По закону, персональные данные – это вся информация, которая может быть связана с конкретным человеком. Например, ваше имя, номер телефона, адрес электронной почты, место жительства, фотография, паспортные данные и многое другое, что помогает вас идентифицировать.
Обработка персональных данных включает различные действия, как с использованием автоматизации, так и без нее. Это может быть сбор, запись, систематизация, хранение, обновление, изменение, использование, передача, удаление и уничтожение информации.
Те, кто обрабатывает вашу личную информацию, называются операторами. Они решают, зачем и как будут использоваться ваши данные, а также должны гарантировать их защиту от несанкционированного доступа.
Основная цель закона – защитить вашу личную информацию от неправомерного доступа и использования. Закон предотвращает любые действия с вашими данными без вашего согласия. Операторы, имеющие доступ к вашим данным, обязаны сохранять их конфиденциальность и не раскрывать без разрешения.
Закон также регулирует процесс обработки данных, чтобы защищать личные и семейные права каждого человека.
Новые обязанности компаний по 152-ФЗ
С июля 2017 года были усилены меры ответственности за нарушение этих правил. Это касается всех, кто работает с персональными данными: работодатели, веб-сайты и другие организации. В случае нарушения правил обработки данных компании могут столкнуться с серьезными последствиями, включая ответственность перед Роскомнадзором за такие действия, как обработка данных без согласия, неправильное уничтожение данных или их незаконный сбор.
В 2024 году компании столкнутся с новыми обязательствами, связанными с персональными данными. Это включает создание системы для обработки, учета и безопасного хранения данных в соответствии с последними законодательными требованиями. Компаниям нужно разработать правила работы с персональными данными и подготовить все необходимые документы согласно указаниям Роскомнадзора и закона №152-ФЗ. Кроме того, они обязаны своевременно предоставлять отчеты Роскомнадзору.
Обработка личных данных сотрудников, клиентов и других внешних лиц теперь является обязательной частью деятельности каждой компании. Руководители должны понимать, что вопросы, связанные с обработкой, учетом и хранением личных данных, тесно связаны с основными рабочими процессами: кадровыми вопросами, бухгалтерией, правовыми аспектами и другими сферами.
Если закон о персональных данных будет нарушен, компании могут грозить штрафы от 300 тысяч до 18 миллионов рублей. Поэтому важно соблюдать все требования, чтобы избежать серьезных финансовых последствий и сохранить репутацию надежного партнера.
Уголовная ответственность за несоблюдение 152-ФЗ
Если нарушить закон о защите персональных данных, можно попасть под уголовное наказание по статье 137 Уголовного кодекса РФ.
Вот что грозит за незаконный сбор или распространение информации о личной жизни человека без его разрешения:
- Штраф до 200 тысяч рублей или доход осужденного за период до 18 месяцев.
- Обязательные работы до 360 часов.
- Исправительные работы до одного года.
- Принудительные работы до двух лет с возможным запретом заниматься определенной деятельностью до трех лет.
- Арест до четырех месяцев.
- Тюремное заключение до двух лет с возможным запретом на занятие определенных должностей до трех лет.
Если такие действия совершает человек, используя свое служебное положение, наказание ужесточается:
1. Штраф от 100 до 300 тысяч рублей или доход за 1–2 года.
2. Запрет на занятие определенных должностей или деятельности на срок от 2 до 5 лет.
3. Принудительные работы до четырех лет с возможным запретом на занятие определенных должностей до пяти лет.
4. Арест до шести месяцев.
5. Лишение свободы до четырех лет с возможным запретом на занятие определенных должностей до пяти лет.
Закон 152-ФЗ о защите персональных данных: основные моменты
Чтобы законно собирать и использовать персональные данные, нужно следовать правилам, установленным законом 152-ФЗ. Вот основные из них:
1. Обеспечение безопасности персональных данных. Любой, кто работает с персональными данными, обязан защищать их в соответствии с законодательными стандартами. Это включает выполнение требований Постановления Правительства РФ №1119 и приказа ФСТЭК №21.
2. Регистрация в Роскомнадзоре. Перед началом работы с персональными данными нужно зарегистрироваться в Роскомнадзоре как оператор персональных данных. Для этого необходимо предоставить всю необходимую информацию о своих методах обработки данных.
3. Согласие на обработку данных. Получение согласия от людей на обработку их персональных данных является обязательным условием. Согласие должно быть явно выражено и может быть получено как в бумажной форме, так и на сайте.
Эти правила помогают защитить личные данные и предотвратить их неправомерное использование.
Детализация требований к защите данных
Для начала нужно понять, какой уровень защиты данных вам нужен. Это зависит от нескольких факторов: типа данных, ваших отношений с людьми, чьи данные вы обрабатываете, количества этих данных и возможных угроз.
Категоризация данных и угроз:
• Тип данных. Данные могут быть разными: общедоступные, биометрические или специальные категории.
• Отношения с субъектами данных. Важно различать данные сотрудников и клиентов.
• Количество субъектов. Это может быть меньше или больше 100 000 человек.
• Типы угроз. Угрозы могут исходить от недокументированных возможностей в программном обеспечении до уязвимостей в оборудовании.
После анализа всех этих факторов нужно принять соответствующие меры безопасности. Эти меры должны соответствовать одному из четырех уровней защищенности.
Процесс регистрации и согласие на обработку
В начале нужно зарегистрироваться в Роскомнадзоре. Это подтвердит, что ваша организация соблюдает законодательные требования по защите персональных данных и готова к проверкам.
Для того чтобы обрабатывать данные законно, необходимо получить явное и информированное согласие от каждого человека. Это может быть как подписанный документ, так и электронное согласие на сайте.
Соблюдение этих требований гарантирует, что вы работаете с персональными данными законно. Это помогает обеспечить конфиденциальность данных и предотвращает несанкционированный доступ к информации.