Персональные данные. Как не нарваться на штраф от Роскомнадзора

В статье рассказываю, как правильно защитить персональные данные от передачи третьим лицам и уведомлять органы о сборе персональных данных, их обработке, передаче и утечке.
Персональные данные. Как не нарваться на штраф от Роскомнадзора
Иллюстрация: Вера Ревина/Клерк.ру

Введение

В очередной раз брала ипотеку. Сотрудники банка приносят мне договор и согласие на обработку и передачу персональных данных. Открываю согласие, а там 2 листа третьих организаций, которым попадут мои данные.

Представляете, сколько незнакомых номеров мне начнут звонить и предлагать свои услуги. А может среди них есть недобросовестные компании? 

После моих долгих возмущений сотрудники банка сдались. Я написала от руки запрет на передачу моих данных третьим лицам.

Коллеги, так вот, важно беречь не только свои персональные данные, но также правильно уведомлять органы о сборе персональных данных, их обработке, передаче и утечке. 

Давайте во всем разбираться по порядку.

Персональные данные и операторы по их обработке

Персональные данные — это любая информация, которая относится к определенному физлицу. Они включают в себя следующую информацию:

  • паспортные данные;

  • СНИЛС;

  • ИНН;

  • номер телефона;

  • электронная почта;

  • и прочее.

Если в компании есть сотрудники, то она автоматически становится оператором сбора и передачи персональных данных, потому что передает данные в налоговую и т.д.

Согласно статье 65 ТК каждый сотрудник должен 

  • подписать согласие на обработку персональных данных;

  • подписать два согласия на передачу обработки;

  • ознакомиться с политикой конфиденциальности;

  • ознакомиться с положением о персональных данных и с положением о защите персональных данных.

Компания, в свою очередь, должна уведомить Роскомнадзор о намерении осуществлять обработку данных нового сотрудника.

Как бухгалтеру «индексировать ЗП» на 50% осенью 2023 года?

Приглашаем вас на бесплатный 3-дневный марафон «Успешный бухгалтер». Разберемся, как заработать первые 100.000₽ без постоянного поиска клиентов и увольнения из найма

Как уведомить

Есть несколько способов уведомить РКН:

  1. Сформировать уведомление и направить в бумажном виде в территориальный орган РКН.

  2. Сформировать уведомление и направить в электронном виде с использованием усиленной квалифицированной электронной подписи.

  3. Сформировать уведомление и направить в электронном виде с использованием средств аутентификации ЕСИА.

Нововведения в законе о персональных данных

С 1 сентября 2022 каждый оператор обработки персональных данных обязан:

  • определять процессы обработки персональных данных согласно цели;

  • сообщать в РКН об утечке ПДн;

  • взаимодействовать с ФСБ, если компания подверглась компьютерным атакам;

  • введены дополнительные требования к соглашению о поручении обработки ПДн.

С 1 марта 2023

  • РКН получает право запрещать или ограничивать трансграничную передачу ПДн;

  • вред, который может быть причинен субъекту ПДн, обязательно оценивается по форме РКН;

  • появились требования от РКН к уничтожению ПДн;

  • изменения к уведомлению подаются до 15 числа месяца, следующего за изменениями.

Когда уведомлять Роскомнадзор о начале обработке персональных данных

Оператор персональных данных должен всегда отправлять уведомление в РКН о начале обработки, за исключением некоторых ограниченных случаев:

  • включенных в государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;

  • в случае если оператор осуществляет деятельность по обработке ПДн исключительно без использования средств автоматизации;

  • обрабатываемых согласно законодательству о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства.

Телеграм-канал про актуальные новости и секреты бухгалтеров для новичков и профессионалов

Примеры из личного опыта

Внутренние документы оператора

Прежде чем обрабатывать персональные данные, оператор должен определить для каждой цели обработки следующие параметры:

  • Категории и перечень ПДн: общедоступные, биометрические, специальные и пр.

  • Категории субъектов персональных данных: работники, клиенты и пр.

  • Способы, сроки их обработки и хранения.

  • Порядок уничтожения ПДн.

Если сбор данных происходит онлайн, то политика обработки ПДн должна быть доступна на всех страницах сайта, где осуществляется сбор.

Поручение обработки

Оператор ПДн вправе поручить обработку третьему лицу, но только с согласия субъекта персональных данных

Для это важно определить и указать в соглашении о передачу обработки следующие параметры: 

  • Перечень ПДн.

  • Обязанность обработчика соблюдать требования о локализации.

  • Обязанность обработчика информировать оператора об утечках.

  • Обязанность обработчика соблюдать требования ст. 18.1 ФЗ «О персональных данных».

Если ПДн передаются на обработку иностранному обработчику, то он отвечает перед субъектом ПДн наравне с оператором.

Подборка полезных материалов «Чемодан бухгалтера»: методички, чек-листы и инструкции

Утечка ПДн

При неправомерной или случайной утечке персональных данных в соответствии с ФЗ №152 от 27.07.2006 «О персональных данных» оператор обязан уведомить уполномоченный орган о случившемся инциденте. 

Уведомление подается в РКН о каждом факте неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъекта ПДн:

  • 24 часа данные об инциденте, причинах, предполагаемом вреде, предпринятых мерах;

  • 72 часа данные о проведенном расследовании и виновных лицах.

Оператор персональных данных обязан подключиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ГосСОПКА) под управлением ФСБ.

После чего туда надо будет направлять информацию обо всех инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД.

Штрафы

За нарушение законодательства в области персональных данных предусмотрены штрафы (ст. 13.11 КоАП):

  • для юрлиц — первичное нарушение 60 000 — 100 000, повторное до 300 000 руб.;

  • для должностных лиц — первичное 10 000 — 20 000 руб., повторное до 50 000 руб.;

  • для граждан — первичное 2 000 — 6 000 руб. повторное до 12 000 руб.

Непредставление или несвоевременное предоставление информации (уведомлений о начале обработке персональных данных, ст.19.7 КоАП) влечет предупреждение или наложение административного штрафа:

  • юрлица — 3 000 — 5 000 руб.;

  • должностные лица — 300 — 500 руб.;

  • физлица — 100 — 300 руб.

Заключение

Бывает, что предприниматели игнорируют или не знают о существовании некоторых законов, в частности, закона о персональных данных. В итоге получают штрафы, которых можно было избежать.

Задача бухгалтера — предупреждать предпринимателя о возможных последствиях, помогать находить выгодные для компании пути в рамках законодательства.

Именно таких бухгалтеров готовлю на своих курсах.

Как бухгалтеру найти клиентов, готовых платить от 10.000 р в месяц за ведение ИП и от 50.000 р за ведение ООО

Реклама: ИП Себелева, ИНН 272437902902, erid: LjN8JwwwZ

Комментарии

1
  • А бухгалтеру просто нечем больше заняться. Вот сидит бухгалтер, бамбук курит и в носу ковыряется.

    Я для МСП с категорией "общедоступные" 175 документов подготовила. Как-то времени заняло немало.