Про изменения в законе о персональных данных рассказали в ТПП РО

Вступивший в силу с 23 декабря 2023 года закон от 12.12.2023 № 589-ФЗ увеличил размер штрафов за обработку персональных данных без согласия. Большинство предпринимателей были готовы к нововведениям, но вопросов, как всегда, много. Чтобы ответить на них максимально полно, комитетом по безопасности предпринимательской деятельности ТПП Ростовской области был проведён семинар «Новые штрафы по закону о персональных данных, которые угрожают любой организации».

Разъяснения дал практикующий эксперт по информационному праву, генеральный директор ООО «РЭАЦ «Эксперт», председатель комитета по безопасности предпринимательской деятельности ТПП РО Николай Мисник.

 

– Тема актуальна, потому что Роскомнадзор проводит очень жёсткую политику, делает выборочные проверки. Да, есть мораторий правительства в отношении проверок. Однако сейчас сотрудники Роскомнадзора реагируют на жалобы, ходят по сайтам – анализ сайта не является плановой проверкой. Кстати, жалоб на нарушения, связанные с персональными данными, всё больше. Если раньше их было 30 тысяч в год, сейчас 140 тысяч, – сказал он.

В законе прямо указано: работодатель не имеет права обрабатывать сведения о работнике, относящиеся к специальным категориям.

– А ведь, допустим, в автобиографии люди вообще пишут что угодно. Мы готовили к проверке одну городскую администрацию, там в автобиографии были указаны религиозные данные, относящиеся к специальной категории, – рассказал Мисник.

Отдельная тема – данные пациентов. Если в медучреждении небрежно относятся к вопросу хранения персональных данных, к их обработке, то штраф может составить до шести млн. рублей; повторно — до 18 млн. рублей.

 – Ведь очень часто данные пациентов хранят не в CRM, а в гугл-таблицах. В прошлом году уже был прецедент, когда медорганизацию наказали на 400 тысяч за пользование иностранным веб-сервисом, – напомнил Николай Мисник.

Каким должно быть согласие на обработку

Перед тем, как приступить к работе с персональными данными, любая компания или ИП обязаны заручиться согласием физлица. Оно должно быть дано либо в письменной форме, либо же в форме электронного документа, подписанного ЭЦП.

Согласие на обработку персональных данных, в соответствии с ч. 1 ст. 9 закона № 152-ФЗ, обязательно должно быть: конкретным; предметным; информированным; сознательным; однозначным.

Кроме того, согласие может быть в любой момент отозвано. Это значит, что нужно прекратить обработку персональных данных и уничтожить те, что были ранее собраны.

Обработка персональных данных без согласия физлица — уже основание для привлечения организации и ИП к административной ответственности (ч. 2 ст. 13.11 КоАП).

Компанию и ИП также оштрафуют, даже если согласие будет, но в нём будут отсутствовать обязательные сведения.

Требования к содержанию согласия на обработку персональных данных установлены в соответствии с приказом Роскомнадзора от 24.02.2021 № 18.

Согласие должно содержать: Ф. И. О; паспортные данные физлица; наименование и адрес оператора; цель обработки данных; перечень обрабатываемых данных/действий с данными; сведения об информационных ресурсах оператора; срок действия согласия;  подпись физлица, предоставляющего свои данные.

Будьте предельно внимательны: если часть требований не учесть при составлении согласия, обработка будет считаться проведённой без согласия. Значит, оператор однозначно будет вынужден заплатить крупный штраф.

Нарушения в сфере биометрии

Появились новые штрафы за нарушение правил работы с биометрическими персональными данными. С 23 декабря 2023 года действует ст. 13.11.3 КоАП «Нарушение требований в области размещения биометрических персональных данных».

Биометрические персональные данные — это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Их обработкой занимаются банки и МФЦ, внося их в Единую биометрическую систему. Но для этого тоже необходимо письменное согласие физлица. В противном случае на банки и МФЦ налагаются штрафы.

Про обработку ПДн

Сбор, запись, систематизацию, анализ, хранение, передачу, уничтожение персональных данных, т.е. любое действие с персональными данными, закон относит к обработке. Это касается даже мелочей: запросили имя и номер телефона на сайте — стали оператором и занимаетесь обработкой персональных данных. Взяли документы для трудоустройства сотрудника? Снова обрабатываете персональные данные.

Кстати, по словам Николая Мисника, коммерческие предприятия не имеют права хранить у себя копии паспортов сотрудников. Это могут делать только отделы кадров госструктур.

– Тысячи судебных решений по поводу копий паспортов есть – помните, что это избыточный сбор персональных данных, – предупреждает он.

В зависимости от целей обработки собирать можно только определённые данные. Например, при трудоустройстве сотрудника работодатель не имеет права запрашивать справку о семейном положении или отсутствии беременности.

Собираясь заняться обработкой персональных данных сотрудников, убедитесь, что вы числитесь в реестре операторов Роскомнадзора.

Если нет – срочно подайте уведомление в Роскомнадзор о том, что являетесь оператором персональных данных и собираетесь осуществлять их обработку.

Хранение и защита

Персональные данные могут храниться на серверах, «облаке» жёстких дисках, на бумаге в сейфе – всё это называется «хранение персональных данных».

Здесь есть много требований: Хранить данные столько, сколько требуется для их обработки; по данным должно быть возможно определить их субъекта; персональные данные, собранные для разных целей, должны храниться отдельно; после обработки ПДн должны быть уничтожены или обезличены.

Уничтожение и фиксация

Чтобы документально зафиксировать уничтожение, необходимо издать акт и подтвердить уничтожение выгрузкой из журнала регистрации событий, если обрабатывали персональные данные в электронном виде.

– Тот случай, когда персональные данные становятся токсичным активом, — заметили слушатели семинара.

Обезличить – какие есть варианты

Организовать обезличивание данных – важная задача, о которой говорят уже много лет:

–  Есть база с контактами и номерами договоров? Придумайте идентификатор для каждого пользователя, перенесите данные из базы, не всем работникам нужна вся информация. Обезличенные персональные данные — гарантия, что вас не оштрафуют. Есть приказ Роскомнадзора, где предложены методики обезличивания: идентификаторы, замена символов. Сейчас у нас бизнес существует от «авось», но, когда пойдут штрафы, порядка станет больше. Только какой ценой? Лучше будьте предусмотрительны, – объясняет Николай Мисник.

У нас есть совместный проект с Торгово-промышленной палатой Ростовской области –  мы анализируем сайты, выявляем нарушения и даём рекомендации, как их устранить,-напомнил лектор

По персональным данным мы всех консультируем бесплатно, нам самим это нужно в образовательных целях. Сколько компаний, столько и случаев обработки, – резюмировал Николай Мисник.

Константин Марков.