Теперь уже точно все знают, что оператором персональных данных являются все юридические лица, индивидуальные предприниматели и даже самозанятые (практически все).
Только ленивый сейчас не пугает огромными штрафами за неподачу уведомления в Роскомнадзор и отсутствие организационно-распорядительных документов по защите персональных данных. Мы тоже не ленивые, но пугать не будем. Расскажем о том, как можно облегчить свою работу в области защиты персональных данных и защитить свой бизнес от больших штрафов.
Компании 1С и Калуга Астрал очень хорошо в очередной раз поработали и создали конструктор технической документации в области защиты информации для операторов персональных данных и эксплуатации средств криптографической защиты информации – 152DOC.
152-ФЗ - закон о Персональных данных, который обязывает все организации, являющимися операторами персональных данных:
1) уведомить Роскомнадзор,
2) создать системы защиты персональных данных в своей организации.
Напомним, что вы являетесь оператором персональных данных, если выполняется хотя бы один из пунктов ниже:
· вы юридическое лицо, ИП или самозанятый и работаете с данными клиентов (в том числе с контактными лицами ваших контрагентов)
· используете средства автоматизации (базы данных в электронном виде, сайт, CRM-системы, электронная отчетность и т. д.)
· у вас есть сотрудники
· вы заключаете договоры с контрагентами
· ведете базы данных ваших клиентов
· у вас есть сайт и на нем собираются персональные данные (cookie-файлы, формы обратной связи и т. п.)
Результатом использования сервиса «152DOC» является:
· комплект локально-нормативных актов по требованиям 152-ФЗ (приказы, инструкции, распоряжения, в том числе документ «Политика обработки персональных данных»)
· документы по применению средств криптографической защиты информации
· форму уведомления для Роскомнадзора с возможностью отправки из сервиса первичного и корректирующего уведомления
· согласия на обработку, передачу, распространение персональных данных под любую цель Оператора в неограниченном количестве
· модели угроз
Если есть вопросы по внедрению и работе сервиса 152DОС, обращайтесь в компанию Дата8.
Немного букв о юридической природе требований по защите персональных данных.
01.09.2022г. Были внесены изменения в Федеральный закон №152-ФЗ:
– Понятие Оператор персональных данных было расширено, теперь это любое юридическое лицо, индивидуальный предприниматель, самозанятый или физическое лицо, которое обрабатывает персональные данные с помощью средств автоматизации, было 9 исключений, осталось 3.
– Требования к локально-нормативным актам. Ранее была только рекомендация, теперь обязательные требования к созданию.
– Требования к Политике обработки данных. Установлены требования по оформлению документа и требования по размещению в сети Интернет.
01.03.2023г. Внесены следующие изменения в закон №152-ФЗ:
– Требования к подтверждению уничтожения персональных данных (нужна комиссия, акты, журналы)
– Оценка вреда, который может быть причинен субъектам персональных данных и Акт оценки вреда.
– Уведомление в Роскомнадзор об изменениях в работе с персональными данными
18.11.2023г. Внесены следующие изменения в закон №152-ФЗ:
Вводится новый индикатор риска нарушения в сфере персональных данных. Роскомнадзор будет сверять уведомления в реестре операторов и документ Политика в области обработки персональных данных. Если будет более 3-х расхождений, то Роскомнадзор имеет право инициировать контрольную проверку организации.
Федеральный закон от 30.11.2024г №420-ФЗ «О внесении изменений в КоАП РФ» появились два новых нарушения: отсутствие Уведомления в Роскомнадзор и утечка персональных данных, а также были увеличены штрафы по ч.1 ст.13.11 КоАП.
Федеральный закон от 30.11.2024г. №421-ФЗ «О внесении изменений в УК РФ»:
Ст. 272.1 УК РФ предусматривает ответственность за незаконное хранение/сбор/передачу персональных данных, полученных незаконным путем.
Федеральный закон от 24.06.2025г. №156-ФЗ «О создании многофункционального сервиса обмена информацией и о внесении изменений в отдельные законодательные акты РФ» вносит дополнения в федеральный закон №152-ФЗ:
– дополнить новым четвертым предложением следующего содержания: «Согласие на обработку персональных данных должно быть оформлено отдельно от иных информаций и (или) документов, которые подтверждают и (или) подписывает субъект персональных данных. Например, согласие на обработку данных вставить одной фразой в трудовой договор нельзя.
Текст закона полностью: https://base.garant.ru/12148567/