Инструкция по соблюдению 152-ФЗ

Для успешной работы и сохранения бизнеса важно соблюдать актуальные законы России, особенно в сфере защиты персональных данных, что имеет значение для любого предприятия.

Государство обеспечивает защиту прав граждан и налагает строгие санкции за нарушение правил и незаконное использование личной информации. Чтобы развивать бизнес без проблем с Роскомнадзором, вам нужно:

1. Тщательно изучить, какие меры следует принять для соблюдения законодательных требований.
2. Определить список документов и действий, соответствующих специфике вашей компании.
3. Подготовить все необходимые бумаги в соответствии с законодательством.
4. Понять, что своевременное выполнение требований закона поможет избежать штрафов и других негативных последствий за нарушение правовых норм.

План действий при работе с персональными данными

В современном бизнесе обработка персональных данных — это неотъемлемая часть работы. Под персональными данными понимаются любые сведения, позволяющие идентифицировать человека, такие как фамилия, имя, адрес, номер телефона и прочая информация.

Даже если контакт с владельцами данных отсутствует напрямую, например, при создании интернет-магазина, где клиенты заполняют анкеты, необходимо соблюдать правила обработки персональных данных (ПДн).

Вот основные шаги для приведения работы предприятия в соответствие с требованиями российского законодательства:

1. Определение целей обработки ПДн. Цели обработки данных должны быть четко определены, поскольку это влияет на заполнение документации и возможность возникновения претензий от субъектов данных. Можно установить несколько целей, но каждая должна быть зафиксирована в отдельной информационной базе. Чем конкретнее обозначены цели, тем лучше.
2. Создание документации по защите ПДн:Политика обработки персональных данных.
   Приказ о назначении ответственного за организацию работы с ПДн.
   Перечень сотрудников, имеющих доступ к ПДн.
   Соглашение о конфиденциальности с персоналом.
   Согласие на обработку ПДн.
   Политика должна быть размещена на сайте компании и доступна в офисе.
3. Обеспечение защиты ПДн. Включает предотвращение несанкционированного доступа, устранение последствий хакерских атак и т. д. Необходимо определить уровень защищенности, разработать модель угроз и подготовить документацию по защите данных. При трансграничной передаче данных может потребоваться проверка безопасности у контрагента.
4. Уведомление Роскомнадзора. Нужно сообщить о начале обработки ПДн в контролирующий орган в установленной форме, что можно сделать как в бумажном, так и в электронном виде. При изменении процессов обработки или прекращении работы с данными следует уведомить Роскомнадзор о внесенных изменениях или исключении из реестра операторов.
5. Получение согласия от субъектов на использование их ПДн. Согласие должно быть конкретным, осознанным и информативным. В некоторых случаях требуется письменное согласие с указанием обязательных сведений, предусмотренных законом.
6. Оформление согласия на распространение сведений. С 2021 года требуется документ, ограничивающий передачу данных третьим лицам без согласия субъекта. Распространение данных включает их раскрытие неограниченному кругу лиц, например, размещение на общедоступном сайте.
7. Уничтожение или обезличивание данных. При окончании срока хранения, отзыве согласия или неправомерном использовании данных необходимо произвести их уничтожение или обезличивание.

В некоторых случаях согласие на обработку персональных данных не требуется. Рассмотрим эти случаи подробнее:

1. Заключение сделки. Если субъект данных участвует в сделке, где он является стороной, выгодоприобретателем или поручителем (например, предоставление реквизитов при заключении договора), согласие не требуется.
2. Отправка кассового чека. Если вы отправляете кассовый чек по электронной почте клиенту, согласие на обработку персональных данных не нужно.
3. Фиксация данных для однократного пропуска. При фиксации данных посетителей для одноразового пропуска на территорию в специальном журнале согласие не требуется.
4. Обработка данных для трудовых отношений. Если обрабатываются данные о трудоустройстве гражданина, включая информацию, необходимую работодателю для трудовых отношений (такие как образование, фамилия, имя, повышение квалификации), согласие не требуется.

Нарушение правил работы с персональными данными может повлечь за собой серьезные финансовые санкции. Статистика показывает, что количество незаконных операций с персональными данными возросло на 80%, что привело к ужесточению мер наказания.

Основные штрафы для юридических лиц за нарушение правил обработки персональных данных следующие:

1. Обработка ПДн без согласия. Штраф до 150 тыс. рублей за обработку без согласия субъекта или других законных оснований (до 500 тыс. рублей при повторном нарушении).
2. Использование неверных целей. Штраф до 100 тыс. рублей за использование данных с неверно указанными целями (до 300 тыс. рублей при повторном нарушении).
3. Отсутствие доступа к политике обработки ПДн. Штраф до 60 тыс. рублей за отсутствие публикации или доступа к политике обработки (до 80 тыс. рублей в некоторых случаях).
4. Несвоевременное уточнение, удаление или уничтожение ПДн. Штраф до 90 тыс. рублей за несвоевременное выполнение запроса на уточнение или удаление данных (до 500 тыс. рублей при повторном нарушении).
5. Недостаточная защита информации. Штраф до 100 тыс. рублей за недостаточную защиту данных при обработке без автоматизированных средств.
6. Нарушение правил сбора и хранения ПДн. Штраф до 6 млн рублей за нарушение правил сбора и хранения данных в базах, расположенных на территории России (до 18 млн рублей при повторном нарушении).

Штрафы суммируются, и при наличии нескольких нарушений их общий размер может достигать сотен тысяч и даже миллионов рублей. При этом простое погашение штрафа не освобождает от выполнения предписания об устранении нарушений, которое необходимо выполнить в любом случае.