Рекомендации по работе с персональными данными после увеличения штрафов за неправильную работу с ними

Олег Грищенко 13.12.2023

12 декабря 2023 года президент РФ подписал Закон № 589-ФЗ (вступает в силу с 22.12.2023), который увеличивает штрафы за обработку персональных данных (ПД) без согласия или с избыточными ПД. Размер штрафа меняется с 30 000 - 150 000 рублей, на 300 000 - 700 000 рублей, а при повторном нарушении наказание для юридических лиц составит 1 млн - 1,5 млн рублей.

Кроме увеличения суммы штрафов, 18 ноября был расширен перечень индикаторов риска нарушения обязательных требований в области обработки личной информации. Если Роскомнадзор обнаружит хотя бы три расхождения между информацией из уведомлений о намерении обрабатывать персональные данные и (или) осуществлять их трансграничную передачу с данными, которые оператор опубликовал на своем сайте, он может, по согласованию с прокуратурой, внепланово провести ряд контрольно-надзорных мероприятий.

Ассоциации региональных операторов связи "Ростелесеть" подготовила рекомендации, как правильно оформить согласие абонента на обработку персональных данных:

  1.  главная рекомендация - проверка вашего сайта на наличие Политики, Согласий по всем формам сбора ПД и соответствия запрашиваемой информации тому, что было указано у вас при уведомлении РКН о том, что ваша компания является оператором персональных данных;
  2. обязательная проверка целей, сроков и перечень действий с ПД, которые указаны в соглашениях с абонентами и сотрудниками;
  3. при обработке ПД необходимо получить согласие абонента в любой форме (письменная, электронная, то есть "галочка" на сайте), позволяющей подтвердить факт его получения.
  4. письменное согласие, в соответствии с ч. 4. ст. 9 ФЗ № 152 необходимо получить в случаях:
  • при включении ПД в общедоступные источники, например, публикация на сайте (ст. 8 ФЗ № 152);
  • при трансграничной передаче ПД на территории иностранных государств (ст. 12. ФЗ № 152);
  • при принятии решения, порождающего юридические последствия в отношении субъекта ПД или иным образом затрагивающего его права и законные интересы на основании исключительно автоматизированной обработки ПД, например заключение договора с абонентом (ч.2. ст. 16 ФЗ № 152);
  • при передаче ПД сотрудников третьим лицам (ст. 88 ТК РФ).

5.     Согласие в письменной форме должно содержать:

  • ФИО, адрес, данные паспорта абонента;
  • ФИО, адрес, данные паспорта представителя абонента, реквизиты доверенности, при получении согласия от представителя субъекта ПД;
  • наименование и адрес оператора связи;
  • цель обработки ПД, например исполнение договора или выполнение заявки, но важно не писать избыточные цели;
  • перечень ПД, на обработку которых дается согласие субъекта ПД, например ФИО, адрес и телефон абонента.
  • перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД, например хранение, обработка, утилизация с использованием автоматизированных средств или без них;
  • срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва, если иное не установлено ФЗ, нельзя указывать "бессрочно", обязательно указывается конкретный срок;
  • подпись субъекта ПД.

Необходимо учитывать, что сейчас на рассмотрении находится Законопроект 502104-8, который в текущей версии существенно увеличивает штрафы в области персональных данных:

  • штраф за обработку ПД без уведомления РКН увеличивается с 3 000 - 5 000 до 100 000 - 300 000 рублей;
  • штраф за обработку ПД, несовместимую с целями, увеличивается с 60 000 - 100 000 до 150 000 - 300 000 рублей;
  • штраф за обработку ПД без согласия или с избыточными ПД устанавливается в размере 300 000-500 000 рублей;
  • штраф за не уведомление или несвоевременное уведомление об утечке устанавливается в размере 1 млн - 3 млн рублей;
  • штраф за утечку ПД из-за необеспечения безопасности ПД составит:

- 1000-10 000 записей: 3 млн - 5 млн рублей;
- 10 000-100 000 записей: 5 млн – 10 млн рублей;
- боле 100 000 записей: 10 млн - 15 млн рублей.

+ Дополнительно по этим же статьям от 0,1% до 3% совокупного дохода за год.

Раньше операторы связи собирали максимально возможный перечень персональных данных. В рамках текущего законодательства мы рекомендуем собирать только те данные, которые указаны обязательными в рамках Правил оказания услуг связи. Или те данные, цели и сроки обработки которых вам абсолютно понятны.  Избыточность собранных и хранимых данных может стать, в случае компьютерного инцидента, отягчающим фактором при определении наказания.

Ассоциация "Ростелесеть" подготовила для своих участников пакет документов по персональным данным, который поможет сформировать набор приказов, инструкций, положений, регламентов и соглашений при взаимодействии с абонентами и сотрудниками компании.

Изменений в требованиях по персональным данным за последние два года много, поэтому рекомендуем уделить внимание вопросу, обучить персонал, ответственный за хранение, обработку, утилизацию персональных данных абонентов и сотрудников, а также подготовить пакет документов, регламенты работы, чтобы быть готовыми к проверке.

Об авторе

Олег Грищенко
Олег Грищенко
президент Ассоциации "Ростелесеть"
print