На страже персональных данных граждан стоит Федеральный закон 152 «О персональных данных» и Роскомнадзор, который следит за соблюдением этого закона. Как это работает сегодня?
Любая организация или физическое лицо (предприниматель-работодатель) считаются оператором персональных данных, если они обрабатывают Персональные сведения своих работников или клиентов. Роскомнадзор следит за тем, чтобы операторы действовали в соответствии с законом и не допускали утечки личных сведений граждан РФ. Для этого проводят плановые и внеплановые проверки, за выявленные нарушения выписывают штрафы. Проверяют:
- Компьютеры и программное обеспечение, которые используются для работы с личностными сведениями.
- Документы, которые регламентируют обработку персональных данных в организации.
Что делать, чтобы быть готовым к проверке Роскомнадзора
Для этого нужно изучить все положения Федерального закона № 152, подзаконные акты, разобраться в необходимых действиях для конкретной компании. Компания-оператор может сделать это самостоятельно или привлечь к выполнению задачи специалиста на аутсорсинге. В целом, порядок действий такой:
- Определить специалиста, который будет отвечать за организацию обработки персональных данных в компании и соблюдение законодательства в этой области.
- Проанализировать процесс обработки персональных персональных данных в компании (Какие именно сведения собирают? С какой целью?) и на основе этой информации составить пакет документов, среди которых — документ, определяющий политику компании в отношении обработки персданных.
- Обеспечить безопасность корпоративной сети (защиту информации от хищений) с помощью специального ПО и аппаратных средств защиты (например, межсетевые экраны).
- Документ о политике компании в отношении обработки персональных данных нужно опубликовать в общедоступном месте, каждый должен иметь возможность прочесть его. Копию документа можно разместить на инфостенде, если у организации есть сайт — опубликовать на сайте тоже необходимо.
- Подать уведомление об обработке персональных данных в Роскомнадзор.
Уведомление рассматривается в течение 30 дней. После рассмотрения компанию добавляют в реестр операторов.
Распространенные нарушения и их последствия
Оператор обрабатывает данные в соответствии с законом, единственное нарушение — не подал уведомление в Роскомнадзор.
В этом случае грозит предупреждение или штраф. Юрлицам — в размере 3000-5000 рублей, должностным лицам — 300-500 рублей, физлицам — 100-300 рублей.
Как избежать: заполните и подайте уведомление в Роскомнадзор (форма уведомления есть на сайте РКН), обратите внимание на порядок подачи уведомления.
Информация обрабатывают без согласия субъекта на это (например, пользователь оставляет свои персональные данные в форме обратной связи на сайте, но при этом нигде не фиксируется его согласие на обработку личных сведений).
За эту оплошность юридические лица могут заплатить от 15 000 до 75 000 рублей; должностные лица — от 10 000 до 20 000 рублей; физические лица — от 3000 до 5000 рублей.
Как избежать: во все формы обратной связи на сайте добавьте кнопку с текстом: «Нажимая на кнопку, вы соглашаетесь на обработку своих персональных данных». Лучше всего это подтверждение делать обязательным. Также обязательно указывайте ссылку на документ «Политика обработки персданных», чтобы каждый мог с ним ознакомиться.
Компания собирает и обрабатывает персданные, в которых нет необходимости для решения ее задач или которые запрещено собирать законом (например, при устройстве на работу работодатель требует свидетельство о рождении ребенка или принуждает указать в анкете информацию о местах работы родственников).
Последствия для юридических лиц — предупреждения или штраф от 30 000 до 50 000 рублей; для должностных лиц — предупреждение или штраф от 5000 до 10 000 рублей; для физических лиц — от 1000 до 3000 рублей.
Как избежать: ознакомьтесь с перечнем персональных данных, которые по закону ваша компания в своей работе может обрабатывать, а какие — не имеет права. Неукоснительно следуйте положениям закона.
Компания не обеспечила доступ к документу, определяющему политику обработки персональных данных (например, пользователи оставляют на сайте персональные данные, но «Политика по обработке персональных данных» нигде на сайте не опубликована и ознакомиться с ней нет возможности).
Это нарушение будет стоить юридическим лицам от 15 000 до 30 000 рублей, должностным лицам — от 3000 до 6000 рублей, ИП — от 5000 до 10 000 рублей.
Как избежать: составить «Политику обработки персональных данных», которая соответствует законодательству и подходит для вашей компании. Обеспечьте к ней доступ: разместите на сайте, информационном стенде организации. В формах на сайте, где пользователь указывает свои сведения, дайте ссылку на полный текст документа. Убедитесь в том, что ваш сайт собирает информацию с помощью cookies только с разрешения пользователя (cookies и данные с IP Роскомнадзор тоже считает персональными).
Необеспечение оператором сохранности персональных сведений (которые он обрабатывает) привело к случайному или неправомерному доступу к этим сведениям и стало причиной их изменения, копирования или блокирования (например, в организации доступ к базе клиентов никак не защищен и ее может скопировать любой сотрудник с доступом в корпоративную сеть; нередко личная информация о сотрудниках и клиентах оказывается в свободном доступе из-за хакерских атак, недостаточной технической защищенности).
Штрафы: для юридических лиц — от 25 000 до 50 000 рублей; для должностных лиц — от 4000 до 10 000 рублей; для ИП — от 10 000 до 20 000 рублей.
Как избежать: обеспечить высокий уровень безопасности корпоративной сети. Использовать современные технологические средства защиты от интернет-угроз, хищения данных и для управления интернет-доступом: универсальные шлюзы безопасности, межсетевые экраны. Важно: нужно использовать средства, которые соответствуют требованиям ФСТЭК.
Какие изменения в законодательство планируют ввести
Утечки данных в России случаются все чаще: по данным InfoWatch, в 2019 году их количество возросло на 40 % в сравнении с предыдущем годом. Около 30 % случаев — противоправные попытки копировать информацию из клиентских баз данных и передавать их в третьи руки; 10 % случаев приходится на утечки из-за хакерской активности. Персональные данные — ценный товар на черном рынке, и поэтому для эффективной борьбы с утечками планируют повысить штрафы за правонарушения в этой области.
Что за повышение штрафов?
Прямо сейчас разрабатывается проект новой редакции КоАП, в котором предлагается увеличить штрафы за утечку персональной информации в 10 раз. После его вступления в силу сумма штрафа для юридических лиц может составить 500 000 рублей, для ИП — 300 000 рублей, для должностных лиц — 100 000 рублей.
Проект нового КоАП продолжают дорабатывать. Изначально ожидалось, что в январе 2021 года он уже вступит в силу, но, вероятно, эти сроки могут сдвинуть из-за затянувшейся работы над новой редакцией. Тем не менее, нет сомнений в том, что поправкам быть, а значит подготовку надо начинать уже сегодня.
Как минимизировать вероятность утечки данных
При утечке персональной информации потери несут все стороны, поэтому очень важны превентивные меры. Уже сегодня использование сертифицированных ФСТЭК средств защиты информации является обязательным для медицинских и образовательных учреждений, МФЦ, библиотек и музеев, государственных и муниципальных органов управления. За несоблюдение — штраф до 300 000 рублей. Для других категорий операторов это требование пока не является обязательным, но это вопрос времени — утечки из незащищенных корпоративных сетей случаются все чаще, штрафы растут, поэтому сразу обеспечить надежную защиту выгоднее, чем регулярно платить и нести репутационные потери.
«Смарт-Софт» — российский разработчик, который занимается системами защиты информации с 2003 года. Компания создаёт продукты, которые отвечают требованиям российского рынка и соответствуют нормам нашего законодательства. Мы выпускаем четыре вида универсальных шлюзов: S100, S500, M1000 и L1000+. Шлюзы отличаются по максимальному количеству пользователей и пропускной способности системы сканирования трафика. Листайте дальше, чтобы перейти на сайт, изучить характеристики моделей и выяснить, какой универсальный шлюз подойдет для вашей организации.