Ваша компания является оператором персональных данных, если вы получаете, храните и используете данные сотрудников и иных физлиц.
14 июля 2022 года были приняты изменения в законе о персональных данных (ПД). Теперь все организации обязаны изменить внутреннюю документацию и скорректировать политику конфиденциальности.
Какие корректировки внесли в закон 152-ФЗ
Новые указание в статье 1, пункт 3. Начало действия с 1 сентября в 2022 года, когда было совершено вступление в силу регулирующих документов.
Порядок действий:
Провести документационную ревизию:
- согласия субъектов, являющихся участниками процесса обработки персональных сведений;
- соглашения пользователя;
- политики, регулирующей конфиденциальные положения;
- иные договора, имеющими в содержании нормы правил, касающиеся обработки персональных данных, взятых у клиентов.
Ответственность за нарушения
При не соблюдению правил, применяемых по отношению к согласию, разрешающему проведение процесса обработки ПД, будет выписан штраф на основании закона по части 2 статьи 13.11 КоАП размером от 30 000 до 150 000 рублей за содеянное.
За нарушение, совершенное повторно, будет применено наказание в виде штрафа в размере от 300 000 до 500 000 рублей.
Статья 1, пункт 10 обязует размещение политики конфиденциальности на любой странице сайта в соответствии с новыми требованиями. Действует с 1 сентября в 2022 года.
Порядок действий:
Проведение ревизионных мероприятий, регулирующих порядок политики конфиденциальности, предусмотренной законом. Обязателен факт указания для чего собираются персональные данные.
Размещение документа на сайте и формах, которые собирают личные данные физлица.
Ответственность при невыполнении требований
Предусмотрен штраф в размере от 30 000 до 60 000 рублей за совершение нарушений, касающихся публикационных норм, используемых для политики, примененный на основании определения КоАП по части 3 статьи 13.11.
Статье 1, пункту 12 - действия по запросам субъектов будут рассмотрены в сокращенный период, который является сроком на реагирование. Действует с 1 сентября в 2022 года.
Порядок действий:
- Проведение ускоренных этапов по информированию работников о принятых новых положениях, о вступлении в силу изменений на основании порядка предоставления ответа по запросам, полученного от субъектов персональных данных.
- Изменение периода реагирования на актуальные запросы, которые касаются внесения новых правил в данные политики конфиденциальности, а также отраженные во внутренних документах.
Штрафы при нарушении статьи
При несоблюдении законных положений применяется порядок для компаний, которые не предоставили данные на основании запроса в указанный срок, действует правило КоАП в части 4 статьи 13.11, предусматривающее штрафное взыскание от 40 000 до 80 000 рублей.
Использование персональных сведений, называемых биометрической информацией на основании статьи 1 подпункта 6. Действует с 1 сентября в 2022 года.
Порядок действий:
Необходимость исключения из договорных условий пункта о том, что проводится обязательное предоставление персональных сведений биометрического характера.
Наказание за нарушение
При составлении компанией договорного положения, являющегося незаконным, будет действовать положение закона КоАП в части 1 статьи 13.11., а также предусмотрено штрафное взыскание в размере от 60 000 до 1 000 000 рублей.
Действие договора может быть признано недействительным, он в таком случае будет расторгнут.
Закон о трансграничной передаче
По новым правилам статьи 1, пункта 12. Положение вступит в силу в марте 2023 года.
Порядок принятия действий:
При передаче персональных пользовательских сведений компаниям, относящимся к иностранным лицам, применяется особый порядок действий, регулируемых законом:
- определяется вид страны – получатель персональных данных;
- ведется сбор данных;
- происходит уведомление органов Роскомнадзора, производящееся в период до 1 марта в 2023 году.
Наказание за нарушение обозначенного порядка
При нарушении установленного порядка действий применяется наказание в виде штрафных санкций от 3 000 до 5 000 рублей. При не предоставлении данных в государственные органы будет избран данный вид наказания по статье 19.7 КоАП.
Применение новых правил по отношению к порядку поручения, передаваемому оператором обработчику
На основании правил статьи 1, пункта 3. Действует с 1 сентября в 2022 года.
Порядок действий:
Принятие подзаконного акта федеральной службой безопасности, чтобы обнаружить порядок взаимодействия со структурой ГосСОПки.
Внедрение контактов с ГосСОПКой на основании действия данного акта.
Наказание на выявленные нарушения закона
При невыполнении правил закона назначается наказание в виде штрафа, предусматривающего выплату от 3 000 до 5 000 рублей. Данная мера действует за не предоставление данных госорганам, требующим соответствующую информацию, выбрано регулирующее положение 19.7 КоАП, которое предполагает также ФСБ определение дополнительной ответственности при даче отказа на подключение к ГосСОПКе, зафиксированное в актах подзаконного характера.
Принятие нового регламента, способствующего выявлению «оценки вреда»
Предусмотрен подпунктом а, абзацем 5 статьи 1, пунктом 10. Положение вступит в силу в марте 2023 года.
Меры для взаимодействия:
Необходимость работы с актом Роскомнадзора, конкретизирующим новейший порядок для проведения «оценки вреда».
Обязательность дачи оценки вреда будет определена законом, который позволит применять законные правила.
Наказание за выявленное нарушение
Выбор регулярного проведения «оценки вреда» позволит полностью контролировать процесс. Процедура отлажена компанией, производящей выбор мер, обеспечивающих безопасное применение персональных данных. Совершение проверок проводится Роскомнадзором на основании предоставленных сведений о структуре, которые являются основанием для составления предписаний для дачи оценки вреда. Необходимость выполнения процедур предусмотрена законом.
Выбор ответственности происходит в актах подзаконного характера, составленных организацией Роскомнадзором для определения ценности.
Составление уведомление об обнаруженном инциденте
На основании статьи 1, пункта 13, подпункте а. Действует с 01.09.2022
Выбор порядка действий:
Создание внутреннего регламента для мероприятий по расследованию, направление соответствующего уведомления о совершенном инциденте.
Выбор соответствующего наказания за отсутствие предпринятых действий.
Если будет нарушено законное положение за не предоставление данных в государственные органы на основании положений 19.7 КоАП, то будет наложен штраф в размере 3 000 до 5 000 рублей.
Предоставление информации об изменениях персональных данных в виде уведомления, а также о прекращении действия обработки
На основании закона статьи 1, пункта 14, подпункта б.
Необходимость порядка действий:
Внесение новых положений в регламент внутреннего действия в компании. Процесс уведомления работников о вступивших измененных правилах.
Ответственность за нарушение положений:
При выполнении норм и несообщении информационных данных в госорганы действует правило КоАП, а конкретно 19.7, которое предполагает выплату штрафа от 3 000 до 5 000 рублей.
Итог по изменениям:
- проведение ревизии по отношению к политике конфиденциальности на ресурсе, размещение данных на страницах сайта;
- проведение ревизионных мероприятий по договорным положениям и согласиям, предусматривающим предоставление персональной информации;
- внесение изменений в акты внутреннего характера в компаниях с целью получения быстрой реакции по полученным запросам, составленным субъектами ПД;
- процесс изменения во внутренних актах, внесение порядка обязанности работников по уведомлению органов Роскомнадзора о случившихся изменяющих положениях ПД, полученных от клиентов;
- при передаче пользовательских персональных данных компаниям иностранного происхождения происходит своевременное уведомление Роскомнадзора о происшедшем, ведется контроль за трансграничной передачей.