Тридцатого мая вступили в силу обновленные требования к обработке персональных данных, которые затронут практически всех предпринимателей России. Размер штрафов за нарушения увеличивается в 60 раз, максимальные санкции за утечку данных составляют 15 миллионов рублей или три процента от годовой выручки компании. Даже простое хранение резюме без согласия работника может стать основанием для проверки и крупного штрафа.
Новые правила распространяются на самозанятых граждан, которые принимают заказы через мессенджеры, ведут список клиентов в телефонной книге, хранят фамилии, имена, отчества и номера телефонов заказчиков. Под действие закона попадают те, кто отправляет напоминания и принимает оплату через онлайн-системы. Индивидуальные предприниматели и общества с ограниченной ответственностью, имеющие веб-сайт с формой обратной связи, заказа или подписки, также должны соблюдать новые требования. Любая организация, которая отправляет рассылки, хранит данные сотрудников или использует системы аналитики для сайтов, обязана привести свою деятельность в соответствие с законом.
За игнорирование новых требований предусмотрены существенные финансовые санкции. Самозанятые и физические лица заплатят до 10 тысяч рублей, индивидуальные предприниматели и компании — до 300 тысяч рублей за базовые нарушения. Размеры штрафов значительно возрастают в зависимости от характера нарушения. Обработка персональных данных без согласия или с нарушением целей сбора повлечет штрафы от 50 до 300 тысяч рублей в зависимости от категории бизнеса. За неуведомление Роскомнадзора об обработке персональных данных предусмотрены санкции от 100 до 300 тысяч рублей. Наиболее серьезные последствия ожидают операторов в случае утечки данных — от трех до 15 миллионов рублей или оборотные штрафы до трех процентов от годовой выручки, но не менее 20 миллионов рублей.
Персональными данными считается любая информация, которая позволяет прямо или косвенно идентифицировать человека. К таким сведениям относятся фамилия, имя, отчество, дата и место рождения, паспортные данные, страховой номер индивидуального лицевого счета (СНИЛС), идентификационный номер налогоплательщика (ИНН), адрес проживания и семейное положение. Менее очевидными персональными данными являются IP-адрес в ряде случаев, геолокация, cookies-файлы, позволяющие идентифицировать пользователя, голосовые записи, фотографии и видеозаписи, на которых можно узнать человека.
Обработка персональных данных включает любое действие с ними: хранение, систематизацию, передачу и удаление. Согласие на обработку персональных данных требуется в трех основных случаях. Во-первых, когда организация хранит данные не в рамках закона. Во-вторых, при работе с биометрией. В-третьих, при публикации данных в открытых источниках — на сайте или в справочнике. Согласие оформляется исключительно в письменной форме с подписью субъекта данных. В документе обязательно указываются цель и перечень обрабатываемых данных, срок хранения, права на отзыв согласия, подписи сторон и дата составления.
Законодательство предусматривает случаи, когда согласие не требуется. Данные можно обрабатывать без дополнительных разрешений для заключения трудового договора, выполнения требований закона и в рамках трудового кодекса. Для соблюдения требований законодательства необходимо пройти процедуру регистрации в Роскомнадзоре. Первым шагом станет подготовка пакета документов, включающего политику обработки персональных данных, приказы, формы согласия. Заполнить форму можно на сайте Роскомнадзора по адресу pd.rkn.gov.ru/operators-registry/notification/. Владельцам сайтов необходимо добавить чекбокс согласия на всех страницах сбора данных. После подачи уведомления остается дождаться ответа и следить за изменениями в законодательстве. Альтернативным способом регистрации служит портал Госуслуг.
Регистрация в Роскомнадзоре требует серьезной подготовки. Перед направлением уведомления компании необходимо разработать и внедрить внутренние документы, регулирующие обработку персональных данных. Количество требуемых документов составляет от 30 до 60 в зависимости от сферы деятельности, наличия сайтов, численности сотрудников и объемов обрабатываемых данных.
Особое внимание Роскомнадзор уделяет корпоративным сайтам. Ведомство применяет автоматизированную систему мониторинга, которая ежедневно проверяет ресурсы на соответствие требованиям. Система контролирует наличие актуальной политики обработки персональных данных и согласия на их обработку, корректность форм сбора данных с обязательным пользовательским согласием, уведомление о cookie-файлах с возможностью отказа, указание полных реквизитов владельца сайта и отсутствие признаков трансграничной передачи данных через запрещенные иностранные сервисы. Автоматическая проверка выявляет нарушения без предварительного уведомления. Даже один неактуальный документ или устаревшая интеграция с Google-сервисами может привести к блокировке сайта и крупному штрафу. После получения предписания на исправление нарушений у организации будет всего десять календарных дней. Устранение нарушений не гарантирует полного освобождения от санкций — штрафы могут быть лишь снижены.
Законодательство устанавливает строгие требования к срокам хранения и уничтожения персональных данных. Информация должна храниться только для целей обработки и уничтожаться в течение 30 дней после достижения этих целей. Уничтожение также требуется при отзыве согласия со стороны субъекта данных и выявлении избыточных или ошибочно собранных сведений. Сроки регламентированы: 30 дней на удаление по отзыву согласия, десять рабочих дней — при выявлении нарушений. При технической невозможности уничтожения закон разрешает блокировать информацию на шесть месяцев.
Перед уничтожением данных необходимо проверить основания и сроки хранения, определить все места хранения информации, включая резервные копии и бумажные архивы. Важно наладить взаимодействие между всеми подразделениями, работающими с персональными данными — кадрами, маркетингом, бухгалтерией и службой информационной безопасности. Процедура включает удаление сведений из всех систем, в том числе у третьих лиц, составление акта об уничтожении и предоставление подтверждения субъекту персональных данных при необходимости.
За нарушение сроков удаления данных предусмотрена административная ответственность. Физические лица заплатят штраф от двух до шести тысяч рублей, должностные лица — от десяти до 20 тысяч рублей, юридические лица — от 60 до 100 тысяч рублей. Исследование показало, что только три процента компаний в России полностью автоматизировали процесс удаления персональных данных. При этом 39 процентов российских компаний удаляют персональные данные вручную, 25 процентов используют шредеры и сжигание, десять процентов применяют механическое уничтожение. Остальные используют другие методы или не удаляют данные вообще.
Для автоматизации процессов удаления персональных данных компании могут использовать специализированные платформы. Битрикс24 предоставляет возможность управления персональными данными сотрудников, включая функции для удаления и редактирования информации. Администраторы могут удалять учетные записи пользователей и связанные с ними данные в соответствии с требованиями законодательства. В решениях 1С предусмотрены механизмы для удаления персональных данных, что позволяет организациям соблюдать требования законодательства. PrivacyLine специально разработан для управления персональными данными и предлагает инструменты для их удаления в соответствии с нормами закона.
Оператором персональных данных по закону номер 152-ФЗ считается орган власти, юридическое или физическое лицо, самостоятельно или совместно с другими обрабатывающее персональные данные клиентов и партнеров. Операторы обязаны назначить ответственного за обработку персональных данных, разработать политику и локальные акты, принять меры по защите данных, проводить внутренний контроль или аудит, оценивать возможные риски для субъектов данных, обучать работников требованиям законодательства и уведомить Роскомнадзор о намерении обрабатывать данные.
Страховые компании и их агенты также попадают под действие новых правил. Страховой агент, действующий на основании агентского договора и обрабатывающий персональные данные клиентов только в рамках деятельности от имени страховой компании, регистрацию в Роскомнадзоре проходить не обязан. В этом случае оператором персональных данных является страховая компания, а агент — обработчиком. Закон 152-ФЗ прямо указывает, что обработчик персональных данных не обязан уведомлять Роскомнадзор, если он обрабатывает персональные данные по поручению оператора.
Однако оператор должен оформить поручение, в котором определен перечень персональных данных, перечень действий с персональными данными, цели их обработки, которые будут совершаться агентом. Также должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, обязанность по запросу оператора в течение срока действия поручения оператора предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение требований закона.
Если страховой агент параллельно с основной деятельностью ведет собственную базу клиентов для допродаж или перепродаж услуг, использует мессенджеры или таблицы для хранения клиентских данных, принимает заказы напрямую от клиентов вне системы страховой компании, рассылает напоминания и рекламные материалы, использует формы обратной связи на собственных сайтах, он становится самостоятельным оператором персональных данных. В этом случае агент обязан уведомить Роскомнадзор, оформить локальные документы, включая политику обработки персональных данных и формы согласий, добавить соответствующие чекбоксы на точке продаж и на сайте, следить за реестром операторов и поддерживать данные в актуальном состоянии.
Усиление контроля за обработкой персональных данных требует от предпринимателей незамедлительных действий. Масштаб необходимых изменений затрагивает практически все аспекты ведения бизнеса — от простого хранения контактов клиентов до сложных систем автоматизации и аналитики. Компании должны провести аудит всех процессов, связанных с персональными данными, разработать необходимую документацию и внедрить технические меры защиты информации для соответствия новым требованиям законодательства.
