«Тема работы с персональными данными меня не касается»,– распространенное и часто ошибочное убеждение. Если у вас есть сотрудники в штате или сайт компании, вы уже являетесь оператором персональных данных. А значит, должны в полной мере соответствовать требованиям закона 152-ФЗ «О персональных данных», чтобы избежать штрафов до десятков миллионов рублей.

В 2023 году работа с персональными касается практически каждой организации и ИП. Проверьте, знаете ли вы о всех последних изменениях в этой области.

Новые сроки уведомления Роскомнадзора при изменениях у оператора персональных данных

Если вы обрабатываете персональные данные, то должны уведомить об этом Роскомнадзор. На основе этих уведомлений ведомство ведет Реестр операторов персональных данных.

Если у оператора изменились наименование, адрес, цели обработки персональных данных, нужно отправить уведомление об изменении данных. Полный перечень информации, по которой нужно уведомлять Роскомнадзор, указан в ч. 3 ст. 22.1 закона № 152-ФЗ.

Уведомлять об изменениях нужно до 15-го числа месяца, следующего за месяцем, в котором произошли изменения.

Новые правила уничтожения персональных данных

Операторам нужно подтверждать уничтожение персональных данных (ПД). В акте нужно указать категорию уничтожаемых ПД, Ф.И.О. и должности участников процедуры, их подписи, причины и способы уничтожения и т.п.

Если уничтожаете электронные персональные данные, то достаточно выгрузки журнала, где зарегистрированы все события. Проверьте, указаны ли там необходимые данные. Если нет, то нужно дополнить процедуру бумажным актом.

Бумажный акт хранится в течение 3 лет. Подробнее о порядке и требованиях к уничтожению персональных данных можно узнать в приказе Роскомнадзора от 28.10.2022 № 179.

Передача персональных данных за границу

Если компания осуществляет трансграничную передачу персональных данных, то она обязана уведомить об этом Роскомнадзор.

После уведомления в течение 10 дней Роскомнадзор проводит собственную проверку иностранного получателя. После этого может запретить или ограничить передачу данных.

Примеры трансграничной передачи данных:

• отправка документов с персональными данными по электронной почте лицу за пределами РФ;.
• бронирование номеров для сотрудников в загранкомандировках;
• использование иностранных сервисов рассылок, платформ для хранения персональных данных.

Уведомление об утечке персональных данных

При утечке персональных данных оператор ПД отправляет специальное уведомление в Роскомнадзор.

Мартовские изменения обязывают операторов ПД также создать акт и прописать в нем возможные степени риска при работе с персональными данными (подробнее в приказе Роскомнадзора от 27.10.2022 № 178). Оператор ПД должен хранить этот документ, его наряду с другими документами потребовать при проверке Роскомнадзор.

Роскомнадзор может оштрафовать без посещения компании

Если получена информация об обработке данных без согласия владельца, ведомство может выписать штраф без проведения контрольного мероприятия (подробнее в письме Роскомнадзора от 31.01.2023 г. № 09-6488). Сумма штрафа по такому нарушению для должностного лица или ИП – от 20 000 до 40 000 рублей; компании – 30 000 –150 000 рублей.

В разы больше будет штраф за нарушение правил обращения с собранными данными – до 18 млн рублей.

Как избежать штрафов?

Работа начинается с малого — с подготовки локальных нормативных актов. Для этого нужно знать и понимать, какие данные относятся к персональным, как составить документы, чтобы избежать нарушений.

На вебинаре 1 ноября эксперты расскажут, как сделать все правильно и избежать штрафов от Роскомнадзора. А также презентуют новый сервис 152DOC, который позволит вам создать самостоятельно необходимый пакет документов.

ЗАРЕГИСТРИРОВАТЬСЯ НА ВЕБИНАР