С 1 сентября 2022 года заработали новые правила по работе с персональными данными. Законодательство о защите таких данных изменилось, санкции к нарушителям ужесточились. Максимальный штраф теперь достигает 18 миллионов рублей. Рассмотрим подробнее, за что и как чаще всего наказывает Роскомнадзор.
Не спросили согласия владельца на обработку
По статистике Роскомнадзора — это одно из самых частых нарушений. Многие операторы почему-то забывают про согласие на обработку у владельцев данных. Под каждой формой ввода данных нужно разместить соответствующий текст.
Раньше на обработку «общедоступных персональных данных» разрешения не требовалось. Теперь нужно получать согласие от владельца данных, даже если он сам опубликовал их в открытых источниках, например в соцсетях.
Игнорировали требования владельца данных
Человек, предоставивший данные оператору, имеет право потребовать уничтожить их или прекратить обработку. Оператор должен немедленно отреагировать на такой запрос.
Плюс к этому оператору следует как можно быстрее удалять данные, которые уже не нужны для обработки, оказались неточными или неполными.
Обрабатывали данные, которые не входили в цели сбора
От оператора требуется сразу определиться с тем, какие данные он будет обрабатывать и для чего. Обычно такую информацию указывают в политике ПД.
К примеру, нельзя собирать данные только для оформления заказа, а потом звонить по базе номеров, предлагая услуги или товары.
Не предупредили Роскомнадзор об обработке ПД
Перед тем как начать обработку данных, нужно уведомить об этом РКН. Поэтому проверьте прямо сейчас — зарегистрированы ли вы в реестре Роскомнадзора?
Не ответили на запрос вовремя
С 30 до 10 рабочих дней уменьшен срок ответа на запросы владельцев данных и Роскомнадзора. Срок можно продлить только на пять рабочих дней, отправив перед этим уведомление лицу, который отправил запрос.
Забыли про политику обработки
Каждый оператор обязан разработать и выложить в общий доступ политику обработки данных. Обычно этот документ размещают в подвале сайта. Если он отсутствует или общего доступа к нему нет, Роскомнадзор посчитает это нарушением.
Хранили данные за рубежом
C 1 марта 2023 года российском операторам запрещается хранить данные в базах данных, расположенных на территории иностранных государств.
Юрлицам за нарушение грозит штраф в размере 1-6 миллиона рублей и 8-16 миллионов при повторном нарушении.
Не обеспечили защиту носителей данных
Оператор обязан держать в сохранности носители, на которые записаны данные. Это значит, что нужно защищать их от кражи, уничтожения, порчи, доступа посторонних лиц.
Как не беспокоиться о штрафах?
Как видите, чтобы соответствовать Роскомнадзору нужно выполнить целый ряд требований. И даже в этом случае нет гарантий, что у надзорного органа не появится повода вас оштрафовать.
Оператор должен уделять большое внимание безопасности данных. Плюс еще нельзя хранить ПД на зарубежных базах данных, что затрудняет работу тем, кто использует сайты на иностранных хостингах.
Но есть способ забыть про эти проблемы — передать обработку данных облачному сервису. Обработчик должен отвечать требованиям:
- быть российским оператором данных, зарегистрированным в Роскомнадзоре;
- хранить ПД только в базах данных, расположенных на территории России;
- следить за безопасностью данных, чтобы они не утекли посторонним лицам.
Раньше многие доверяли обработку иностранным сервисам. Но после изменений в законе делать это стало рискованно, поскольку могут возникнуть проблемы с трансграничной передачей данных. А Роскомнадзор наказывает за это огромными штрафами.
Поэтому оптимальным решением будет российский сервис, включенный в реестр РКН. С ним нужно заключить на договор на обработку, выполнив все требования закона ФЗ-152.
Читайте по теме: Вы работодатель? У Роскомнадзора есть к вам пара вопросов о персональных данных |