Закон о персональных данных стал строже: узнайте о новых штрафах и способах их избежать
Глобально закон увеличивает штрафы и создает новые по трём темам
- утечка персональных данных;
- неподача уведомления в Роскомнадзор;
- нарушение прав потребителей.
Уведомление в Роскомнадзор
Уведомление об обработке персональных данных в Роскомнадзор — это документ, который обязаны подавать все операторы, обрабатывающие персональные данные.Кто является оператором персональных данных?
Данное разъяснение напрямую закреплено в Законе «О персональных данных».
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
п. 2 ст. 3 Закона «О персональных данных»
Когда вы становитесь оператором персональных данных?
По факту когда к вам попадают персональные данные для какой-то цели, вы понимаете зачем они вам нужны и что будете с ними делать. Например,
— когда вы просите предоставить клиентов свои данные для заключения договора;
— когда вы нанимаете на работу сотрудника или ассистента по договору гражданско-правового характера;
— когда вы просите заполнить анкету/форму обратную связи
— когда клиенты оставляют данные на ваших сайтах (для получения обратного звонка, консультации, покупки, оформления предзаказа и т.д.);
— когда на сайте устанавливаете Яндекс.Метрику;
— когда с помощью чат-ботов собираете информацию и т.д.
Все эти и иные подобные случаи говорят о том, что вы оператор обработки персональных данных независимо от вашего официального статуса и режима налогообложения, поэтому вы ОБЯЗАНЫ направить уведомление об обработке персональных данных в Роскомнадзор. Об этом прямо написано также в законе.
оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи
ч. 1 ст. 22 Закона «О персональных данных»
Что за исключения, когда все же можно не подавать уведомление?
1. Персональные данные содержатся в специальных государственных информационных системах (например, дактилоскопическая система полиции).
2. Персональные данные обрабатываются без средств автоматизации, что в наш век цифровых технологий очень маловероятно (то есть, как в старые добрые времена используется только бумага, и нигде не фиксируете на компьютере).
3. Исключения предусмотрены специальными законами о транспортной безопасности (например, видеонаблюдения в жд вокзалах).
Как видите, в 99,9% случаев, когда вы ведете обычный деловой оборот с клиентами и сотрудниками, то данное уведомление все же должно быть направлено вами.
Что будет, если не подать уведомление?
— для ИП и юридических лиц штраф - от 100 000 до 300 000 рублей.
Когда необходимо подать уведомление?
Уведомление подается до начала обработки персональных данных или с момента внесения изменений, то есть если вы создаете сайт, то сначала подаете уведомление, потом запускаете его в работу, чтобы клиенты оставляли свои данные.
Как не допустить штраф?
- провести внутренний аудит и понять какие и чьи персональные данные к вам попадают, каким способом, где и как долго вы их храните, что с ними делаете;
- разработать локально-нормативные акты, устанавливающие и обеспечивающие безопасность обработки персональных данных;
- проверить подавали ли вы ранее уведомление в Роскомнадзор
- Переходите по этой ссылке, вводите свой ИНН и смотрите, что отобразилось.
- Если вас нет в этом списке, то обязательно нужно подавать уведомление.
- Если вы есть в этом списке, но сведения не актуальны, то обязательно нужно подавать уведомление о внесении изменений.
- Если вы есть в этом списке, уведомление подано до декабря 2022 г. и у вас ничего не поменялось (в части обработки персональных данных), то нужно его подать все равно заново по новой форме.
