Персональные данные. Изменения для бизнеса
Понятие персональных данных у всех на слуху! Это, пожалуй, самый часто изменяющийся закон – он «живёт» и приносит организациям, юридическим лицам и индивидуальным предпринимателям - одним словом бизнесу - много бумажной работы, а также большие штрафы за его несоблюдение.
Почему персональные данные так охраняются государством?
Защита личной информации приравнивается к защите реальной личности. В век цифровых технологий распространение персональных данных может стать реальной угрозой в виде совершения в отношении человека различных мошеннических действий.
Зачем вносить изменения в закон?
Ответ на этот вопрос также вязан с цифровизацией и постоянными изменениями в преступных схемах и возможностях незаконного использования данных. Законодатель оценивает не только изменение технологий, но и возможности «пробить брешь» в системах защиты и убеждает всех, кто работает с персональными данными относится к обработке более серьёзно.
Как не «попасть» на штрафы?
Постоянно отслеживать изменения в действующем законодательстве, вносить изменения в документы и подавать уведомления в Роскомнадзор или отдать вопрос актуализации и защиты компании в области персональных данных – квалифицированным специалистам! Например, юристам сервиса «Доступное право»
Что меняется в законе с 1 сентября 2022 года?
Поправки, которые в Федеральный закон от 27.07.2006 № 152-ФЗ вносит Федеральный закон от 14.07.2022 № 266-ФЗ, направлены на совершенствование правовой защищенности субъектов персональных данных, а также усиление госконтроля в этой сфере.
С первого дня осени все организации, так или иначе связанные с персональными данными своих сотрудников, клиентов, подрядчиков и заказчиков должны подготовиться к серьёзному ужесточению требований.
В изменяющем Федеральном законе много букв, но настоятельно рекомендуем вам его прочесть, так как:
1. С 1 сентября 2022 года сбор любых персональных данных станет подконтрольным! Оператору (сборщику) необходимо заранее уведомить Роскомнадзор о намерении осуществлять сбор, направив специальное уведомление.
Это связано с тем, что расширился список персональных данных (например: ФИО без связки с любыми другими ПД теперь тоже отдельный вид персональных данных) и исчезла из исключений цель обработки связанная с трудовыми отношениями.
Поэтому всем, кто уже в реестре, необходимо до 15 сентября 2022 года направить уведомление с внесёнными в него изменениями! Времени не так много, а ведь нужно ещё провести аудит всех данных и локальных актов, которые есть в вашей организации, чтобы не допустить ошибок в корректирующем уведомлении!
2. На основании ваших уведомлений Роскомнадзор внесёт компании в специальный реестр операторов и любой желающий сможет проверить законно ли осуществляется сбор и обработка его данных.
3. Всё, что будет указано вами в уведомлении должно соответствовать действительности! Роскомнадзор имеет право провести проверку соблюдения требований – запросив предоставление положений, политик, приказов и любой другой «кипы бумаг», которой должна быть подкреплена ваша «защита персональных данных». В 2022 году действует мораторий на плановые проверки Роскомнадзора, но инспектор придёт внепланово по жалобе от клиента или работника.
Что делать?
Провести проверку имеющегося и дополнить документы нужными пунктами, а также провести разработку приказов, назначить ответственных и привести в порядок дела до того, как придёт проверка. В среднем на аудит документации и внесение изменений уходит от 2 недель до 1 месяца, а о проведении проверки Роскомнадзор сообщит в куда меньшие сроки.
4. С 1 сентября реестр операторов будет не только пополняться, но и очищаться: в течение тридцати дней с даты поступления от оператора уведомления о прекращении обработки ПД Роскомнадзор будет исключать из реестра сведения, ранее представлявшиеся оператором. Тем самым, реестр операторов будет отражать информацию об обработке ПД, более-менее действительную на текущий момент.
Кто может не отправлять уведомление?
Не уведомлять Роскомнадзор о намерении обрабатывать персональные только в трёх случаях:
- персональные данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка -например, автоматизированные дактилоскопические информационные системы (АДИС) полиции;
- обработка личной информации производится исключительно без средств автоматизации, то есть без использования вычислительной техники;
-персональные данные используются в случаях, предусмотренных законами о транспортной безопасности. Например, записи с видеокамер систем видеонаблюдения в аэропортах и на ж/д вокзалах.
Во всех остальных ситуациях изменения в закон о защите персональных данных вас касаются напрямую!
Если принебречь изменениями, то к вам могут применить различные меры ответственности:
- за отсутствие уведомления или его несвоевременность штраф по ст. 19.7 КоАП РФ составит до 5000 рублей;
- за нарушение законодательства о персональных данных установлены санкции по ст. 13.11 КоАП РФ: от 10 000 рублей для ИП до 40 000 (при повторном до 300 000), и от 60 000 рублей до 150 000 (за повторное до 500 000) — для организаций.
Также предусмотрена Уголовная ответственность предусмотрена за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации — ст. 137, 272 УК.
А ст. 24 152-ФЗ предусматривает обязательное возмещение морального вреда субъекту персональных данных вследствие нарушения правил обработки его личной информации. Новые изменения дополнят закон в марте 2023 года.
