С введением в действие положений Закона № 420-ФЗ с 30 мая текущего года ужесточились критерии оценки способов защиты предпринимателями персональных данных (ПД) работников и клиентов. Нарушение требований закона чревато многомиллионными штрафами. Специалисты нашего юридического бюро в Москве Долгопрудном и Подмосковье расскажут, что следует изменить при работе с персональными данными и что делать, чтобы избежать штрафных санкций.
Что изменяется для владельцев бизнеса
Изменения коснулись фактически всех предпринимателей, которые теперь в обязательном порядке обязаны в случае обработки ПД подавать уведомление в РКН. Ужесточились требования к локализации баз обрабатываемых данных, использование cookie, и выросли штрафы за утечки.
Кто обязан направлять уведомление в РКН
Это должны делать юридические лица, самозанятые и индивидуальные предприниматели, которые по роду деятельности работают с ПД граждан. Работа может заключаться в обработке информации, относящейся к конкретному лицу:
-
Сбор данных;
-
Хранение информации;
-
Систематизация;
-
Все виды использования;
-
Передача иным лицам или организациям;
-
Уничтожение.
Различают «прямые» ПД, то есть ФИО, адреса почты, номера телефонов и прочие, и «косвенные» - интересы, увлечения, хобби и тому подобное.
К примеру, если ИП делает при найме на работу сканы СНИЛС и паспорта некоего лица, то он уже работает с ПД. Или если он с целью набора клиентской базы на своём сайте размещает форму обратной связи. Для соблюдения буквы закона необходимо сначала подать уведомление об обработке ПД.
Уведомление не обязаны подавать учреждения и ИП, собирающие ПД путём рукописного учёта, например, в традиционный журнал. Но, как предупреждают юристы в Москве, когда эта информация переносится на компьютер, к примеру, в Excel, уведомление в РКН должно быть подано.
Оформляя уведомление, следует учесть нормативные документы и различные нюансы, чтобы по ошибке не получить в дальнейшем крупный штраф. Существуют фирмы, специализирующиеся на подготовке корректных уведомлений – так называемые интеграторы, обращение к которым может уменьшить риски ответственности.
Мероприятия для защиты ПД
Убедившись в том, что он собирает и использует ПД физлиц, предприниматель должен подать в РКН уведомление.
С физлиц, предоставляющих свои персональные данные, следует получить их добровольное согласие на дальнейшую их обработку, оформленное в электронном или письменном виде.
ПД должны быть защищены от утечек или доступа неуполномоченных на то лиц путём установки прав доступа, паролей и антивирусных программ, которые должны содержаться в актуальном состоянии.
Следует разработать политику по работе с ПД, в которой должны быть указан перечень используемых данных, цель их сбора, методы использования и способы их защиты.
Своевременные консультации юристов по защите ПД и IT-специалистов помогут предотвратить возможные штрафы.
Кроме того, необходимо принять меры к локализации данных, а также упорядочиванию обработки файлов cookie.
Локализация хранимых информационных баз
Это обязательная мера по защите ПД, подразумевающая сбор, сохранение и использование персональных реквизитов граждан только в пределах РФ. Распространяется она на всех, на что особенно должны обратить внимание фирмы, использующие зарубежные сервисы для обработки ПД, а также применяющие импортные IT-разработки с находящимися за границей серверами или же обменивающиеся данными с иностранными контрагентами.
Юристы в Долгопрудном напоминают, что для контроля выполнения закона РКН использует систему «Ревизор», отслеживающую трафик данных и местоположение серверов.
Трансграничный обмен данными, к примеру, в туристическом бизнесе, возможен лишь с официального разрешения РКН, для чего, скажем, туристическая фирма обязана заранее направить уведомление и зарегистрироваться в Реестре межгосударственных передач.
Cookie
Несмотря на отсутствие употребления в законе термина cookie, фактически их использование трактуется РКН как сбор ПД. Поэтому:
-
Сайты обязаны по-прежнему испрашивать разрешение пользователей на сбор любых cookie путём размещения при первом обращении к сайту отдельных баннеров.
-
Посетители сайта должны иметь право определять, какую информацию они предоставят.
-
Сookie, содержащие ПД, должны быть использованы только на территории России.
-
Должен быть предусмотрен вариант отказа от cookie – за исключением необходимых технически.
Усиление ответственности за произошедшую утечку ПД
Привлечение к ответственности следует в определённых случаях:
-
Задержка с сообщением о факте утечки в РКН или сокрытие такой информации;
-
Несанкционированная субъектом передача третьим лицам данных ПД;
-
Халатность обрабатывающего ПД оператора, ставшая причиной утечки;
-
Недостаточность применяемых способов защиты ПД в силу игнорирования правил информационной безопасности.
Юристы в Москве обращают внимание, что если нарушения фирмой, как оператором обработки ПД, допущены повторно, то ей будут вменены оборотные взыскания, зависящие от выручки.
Какие штрафы предусмотрены для юрлиц и ИП
Увеличены штрафы за неподачу уведомления в Роскомнадзор о произошедшей утечке ПД:
-
Для организаций и ИП – до 3 млн рублей;
-
Для сотрудников, занимающихся обработкой и защитой ПД – до 800 тысяч.
Штраф, налагаемый за саму утечку ПД, определяется в зависимости от размера базы «утерянных» физлиц. Если утеряны ПД от 1000 до 10 000человек, юрлица будут оштрафованы на 3 – 5 млн руб., а за утечку данных свыше 100 тысяч человек штраф может достигать 15 млн рублей.
Юристы в Долгопрудном советуют для минимизации возможного штрафа за утечку уведомить РКН, ликвидировать уязвимость и направить в РКН документальные данные об инвестировании фирмы в безопасность средств в размере как минимум 0.1% выручки за последние 3 года.
Что делать, чтобы не получать штрафы за утечку
Как обобщают наши юристы по защите прав потребителей, необходимо принять описанные выше меры:
-
Направить уведомление в РКН о работе с ПД граждан;
-
Локализовать все свои базы данных, то есть перевести их на территорию РФ;
-
Учитывать файлы cookie как персональные данные;
-
Подготовить и принять Политику в области защиты ПД, переподготовить персонал и провести соответствующий апгрейд используемой компьютерной базы;
-
Своевременно уведомлять Роскомнадзор о случаях нарушений режима получения, обработки и хранения ПД.
Чтобы в проблемных ситуациях воспользоваться помощью специалистов нашего юридического бюро в Москве Долгопрудном и Подмосковье, достаточно просто позвонить по телефону 8 (495) 969-77-44 или оставить заявку на сайте.