Содержание

Нововведения для бизнеса по защите персональных данных

Предпринимателям, организациям и должностным лицам грозят теперь многотысячные и даже многомиллионные штрафы. 30 мая вступает в силу ФЗ № 420, предусматривающий важные поправки, касающиеся ответственности за утечку персональных данных граждан. Нововведения актуальны для любого бизнеса, работающего с клиентами.

Защита персональных данных – это не просто обязанность, которую бизнес должен выполнять по закону, но и фактор, влияющий на репутацию и успешность компании в целом. Расскажем, соблюдение каких рекомендаций поможет избежать серьезных финансовых потерь и сохранить доверие клиентов.

Какие изменения важно учитывать бизнесу

Многие организации, в том числе государственные и муниципальные и сейчас собирают персональные данные своих клиентов. С 30 мая это можно будет делать только после прохождения регистрации в Роскомнадзоре. При отсутствии же таковой, операторов будут штрафовать, и размер штрафа составит 300 тысяч рублей. Данное нововведение затрагивает всех, кто каким-либо образом использует личные данные граждан, к ним относятся любые сведения, которые могут идентифицировать физическое лицо, такие как ФИО, адрес, номер телефона, электронная почта, реквизиты паспорта или иная информация.

Важно!  Заявление на регистрацию необходимо подать до начала работы с данными.

Помимо этого, оператор должен сообщать в РКН о смене собственных данных, например, о смене фамилии ИП, а также об изменении состава обрабатываемых сведений о клиентах и, что главное – об их утечке.  Оператор данных обязан сообщить в РКН об инциденте в течение 24 часов, а в течение 72 часов уведомить об итогах внутренней проверки.

Старые штрафы увеличивают и вводят новые

Изменения, вносимые в административное законодательство, влекут серьезные последствия за нарушения при обращении с персональными данными. Так, в статье 13.11 КоАП РФ появятся новые составы, предусматривающие наказание за намеренные либо случайные действия, повлекшие утечку.

Кроме этого, законодатель увеличил размеры штрафов по действующим составам, в частности, за обработку данных в случаях, когда это не предусматривает закон. К примеру, максимальная величина санкции для юрлиц за данное деяние вырастет со 100 до 300 тысяч рублей.

Предусмотрены серьезные санкции для новых составов. Например, если действия или бездействия оператора приведут к утечке данных, виновному гражданину может грозить штраф до 400 тыс. рублей, должностному лицу – до 600 тыс. рублей, компании – до 15 млн. рублей. Размер санкций в данном случае зависит от масштаба проблемы, а именно от количества пострадавших субъектов, хранение данных которых было нарушено или по-другому – уникальных идентификаторов (UID).

Утечка биометрических данных клиентов грозит допустившему ее оператору штрафом в размере 15-20 млн. рублей.

Повторное совершение подобных правонарушений ранее наказанными лицами влечет увеличение штрафных санкций. Здесь величина штрафа может подняться до 500 млн. рублей.

Поэтому важно не только знать, какие данные собирает ваша компания, но и понимать процесс их обработки и хранения.

Чек-лист для бизнеса – как не попасть на штраф

В закон о персональных данных периодически вносятся изменения, и чтобы не оказаться в числе правонарушителей ИП, компаниям и должностным лицам следует постоянно мониторить изменения этой части законодательства. Помимо этого, важно осуществить следующие действия:

1. Анализ собираемых данных, направленный на исключение тех из них, которые не требуются для нормальной работы. Целесообразно оставить необходимый минимум.
2. Обязательно собирать согласия пользователей на обработку их данных. При этом компании необходимо обеспечивать прозрачность: клиенты должны быть проинформированы о том, какие именно данные собираются и для каких целей. Безосновательное использование идентификационных сведений физлиц, а также отсутствие их согласия может привести к серьезным последствиям. Стоит пересмотреть и обновить политику конфиденциальности, даже если она уже имеется в компании и согласие на обработку данных с доведением их содержания до актуальных требований федерального законодательства.

Важно! Эти документы обязательно должны быть на сайте компании.

1. Проверка технической защищенности с внедрением современных методов шифрования, которые могут гарантировать безопасность собираемых данных.
2. Настройка логирования, позволяющего фиксировать и структурировать информацию о работе системы, с последующим мониторингом утечек данных.
3. Систематическое проведение аудита хранения данных.
4. Назначение ответственных за безопасность персональных данных лиц с регулярным обучением
5. Перенос данных клиентов с зарубежных серверов на отечественные.

И самое важное: в случае, если несанкционированная передача персональных данных (утечка) все же произошла – нельзя медлить с уведомлением уполномоченного органа. Обязательно в установленные законом сроки необходимо сообщить об инциденте в Роскомнадзор. Параллельно нужно зафиксировать все детали произошедшего, провести расследование, предположить возможный ущерб и принять меры по устранению способствовавших утечке причин.

Немаловажно также во избежание репутационных потерь уведомить о случившемся партнеров и клиентов.

Читайте Нас в Дзене, Вконтакте и Телеграмме