.
Как подготовиться к изменениям
Аудит персональных данных позволит своевременно, не дожидаясь многомиллионных штрафов, выявить риски, связанные с деятельностью в сфере персональных данных и минимизировать их или устранить вовсе.
В ходе аудита будут проверены:
– уставные документы и локальные акты на соответствие требованиям Закона 152-ФЗ,
– фактическое наличие всех необходимых локальных актов,
– имеющиеся в организации процессы обработки персональных данных на соответствие заявленной Политике,
Также будут оценены существующие бизнес-процессы, связанные с передачей информации, содержащей персональные данные, на соответствие требованиям закона.
Таким образом, проведение аудита персональных данных является важным инструментом для обеспечения законности, безопасности и доверия в отношении обработки персональной информации.
В целом изменения, касающиеся персональных данных, склонны к ужесточению требований по защите данных и повышению прав потребителей и работников. Поэтому очень важно быть внимательным к последним обновлениям в законодательстве о персональных данных и обеспечивать соответствие деятельности компании существующим нормам
Материал подготовлен департаментом трудового права компании «Митрофанова и партнеры»