Персональные данные: какие изменения важно учесть в работе

Начиная с 2023 года в Закон о персональных данных вносятся все новые и новые изменения, призванные обеспечить приватность и безопасность персональных данных. 

Читайте в нашей статье о важных изменениях, уже вступивших в силу, как выстроить работу с персональными данными с учетом новых требований, чтобы избежать ответственности и предотвратить наложение штрафов и санкций.

Какие изменения вступили в силу

Ключевыми изменениями стали:

1. Обязательное подтверждение факта уничтожения персональных данных актом

Требования по оформлению и содержанию этого акта установлены в приказе Роскомнадзора от 28.10.2022 № 179. При этом акты будут различаться в зависимости от того, использует ли организация (оператор обработки персональных данных) средства автоматизации или нет.

2. Установлены требования к проводимой организациями оценке возможного вреда в области персональных данных

Если ранее такая оценка производилась и оформлялась в произвольной форме, то с 01.03.2023 приказ Роскомнадзора от 27.10.2022 № 178 детально ее регламентирует, а результаты оценки степени вреда должны быть оформлены соответствующим актом. 

Более высокая степень оценки вреда требует применения работодателями более высокой степени защиты.

ИНТЕРЕСНЫЕ СТАТЬИ

Аудит персональных данных - важная часть безопасности бизнеса

Подробнее

3. С 01.03.2023 скорректирован срок уведомления Роскомнадзора в случае, если изменились сведения, ранее представленные в уведомлении об обработке персональных данных

Раньше, согласно требованию Закона, соответствующее уведомление нужно было направить в течение 10 дней с момента изменения сведений. Теперь же уведомление направляется не позднее 15-го числа следующего месяца с даты, когда произошли изменения.

4. Вступили в силу требования к извещению Роскомнадзора о фактах утечки информации, содержащей персональные данные

С 01.03.2023 оператор персональных данных обязан в течение 24 часов сообщить в Роскомнадзор обо всех инцидентах, повлекших утечку данных. Требования к сообщению установлены приказом Роскомнадзора от 14.11.2022 № 187.

5. При необходимости передачи персональных данных иным операторам, расположенным в иностранных государствах (трансграничная передача), необходимо сначала получить согласие Роскомнадзора на такую передачу

Согласие Роскомнадзора будет зависеть от наличия в государстве-получателе законодательства о защите персональных данных, ратификации Конвенции Совета Европы о защите физлиц при автоматизированной обработке персональных данных.

6. С 23.12.2023 многократно увеличены штрафы за обработку персональных данных без письменного согласия субъекта и нарушение правил обработки персональных данных
Также введена новая ответственность за нарушения правил обработки биометрических персональных данных.
ИНТЕРЕСНЫЕ СТАТЬИ

Внутренний контроль персональных данных: три аргумента "за"

Подробнее


Так, в случаях использования персональных данных лица без его согласия, либо нарушения правил их сбора, хранения, передачи может быть наложен штраф в размере:

  • на граждан – до 15 тыс. руб. (ранее штраф составлял до 10 тыс. руб.), 
  • на должностных лиц – до 300 тыс. руб. (ранее штраф составлял до 40 тыс. руб.), 
  • на юридических лиц – до 700 тыс. руб. (ранее штраф составлял до 150 тыс. руб.).
В случаях же повторного совершения этого же правонарушения штраф уже будет составлять:

  • для граждан – до 30 тыс. руб.,
  • для должностных лиц – до 500 тыс. руб.,
  • для индивидуальных предпринимателей – до 1 млн. руб.,
  • для юридических лиц – до 1, 5 млн. руб.
Кроме того, КоАП РФ дополнен новой статьей 13.113, предусматривающей ответственность за нарушение требований в области размещения биометрических персональных данных. В этих случаях штраф может достигать 1 млн. руб.
НАШИ КЕЙСЫ

Аудит персональных данных спас руководителя от тюрьмы и дисквалификации

Подробнее

Какие изменения важно отслеживать

Новые изменения касаются прежде всего ужесточения ответственности со стороны организаций и работодателей за неправомерный доступ и распространение персональных данных.

Так, в декабре 2023 года на рассмотрение в Государственную Думу поступил законопроект № 502104-8, предусматривающий существенное увеличение штрафов за утечку персональных данных и вводящий новые составы административных правонарушений в рассматриваемой сфере

В частности, ответственность за обработку персональных данных, если цели их сбора не совпадает с заявленными ( ч. 1 ст. 13.11 КоАП РФ), повышена:

  • для граждан в более чем два раза (до 15 тыс. руб.),

  • для должностных лиц – в 5 раз (до 100 тыс. руб.),

  • для юридических лиц – в 3 раза (до 300 тыс. руб.).

В случае повторного совершения этого же правонарушения на юридическое лицо будет наложен штраф до 500 тыс. руб.

Также введена ответственность за невыполнение или несвоевременное выполнение обязанности по уведомлению Роскомнадзора о намерении осуществлять обработку персональных данных (штраф до 300 тыс. руб.). Если при этом еще будут нарушены права субъектов персональных данных, штраф составит до 3 млн руб.

Случаи неправомерной передачи информации, включающей персональные данные, будут наказываться в зависимости от объема и масштабов такой информации.

Так, факты передачи данных, включающей персональные данные:

– от 1 000 до 10 000 субъектов – штраф до 3 млн. руб.,

– от 10 000 до 100 000 субъектов – штраф до 10 млн. руб.,

– более 100 000 субъектов – штраф до 15 млн. руб.

За повторное совершение правонарушения штраф будет достигать от 0, 1 до 3% выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 млн. руб. и не более 500 млн руб.

Скачать Чек-лист нарушений для экспресс-аудита  Скачать

Грозящие компаниям штрафы впечатляют воображение, поэтому очень важно настроить работу с персональными данными в соответствии с законодательством, чтобы без проблем проходить возможные проверки Роскомнадзора и не переживать за штрафные санкции. 

Как учесть все изменения в работе и ничего не пропустить

Наиболее эффективный способ подготовки к предстоящим изменениям законодательства в области персональных данных - проведение аудита персональных данных.

Аудит персональных данных позволит своевременно, не дожидаясь многомиллионных штрафов, выявить риски, связанные с деятельностью в сфере персональных данных и минимизировать их или устранить вовсе.
ИНТЕРЕСНЫЕ СТАТЬИ

Как провести самопроверку по персональным данным

Подробнее


В ходе аудита будут проверены:

– уставные документы и локальные акты на соответствие требованиям Закона 152-ФЗ,

– фактическое наличие всех необходимых локальных актов,

– имеющиеся в организации процессы обработки персональных данных на соответствие заявленной Политике,

Также будут оценены существующие бизнес-процессы, связанные с передачей информации, содержащей персональные данные, на соответствие требованиям закона.

Таким образом, проведение аудита персональных данных является важным инструментом для обеспечения законности, безопасности и доверия в отношении обработки персональной информации.

Эксперты убеждены, что изменения, касающиеся персональных данных, которые действуют сейчас - не последние. Специалистам кадровой службы следует держать руку на пульсе предстоящих нововведений и отслеживать новые требования законодательства. Проверить, соблюдает ли ваша компания все актуальные требования закона 152-ФЗ, поможет аудит персональных данных. 

Вы можете заказать аудит персональных данных у наших опытных экспертов, которые помогут вам выявить критические моменты и устранить имеющиеся недостатки, при необходимости разработают и внедрят необходимые документы и акты

Заказать аудит персональных данных

Заказать

Материал подготовлен экспертами департамента трудового права компании «Митрофанова и партнеры»

Поделиться материалом
Скопировать ссылку