Как бизнесу работать с персональными данными

Как бизнесу работать с персональными данными

Как бизнесу работать с персональными данными

С 1 сентября 2022 года заработали поправки, внесенные в Федеральный закон «О 
персональных данных». 
Как бизнес-сообществу перестроиться на работу в новых условиях, чтобы не 
попасть на штраф 500 тысяч рублей, расскажем в статье ниже.

Какие нововведения вступили в силу с 1 сентября 2022 ?

Изменения коснулись абсолютно всех операторов персональных данных (далее – 
ПД), то есть любых организаций и ИП, которые получают и обрабатывают сведения 
физлиц. 
Персональными данными признается любая информация, позволяющая 
идентифицировать его владельца (ФИО, номер телефона, СНИЛС и т.д.)
Уведомлять Роскомнадзор о начале обработки ПД придется чаще.

Ранее строгое требование о направлении уведомления не касалось  
предпринимателей, которые обрабатывали данные своих сотрудников в рамках трудового 
законодательства или передавали данные субъекта третьим лицам с его согласия.

Теперь же все организации и ИП должны уведомлять о своих планах обрабатывать
персональные данные:

  • сотрудников;
  • лиц для оформления пропуска на территорию предприятия;
  • физлиц, являющихся участниками сделок;
  • иных лиц, предоставляющих о себе сведения.

Необходимо проверить есть ли организация в федеральном реестре операторов 
обработки ПД. Сделать это можно на официальном сайте Роскомнадзора по номеру ИНН 
(https://rkn.gov.ru). Если компания занесена в реестр, то владельцам бизнеса не нужно 
совершать никаких дополнительных действий.

Если нет – потребуется направить соответствующее уведомление о начале
обработке персональных данных. Уведомление допускается направить через сайт
ведомства, на бумажном носителе либо сайт Госуслуг. Форма уведомления предусмотрена
Приказом Роскомнадзора от 30.05.2017 № 94.
Перечень случаев, когда РКН не подлежит такому уведомлению сведен к
минимуму. Это к примеру случаи, когда обработка осуществляется без применения
средств автоматизации (ПК).

  1. Не допускается отказ в предоставлении услуги или ином обслуживании, если
    покупатель не предоставил о себе дополнительные сведения, в том числе биометрические
    данные (отпечатки пальцев, рост, вес).
    Требование продавца о предоставлении данных будет законно только в случаях,
    перечисленных в законе.
    Исключение – если без предоставления ПД последует невозможность исполнить
    договор. Если организация откажется предоставить услуги без «лишних» сведений, то ей
    грозит штраф до 50 тыс. рублей, а директору – до 10 тыс. рублей (п. 7 ст. 14.8 КоАП РФ).
  2. Предусматривается новая форма согласия на обработку персональных данных.
    Согласие должно быть предметным и исключать возможность расширительного
    толкования. То есть из документа должно четко следовать для каких целей компания
    собирает ПД. Например: «В целях перечисления мне заработной платы даю согласие ООО
    «Рога и копыта» на обработку моих персданных, а именно на предоставление их в ПАО
    «ВТБ банк»».
  3. Потребуется уведомлять сотрудников о запросе каких-либо сведений о них у
    третьих лиц.
    Например: «С целью повышения Вас в должности, компании необходимо сделать
    запрос характеристики Вашему прежнему работодателю ООО «Рога и копыта».

Нужно ли вносить изменения в локальные акты?

Да, придется утвердить актуальную редакцию Положения о персональных данных.
В отношении каждого действия по обработке нужно указывать:

  • категории и список данных;
  • виды субъектов ПД;
  • способы и сроки обработки и хранения;
  • процедура уничтожения личных сведений.
    Вводится обязательный локальный акт каждой компании – Положение о защите
    ПД.
    Раньше это была лишь рекомендация. Если в компании данный документ ранее
    отсутствовал, то потребуется его разработка.
    В Положении необходимо определить категорию риска у каждого документа и
    электронного носителя и есть ли угроза, что сведения могут попасть посторонним лицам.
    Типы угроз, уровни защищенности и требования к защите ПД определяются в
    Постановлении Правительства от 01.11.2012 № 1119.
    Если у компании есть сайт в сети Интернет, то политика конфиденциальности для
    целей обработки ПД размещается на каждой странице сайта.

Планируемые изменения с 2023 года

С 2023 года планируется ввести требования к трансграничной передаче ПД.
При передаче сведений за границу необходимо будет получить предварительное
согласие Роскомнадзора.

Ответственность

С 27 марта 2021 года вступили в силу новые штрафные санкции за нарушения
в области персональных данных в соответствии с Федеральным законом от 24.02.2021 г.
№19-ФЗ.
По сравнению с 2021 годом штрафы за нарушение законодательства в данной
области выросли в 2 раза. Санкция ст. 13.11 КоАП принята в новой редакции.
Даже на первый взгляд за незначительное нарушение КоАП предусматривает
серьезное наказание за такое действие. Повторное нарушение повлечет еще более
высокую сумму штрафа.


При этом увеличен срок давности привлечения к ответственности сейчас он
составляет 1 год, до марта 2021 года он равнялся 3 месяцам.
Возможно также взыскание с работодателя компенсации морального вреда.

Правильно применить нормы законодательства в области ПД, избежать ошибок и
наложения внушительных штрафов за незначительные упущения при работе бизнеса
разумно доверить квалифицированным юристам.

Оцените материал:
(1 оценок, среднее: 5,00 из 5)
Загрузка...
Заказать звонок
Написать в WhatsApp
1
Мы отвечаем быстро
Это WhatsApp - пишите
Здравствуйте👋!
Пишите, мы на связи!