Персональные данные: какие изменения важно учесть в работе

Начиная с 2023 года в Закон о персональных данных вносятся все новые и новые изменения, призванные обеспечить приватность и безопасность персональных данных. 

Читайте в нашей статье о важных изменениях, уже вступивших в силу, как выстроить работу с персональными данными с учетом новых требований, чтобы избежать ответственности и предотвратить наложение штрафов и санкций.

Какие изменения вступили в силу

Ключевыми изменениями стали:

1. Обязательное подтверждение факта уничтожения персональных данных актом

Требования по оформлению и содержанию этого акта установлены в приказе Роскомнадзора от 28.10.2022 № 179. При этом акты будут различаться в зависимости от того, использует ли организация (оператор обработки персональных данных) средства автоматизации или нет.

2. Установлены требования к проводимой организациями оценке возможного вреда в области персональных данных

Если ранее такая оценка производилась и оформлялась в произвольной форме, то с 01.03.2023 приказ Роскомнадзора от 27.10.2022 № 178 детально ее регламентирует, а результаты оценки степени вреда должны быть оформлены соответствующим актом. 

Более высокая степень оценки вреда требует применения работодателями более высокой степени защиты.

ИНТЕРЕСНЫЕ СТАТЬИ

Аудит персональных данных - важная часть безопасности бизнеса

Подробнее

3. С 01.03.2023 скорректирован срок уведомления Роскомнадзора в случае, если изменились сведения, ранее представленные в уведомлении об обработке персональных данных

Раньше, согласно требованию Закона, соответствующее уведомление нужно было направить в течение 10 дней с момента изменения сведений. Теперь же уведомление направляется не позднее 15-го числа следующего месяца с даты, когда произошли изменения.

4. Вступили в силу требования к извещению Роскомнадзора о фактах утечки информации, содержащей персональные данные

С 01.03.2023 оператор персональных данных обязан в течение 24 часов сообщить в Роскомнадзор обо всех инцидентах, повлекших утечку данных. Требования к сообщению установлены приказом Роскомнадзора от 14.11.2022 № 187.

5. При необходимости передачи персональных данных иным операторам, расположенным в иностранных государствах (трансграничная передача), необходимо сначала получить согласие Роскомнадзора на такую передачу

Согласие Роскомнадзора будет зависеть от наличия в государстве-получателе законодательства о защите персональных данных, ратификации Конвенции Совета Европы о защите физлиц при автоматизированной обработке персональных данных.

6. С 23.12.2023 многократно увеличены штрафы за обработку персональных данных без письменного согласия субъекта и нарушение правил обработки персональных данных
Также введена новая ответственность за нарушения правил обработки биометрических персональных данных.
ИНТЕРЕСНЫЕ СТАТЬИ

Внутренний контроль персональных данных: три аргумента "за"

Подробнее


Так, в случаях использования персональных данных лица без его согласия, либо нарушения правил их сбора, хранения, передачи может быть наложен штраф в размере:

  • на граждан – до 15 тыс. руб. (ранее штраф составлял до 10 тыс. руб.), 
  • на должностных лиц – до 300 тыс. руб. (ранее штраф составлял до 40 тыс. руб.), 
  • на юридических лиц – до 700 тыс. руб. (ранее штраф составлял до 150 тыс. руб.).
В случаях же повторного совершения этого же правонарушения штраф уже будет составлять:

  • для граждан – до 30 тыс. руб.,
  • для должностных лиц – до 500 тыс. руб.,
  • для индивидуальных предпринимателей – до 1 млн. руб.,
  • для юридических лиц – до 1, 5 млн. руб.
Кроме того, КоАП РФ дополнен новой статьей 13.113, предусматривающей ответственность за нарушение требований в области размещения биометрических персональных данных. В этих случаях штраф может достигать 1 млн. руб.
НАШИ КЕЙСЫ

Аудит персональных данных спас руководителя от тюрьмы и дисквалификации

Подробнее

7. С 30.05.2025 года ответственность работодателей ужесточается сразу по нескольким пунктам - неуведомление или несвоевременное уведомление РКН о работе с персданными, обработка персданных в случаях, не предусмотренных законом и утечка персональных данных. 

Какие изменения важно отслеживать

C 30 мая 2025 года в силу вступят изменения в законе о работе с персданными № 152-ФЗ. Ст.13.11 КоАП вводит новые составы правонарушений и новые штрафы для нарушителей. Так, за обработку персданных в случаях, не предусмотренных законом (ч. 1 и 1.1. ст. 13.11 КоАП), работодателям грозят следующие штрафы:

Скачать Чек-лист нарушений для экспресс-аудита  Скачать



Новая редакция КоАп предусматривает также дополнительные основания для привлечения к ответственности – если ответственное лицо не сообщает или несвоевременно сообщает в Роскомнадзор о работе с персональными данными:

    

Самые серьезные штрафы будут взиматься за утечку персональных данных:

Полную информацию об основаниях для привлечения к ответственности за нарушения по работе с персданными и сумму штрафов можно уточнить в Федеральном законе №420-ФЗ от 30.11.2024.

Грозящие компаниям штрафы впечатляют воображение, поэтому очень важно настроить работу с персональными данными в соответствии с законодательством, чтобы без проблем проходить возможные проверки Роскомнадзора и не переживать за штрафные санкции. 

Как учесть все изменения в работе и ничего не пропустить

Наиболее эффективный способ подготовки к предстоящим изменениям законодательства в области персональных данных - проведение аудита персональных данных.

Аудит персональных данных позволит своевременно, не дожидаясь многомиллионных штрафов, выявить риски, связанные с деятельностью в сфере персональных данных и минимизировать их или устранить вовсе.
ИНТЕРЕСНЫЕ СТАТЬИ

Как провести самопроверку по персональным данным

Подробнее


В ходе аудита будут проверены:

– уставные документы и локальные акты на соответствие требованиям Закона 152-ФЗ,

– фактическое наличие всех необходимых локальных актов,

– имеющиеся в организации процессы обработки персональных данных на соответствие заявленной Политике,

Также будут оценены существующие бизнес-процессы, связанные с передачей информации, содержащей персональные данные, на соответствие требованиям закона.

Таким образом, проведение аудита персональных данных является важным инструментом для обеспечения законности, безопасности и доверия в отношении обработки персональной информации.

Эксперты убеждены, что изменения, касающиеся персональных данных, которые действуют сейчас - не последние. Специалистам кадровой службы следует держать руку на пульсе предстоящих нововведений и отслеживать новые требования законодательства. Проверить, соблюдает ли ваша компания все актуальные требования закона 152-ФЗ, поможет аудит персональных данных. 

Вы можете заказать аудит персональных данных у наших опытных экспертов, которые помогут вам выявить критические моменты и устранить имеющиеся недостатки, при необходимости разработают и внедрят необходимые документы и акты

Заказать аудит персональных данных

Заказать

Материал подготовлен экспертами департамента трудового права компании «Митрофанова и партнеры»
Поделиться материалом
Скопировать ссылку