Только в 2023 году в новостных лентах неоднократно появлялась информация об утечках персональных данных клиентов различных организаций. Каждый такой случай становится проблемой не только для клиентов, чьи данные попали в сеть, но и для компаний, чьи сервера подверглись атаке со стороны злоумышленников.
Только в 2023 году в новостных лентах неоднократно появлялась информация об утечках персональных данных клиентов различных организаций. Каждый такой случай становится проблемой не только для клиентов, чьи данные попали в сеть, но и для компаний, чьи сервера подверглись атаке со стороны злоумышленников.
- незаконная обработка данных – штраф для организаций за первое нарушение 60 000 рублей – 100 000 рублей, за повторное 100 000 рублей – 300 000 рублей.
- не опубликована политика обработки данных - штраф для организаций 30 000 рублей – 60 000 рублей.
- невыполнение требования об уточнении, блокировке, уничтожении данных – штраф для организаций за первое нарушение 50 000 рублей – 90 000 рублей, за повторное 300 000 рублей – 500 000 рублей.
- невыполнение обязанностей в отношении данных, собранных через интернет – штраф для организаций за первое нарушение 1 000 000 рублей – 6 000 000 рублей, за повторное 6 000 000 рублей – 18 000 000 рублей.
С полным перечнем нарушений и мер ответственности можно ознакомиться в приложенной таблице, однако уже по приведенным данным видно, что политика государства в части обработки персональных данных достаточно жесткая и материальная ответственность организации может достигать 18 000 000 рублей за одно нарушение.
Многие, работая с физическими лицами, необоснованно полагают, что достаточным будет просто взять шаблон политики обработки персональных данных из интернета и изменить название организации.
К сожалению, чаще всего такой способ неприменим и опасен. Работа с персональными данными всегда строится индивидуально и очень сильно зависит от специфики деятельности организации.
Мы постарались сформировать оптимальную последовательность действия, которые необходимо выполнить для законной обработки персональных данных:
1. Определить и назначить лиц, ответственных за обработку персональных данных. На первоначальном этапе указанные лица должны будут организовать процедуру обработки персональных данных, а в дальнейшем смогут выполнять функции контроля.
2. Определить перечень данных, которые необходимо будет обрабатывать в ходе деятельности организации.
3. Подготовить комплект документов, предусмотренный федеральным законом № 152-ФЗ от 27.07.2006. Содержание такого комплекта будет напрямую зависеть от целей и объема данных, которые нужно будет обрабатывать. Неизменными в таких комплектах остаются политика обработки персональных данных и форма согласия субъекта персональных данных. Кстати, для разработки последнего Роскомнадзор разработал достаточно удобный инструмент - https://pd.rkn.gov.ru/soglasiya/.
4. Ознакомить лиц, ответственных за обработку персональных данных, с подготовленным комплектом документов.
5. Направить уведомление в Роскомнадзор в целях включения в реестр операторов персональных данных.
Обращаем внимание, что качественная подготовка к работе с персональными данными является обязательным, но не единственным этапом. Практика показывает, что даже идеально подготовленный комплект документов не поможет, если в организации не соблюдаются требования по обработке персональных данных. Напомним, что понятие обработка персональных данных включает в себя любые действия, в том числе, сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. На каждом этапе организация, обрабатывающая персональные данные, должна обеспечить их безопасность.