Новые штрафы за нарушение закона о персональных данных: что делать бизнесу?

В РФ сохраняется тренд на повышенное внимание государства к соблюдению законодательства о защите персональных данных. Глава комитета Госдумы по бюджету и налогам Андрей Макаров предлагал закрепить в Конституции норму о кибербезопасности личности. Хотя президент Владимир Путин поддержал это предложение, на 5 марта в текст закона о поправках в Конституцию, подготовленного ко второму чтению, оно не вошло. Но и без этой поправки нарушение закона № 152-ФЗ «О персональных данных» наказывается чрезвычайно строго. Если несколько лет назад максимальный штраф за нарушение данного закона составлял 10 тыс. рублей, то на сегодня максимальный штраф может достигнуть 18 млн рублей.

В закладки

"Крутые виражи» в регулировании защиты персональных данных"

Локализация персональных данных. В 2015 году вступили в силу требования по локализации персональных данных. Операторы, получающие информацию о пользователях сети, были обязаны систематизировать и хранить эти данных в базах данных, располагающихся на территории Российской Федерации (за исключением предусмотренных законом случаев). Появился и пример приостановки деятельности крупного международного ресурса в России в связи с невыполнением требования по локализации − Linkedin.

Ужесточение ответственности за нарушение закона. В 2017 году вступила в силу новая редакция профильной статьи Кодекса об административных правонарушениях. Вместо существовавшего ранее абстрактного состава правонарушения с санкцией 10 тыс. рублей была введена система мультиплицирования штрафов по различным составам административных нарушений в сфере обработки персональных данных. Штрафы по отдельным составам теперь могли достигать 50 − 75 тыс. рублей, а Роскомнадзор получил полномочия самостоятельно возбуждать производство по административным нарушениям.

Размер штрафа за отказ предоставить Роскомнадзору информацию о выполнении требования по локализации данных остался 3 тыс. рублей, но ведомство могло потребовать блокировки ресурса в России.

Штраф до 18 млн рублей за отказ локализовать базы данных. В 2019 году была резко усилена ответственность за нарушение требования о локализации персональных данных. В итоговой версии закона, подписанном Президентом РФ Владимиром Путиным 2 декабря 2019 г., размер административного штрафа для граждан установлен в размере от 30 до 50 тыс. рублей; для должностных лиц − от 100 до 200 тыс. рублей; для юридических лиц − от 1 до 6 млн рублей. Повторное нарушение влечет за собой штрафы: для граждан в размере от 50 до 100 тыс. рублей; для должностных лиц − от 500 до 800 тыс. рублей; для юридических лиц − от 6 до 18 млн рублей.

В пояснительной записке к закону необходимость усиления ответственности за локализацию данных была названа «приоритетом обеспечения информационной безопасности». В обоснование размера штрафов приводился зарубежный опыт: Германии, где штрафы за подобные нарушения установлены в размере 500 тыс. евро, Франции − штраф 30 тыс. евро, Великобритании − штраф 50 тыс. фунтов стерлингов.

Правоприменительная практика не заставила себя ждать. Уже в феврале 2020 года суд наложил штраф в размере 4 млн рублей на компанию Facebook, такой же размер штрафа был наложен и на компанию Twitter.

Как не попасть под штраф

Прежде всего, необходимо осознать факт − эра расслабленного отношения к вопросам обработки персональных данных завершилась. Компаниям необходимо обеспечивать соответствие своих бизнес-процессов требованиям закона. Роскомнадзор регулярно проводит проверки компаний на предмет соблюдения требований закона о персональных данных.

Руководству компании важно четко понимать:

- какие конкретно данные компания собирает,

- от какой категории субъектов,

- для каких целей,

- как хранит,

- как регламентирует сбор данных.

Цели сбора персональных данных должны быть совместимы с существующей в компании моделью обработки таких данных. Например, если происходит маркетинговая рассылка, необходимо проанализировать, на каком правовом основании она происходит, и выражал ли адресат согласие на ее получение.

Один из приоритетных моментов: каким образом компания получает согласие гражданина на обработку персональных данных; содержит ли такое согласие достаточный набор сведений; и не носит ли оно избыточный характер. Ювелирная выверка политики обработки персональных данных спасет компанию от штрафов.

Ссылка на документ, в котором описываются все моменты работы с персональными данными, должен обязательно присутствовать на каждом сайте компании. Отсутствие такой ссылки – отдельное правонарушение.

Если российский офис компании передает персональные данные за рубеж (например, сообщает их материнской компании) – должны быть соблюдены требования к трансграничной передаче данных.

Следует также не забыть про разработку эффективного механизма реагирования на запросы субъектов персональных данных. Невнимательность к требованию, например, удалить персональные данные человека чревата неприятностями.

Исключение несанкционированного доступа к базам персональных данных − особая тема. Обеспечить его нередко не удается даже самым крупным компаниям. К этой проблеме рекомендуется подойти с максимальной серьезностью и максимально возможным уровнем бюрократического формализма. При утечке персональных данных первым делом проверяют наличествующую документацию − инструкции, сертификаты, допуски, росписи сотрудников в журнале. Документарно подтвержденное соблюдение закона о персональных данных может служить залогом минимизации рисков в этой сфере.

Кто отвечает за персональные данные

Нередко сбои в защите персональных данных возникают потому, что никто в компании персонально не отвечает за данный вопрос. Не у всех есть ресурсы, чтобы ввести в штатное расписание позицию сотрудника, уполномоченного для работы с персональными данными, и его специальную подготовку. В этом случае имеет смысл провести обучение всех сотрудников компании принципам работы с персональными данными, и в дальнейшем регулярно напоминать об этом с помощью лекций, семинаров и другими способами. На проверяющих может произвести приятное впечатление стенд наглядной агитации с призывом соблюдать конфиденциальность персональных данных.

Оценка возможных потерь в случае проверки со стороны контролирующего органа и обнаружения нарушений в работе с персональными данными может помочь принять правильное решение о формализации работы в этой сфере. Например, можно осуществить регулярные тренинги сотрудников для цели повышения компетенции в работе с персональными данными, что будет направлено на снижение рисков нарушения законодательства. Более надежно регулярное проведение аудита работы с персональными данными сторонней компанией, специализирующейся на защите данных.

В договор с компаний, обслуживающей базы данных, полезно включить отдельный пункт о хранении баз персональных данных на территории РФ. Проверить, где оператор хранит данные, неспециалисту и без должного уровня доступа практически невозможно. Пункт в договоре о хранении данных в РФ может минимизировать риски.

Адаптирование деятельности компании в части её соответствия законодательству о персональных данных приходится проводить индивидуально для каждой компании в зависимости от принятых в компании бизнес-процессов. При этом у компаний из близких сфер бизнеса основные методы защиты данных зачастую близки по содержанию. Учет имеющихся бизнес-кейсов и привлечение квалифицированных юридических консультантов в данной сфере позволить сэкономить деньги и минимизирует риски штрафов.

Горячев И.С., Старший юрист ООО «Юридическая фирма Городисский и Партнеры»

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "Илья Горячев", "author_type": "self", "tags": [], "comments": 1, "likes": -3, "favorites": 3, "is_advertisement": false, "subsite_label": "finance", "id": 111938, "is_wide": false, "is_ugc": true, "date": "Thu, 12 Mar 2020 11:48:47 +0300", "is_special": false }
0
1 комментарий
Популярные
По порядку
0

Сказали бы как мне применить этот закон к телефонным спамерам не на бумаге, а на деле, то цены бы им небыло.

Ответить

Прямой эфир