Персональные данные: какие изменения важно учесть в работе
Начиная с 2023 года в Закон о персональных данных вносятся все новые и новые изменения, призванные обеспечить приватность и безопасность персональных данных.Читайте в нашей статье о важных изменениях, уже вступивших в силу, как выстроить работу с персональными данными с учетом новых требований, чтобы избежать ответственности и предотвратить наложение штрафов и санкций.
Какие изменения вступили в силу
Ключевыми изменениями стали:
Если ранее такая оценка производилась и оформлялась в произвольной форме, то с 01.03.2023 приказ Роскомнадзора от 27.10.2022 № 178 детально ее регламентирует, а результаты оценки степени вреда должны быть оформлены соответствующим актом.
Более высокая степень оценки вреда требует применения работодателями более высокой степени защиты.
Раньше, согласно требованию Закона, соответствующее уведомление нужно было направить в течение 10 дней с момента изменения сведений. Теперь же уведомление направляется не позднее 15-го числа следующего месяца с даты, когда произошли изменения.
С 01.03.2023 оператор персональных данных обязан в течение 24 часов сообщить в Роскомнадзор обо всех инцидентах, повлекших утечку данных. Требования к сообщению установлены приказом Роскомнадзора от 14.11.2022 № 187.
Согласие Роскомнадзора будет зависеть от наличия в государстве-получателе законодательства о защите персональных данных, ратификации Конвенции Совета Европы о защите физлиц при автоматизированной обработке персональных данных.
Также введена новая ответственность за нарушения правил обработки биометрических персональных данных.
Так, в случаях использования персональных данных лица без его согласия, либо нарушения правил их сбора, хранения, передачи может быть наложен штраф в размере:
- на граждан – до 15 тыс. руб. (ранее штраф составлял до 10 тыс. руб.),
- на должностных лиц – до 300 тыс. руб. (ранее штраф составлял до 40 тыс. руб.),
- на юридических лиц – до 700 тыс. руб. (ранее штраф составлял до 150 тыс. руб.).
- для граждан – до 30 тыс. руб.,
- для должностных лиц – до 500 тыс. руб.,
- для индивидуальных предпринимателей – до 1 млн. руб.,
- для юридических лиц – до 1, 5 млн. руб.
Какие изменения важно отслеживать
Новые изменения касаются прежде всего ужесточения ответственности со стороны организаций и работодателей за неправомерный доступ и распространение персональных данных.
-
для граждан в более чем два раза (до 15 тыс. руб.),
-
для должностных лиц – в 5 раз (до 100 тыс. руб.),
-
для юридических лиц – в 3 раза (до 300 тыс. руб.).
В случае повторного совершения этого же правонарушения на юридическое лицо будет наложен штраф до 500 тыс. руб.
Также введена ответственность за невыполнение или несвоевременное выполнение обязанности по уведомлению Роскомнадзора о намерении осуществлять обработку персональных данных (штраф до 300 тыс. руб.). Если при этом еще будут нарушены права субъектов персональных данных, штраф составит до 3 млн руб.
Так, факты передачи данных, включающей персональные данные:
– от 1 000 до 10 000 субъектов – штраф до 3 млн. руб.,
– от 10 000 до 100 000 субъектов – штраф до 10 млн. руб.,
– более 100 000 субъектов – штраф до 15 млн. руб.
Скачать Чек-лист нарушений для экспресс-аудита Скачать
Грозящие компаниям штрафы впечатляют воображение, поэтому очень важно настроить работу с персональными данными в соответствии с законодательством, чтобы без проблем проходить возможные проверки Роскомнадзора и не переживать за штрафные санкции.
Как учесть все изменения в работе и ничего не пропустить
Аудит персональных данных позволит своевременно, не дожидаясь многомиллионных штрафов, выявить риски, связанные с деятельностью в сфере персональных данных и минимизировать их или устранить вовсе.
В ходе аудита будут проверены:
– уставные документы и локальные акты на соответствие требованиям Закона 152-ФЗ,
– фактическое наличие всех необходимых локальных актов,
– имеющиеся в организации процессы обработки персональных данных на соответствие заявленной Политике,
Также будут оценены существующие бизнес-процессы, связанные с передачей информации, содержащей персональные данные, на соответствие требованиям закона.
Таким образом, проведение аудита персональных данных является важным инструментом для обеспечения законности, безопасности и доверия в отношении обработки персональной информации.
Эксперты убеждены, что изменения, касающиеся персональных данных, которые действуют сейчас - не последние. Специалистам кадровой службы следует держать руку на пульсе предстоящих нововведений и отслеживать новые требования законодательства. Проверить, соблюдает ли ваша компания все актуальные требования закона 152-ФЗ, поможет аудит персональных данных.
Заказать аудит персональных данных