Про изменения в законе о персональных данных рассказали в ТПП РО
Вступивший в силу с 23 декабря 2023 года закон от 12.12.2023 № 589-ФЗ увеличил размер штрафов за обработку персональных данных без согласия. Большинство предпринимателей были готовы к нововведениям, но вопросов, как всегда, много. Чтобы ответить на них максимально полно, комитетом по безопасности предпринимательской деятельности ТПП Ростовской области был проведён семинар «Новые штрафы по закону о персональных данных, которые угрожают любой организации».
Разъяснения дал практикующий эксперт по информационному праву, генеральный директор ООО «РЭАЦ «Эксперт», председатель комитета по безопасности предпринимательской деятельности ТПП РО Николай Мисник.
– Тема актуальна, потому что Роскомнадзор проводит очень жёсткую политику, делает выборочные проверки. Да, есть мораторий правительства в отношении проверок. Однако сейчас сотрудники Роскомнадзора реагируют на жалобы, ходят по сайтам – анализ сайта не является плановой проверкой. Кстати, жалоб на нарушения, связанные с персональными данными, всё больше. Если раньше их было 30 тысяч в год, сейчас 140 тысяч, – сказал он.
В законе прямо указано: работодатель не имеет права обрабатывать сведения о работнике, относящиеся к специальным категориям.
– А ведь, допустим, в автобиографии люди вообще пишут что угодно. Мы готовили к проверке одну городскую администрацию, там в автобиографии были указаны религиозные данные, относящиеся к специальной категории, – рассказал Мисник.
Отдельная тема – данные пациентов. Если в медучреждении небрежно относятся к вопросу хранения персональных данных, к их обработке, то штраф может составить до шести млн. рублей; повторно — до 18 млн. рублей.
– Ведь очень часто данные пациентов хранят не в CRM, а в гугл-таблицах. В прошлом году уже был прецедент, когда медорганизацию наказали на 400 тысяч за пользование иностранным веб-сервисом, – напомнил Николай Мисник.
Каким должно быть согласие на обработку
Перед тем, как приступить к работе с персональными данными, любая компания или ИП обязаны заручиться согласием физлица. Оно должно быть дано либо в письменной форме, либо же в форме электронного документа, подписанного ЭЦП.
Согласие на обработку персональных данных, в соответствии с ч. 1 ст. 9 закона № 152-ФЗ, обязательно должно быть: конкретным; предметным; информированным; сознательным; однозначным.
Кроме того, согласие может быть в любой момент отозвано. Это значит, что нужно прекратить обработку персональных данных и уничтожить те, что были ранее собраны.
Обработка персональных данных без согласия физлица — уже основание для привлечения организации и ИП к административной ответственности (ч. 2 ст. 13.11 КоАП).
Компанию и ИП также оштрафуют, даже если согласие будет, но в нём будут отсутствовать обязательные сведения.
Требования к содержанию согласия на обработку персональных данных установлены в соответствии с приказом Роскомнадзора от 24.02.2021 № 18.
Согласие должно содержать: Ф. И. О; паспортные данные физлица; наименование и адрес оператора; цель обработки данных; перечень обрабатываемых данных/действий с данными; сведения об информационных ресурсах оператора; срок действия согласия; подпись физлица, предоставляющего свои данные.
Будьте предельно внимательны: если часть требований не учесть при составлении согласия, обработка будет считаться проведённой без согласия. Значит, оператор однозначно будет вынужден заплатить крупный штраф.
Нарушения в сфере биометрии
Появились новые штрафы за нарушение правил работы с биометрическими персональными данными. С 23 декабря 2023 года действует ст. 13.11.3 КоАП «Нарушение требований в области размещения биометрических персональных данных».
Биометрические персональные данные — это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Их обработкой занимаются банки и МФЦ, внося их в Единую биометрическую систему. Но для этого тоже необходимо письменное согласие физлица. В противном случае на банки и МФЦ налагаются штрафы.
Про обработку ПДн
Сбор, запись, систематизацию, анализ, хранение, передачу, уничтожение персональных данных, т.е. любое действие с персональными данными, закон относит к обработке. Это касается даже мелочей: запросили имя и номер телефона на сайте — стали оператором и занимаетесь обработкой персональных данных. Взяли документы для трудоустройства сотрудника? Снова обрабатываете персональные данные.
Кстати, по словам Николая Мисника, коммерческие предприятия не имеют права хранить у себя копии паспортов сотрудников. Это могут делать только отделы кадров госструктур.
– Тысячи судебных решений по поводу копий паспортов есть – помните, что это избыточный сбор персональных данных, – предупреждает он.
В зависимости от целей обработки собирать можно только определённые данные. Например, при трудоустройстве сотрудника работодатель не имеет права запрашивать справку о семейном положении или отсутствии беременности.
Собираясь заняться обработкой персональных данных сотрудников, убедитесь, что вы числитесь в реестре операторов Роскомнадзора.
Если нет – срочно подайте уведомление в Роскомнадзор о том, что являетесь оператором персональных данных и собираетесь осуществлять их обработку.
Хранение и защита
Персональные данные могут храниться на серверах, «облаке» жёстких дисках, на бумаге в сейфе – всё это называется «хранение персональных данных».
Здесь есть много требований: Хранить данные столько, сколько требуется для их обработки; по данным должно быть возможно определить их субъекта; персональные данные, собранные для разных целей, должны храниться отдельно; после обработки ПДн должны быть уничтожены или обезличены.
Уничтожение и фиксация
Чтобы документально зафиксировать уничтожение, необходимо издать акт и подтвердить уничтожение выгрузкой из журнала регистрации событий, если обрабатывали персональные данные в электронном виде.
– Тот случай, когда персональные данные становятся токсичным активом, — заметили слушатели семинара.
Обезличить – какие есть варианты
Организовать обезличивание данных – важная задача, о которой говорят уже много лет:
– Есть база с контактами и номерами договоров? Придумайте идентификатор для каждого пользователя, перенесите данные из базы, не всем работникам нужна вся информация. Обезличенные персональные данные — гарантия, что вас не оштрафуют. Есть приказ Роскомнадзора, где предложены методики обезличивания: идентификаторы, замена символов. Сейчас у нас бизнес существует от «авось», но, когда пойдут штрафы, порядка станет больше. Только какой ценой? Лучше будьте предусмотрительны, – объясняет Николай Мисник.
У нас есть совместный проект с Торгово-промышленной палатой Ростовской области – мы анализируем сайты, выявляем нарушения и даём рекомендации, как их устранить,-напомнил лектор
По персональным данным мы всех консультируем бесплатно, нам самим это нужно в образовательных целях. Сколько компаний, столько и случаев обработки, – резюмировал Николай Мисник.
Константин Марков.