12 декабря 2023 года президент РФ подписал Закон № 589-ФЗ (вступает в силу с 22.12.2023), который увеличивает штрафы за обработку персональных данных (ПД) без согласия или с избыточными ПД. Размер штрафа меняется с 30 000 - 150 000 рублей, на 300 000 - 700 000 рублей, а при повторном нарушении наказание для юридических лиц составит 1 млн - 1,5 млн рублей.
Кроме увеличения суммы штрафов, 18 ноября был расширен перечень индикаторов риска нарушения обязательных требований в области обработки личной информации. Если Роскомнадзор обнаружит хотя бы три расхождения между информацией из уведомлений о намерении обрабатывать персональные данные и (или) осуществлять их трансграничную передачу с данными, которые оператор опубликовал на своем сайте, он может, по согласованию с прокуратурой, внепланово провести ряд контрольно-надзорных мероприятий.
Ассоциации региональных операторов связи "Ростелесеть" подготовила рекомендации, как правильно оформить согласие абонента на обработку персональных данных:
- главная рекомендация - проверка вашего сайта на наличие Политики, Согласий по всем формам сбора ПД и соответствия запрашиваемой информации тому, что было указано у вас при уведомлении РКН о том, что ваша компания является оператором персональных данных;
- обязательная проверка целей, сроков и перечень действий с ПД, которые указаны в соглашениях с абонентами и сотрудниками;
- при обработке ПД необходимо получить согласие абонента в любой форме (письменная, электронная, то есть "галочка" на сайте), позволяющей подтвердить факт его получения.
- письменное согласие, в соответствии с ч. 4. ст. 9 ФЗ № 152 необходимо получить в случаях:
- при включении ПД в общедоступные источники, например, публикация на сайте (ст. 8 ФЗ № 152);
- при трансграничной передаче ПД на территории иностранных государств (ст. 12. ФЗ № 152);
- при принятии решения, порождающего юридические последствия в отношении субъекта ПД или иным образом затрагивающего его права и законные интересы на основании исключительно автоматизированной обработки ПД, например заключение договора с абонентом (ч.2. ст. 16 ФЗ № 152);
- при передаче ПД сотрудников третьим лицам (ст. 88 ТК РФ).
5. Согласие в письменной форме должно содержать:
- ФИО, адрес, данные паспорта абонента;
- ФИО, адрес, данные паспорта представителя абонента, реквизиты доверенности, при получении согласия от представителя субъекта ПД;
- наименование и адрес оператора связи;
- цель обработки ПД, например исполнение договора или выполнение заявки, но важно не писать избыточные цели;
- перечень ПД, на обработку которых дается согласие субъекта ПД, например ФИО, адрес и телефон абонента.
- перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД, например хранение, обработка, утилизация с использованием автоматизированных средств или без них;
- срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва, если иное не установлено ФЗ, нельзя указывать "бессрочно", обязательно указывается конкретный срок;
- подпись субъекта ПД.
Необходимо учитывать, что сейчас на рассмотрении находится Законопроект 502104-8, который в текущей версии существенно увеличивает штрафы в области персональных данных:
- штраф за обработку ПД без уведомления РКН увеличивается с 3 000 - 5 000 до 100 000 - 300 000 рублей;
- штраф за обработку ПД, несовместимую с целями, увеличивается с 60 000 - 100 000 до 150 000 - 300 000 рублей;
- штраф за обработку ПД без согласия или с избыточными ПД устанавливается в размере 300 000-500 000 рублей;
- штраф за не уведомление или несвоевременное уведомление об утечке устанавливается в размере 1 млн - 3 млн рублей;
- штраф за утечку ПД из-за необеспечения безопасности ПД составит:
- 1000-10 000 записей: 3 млн - 5 млн рублей;
- 10 000-100 000 записей: 5 млн – 10 млн рублей;
- боле 100 000 записей: 10 млн - 15 млн рублей.
+ Дополнительно по этим же статьям от 0,1% до 3% совокупного дохода за год.
Раньше операторы связи собирали максимально возможный перечень персональных данных. В рамках текущего законодательства мы рекомендуем собирать только те данные, которые указаны обязательными в рамках Правил оказания услуг связи. Или те данные, цели и сроки обработки которых вам абсолютно понятны. Избыточность собранных и хранимых данных может стать, в случае компьютерного инцидента, отягчающим фактором при определении наказания.
Ассоциация "Ростелесеть" подготовила для своих участников пакет документов по персональным данным, который поможет сформировать набор приказов, инструкций, положений, регламентов и соглашений при взаимодействии с абонентами и сотрудниками компании.
Изменений в требованиях по персональным данным за последние два года много, поэтому рекомендуем уделить внимание вопросу, обучить персонал, ответственный за хранение, обработку, утилизацию персональных данных абонентов и сотрудников, а также подготовить пакет документов, регламенты работы, чтобы быть готовыми к проверке.
- Войдите или зарегистрируйтесь, чтобы оставлять комментарии