Источник: ООО "Небо"
30 мая вступили в силу изменения в закон о работе с персональными данными. Теперь за ошибки при обработке и утечки могут оштрафовать на десятков миллионов рублей. Рассказываем, что изменилось и как не нарушить закон.
Что меняется в новом законе
Основные изменения — это рост штрафов за нарушения работы с персональными данными:
-
Обработка персональных данных без уведомления РКН — от 100 до 300 тысяч рублей.
-
Сокрытие факта утечки данных более суток — от 1 до 3 миллионов рублей.
-
Массовая утечка данных от 1000 до 10 000 человек — от 3 до 5 миллионов рублей. Если больше, то 15 миллионов рублей.
-
Утечка биометрии — от 15 до 20 миллионов рублей.
Важная часть изменений — это уведомление РКН о том, что бизнес собирает персональные данные. Новый закон отменяет все исключения. Поэтому уведомление подают при любом сборе данных:
-
Оформление договоров.
-
Сбор только фамилии, имени и отчества.
-
Обработка данных сотрудников.
-
Оформление разового пропуска.
Если компания берет телефон, чтобы узнать адрес доставки, то это тоже сбор и обработка персональных данных.
Римма Вербицкая, председатель Московской коллегии адвокатов «РИВЕРГРУПП»:
«Новые штрафы затронут все сайты и не только сайты. Оператором персональных данных (ОПД) считается любое лицо — физическое или юридическое, индивидуальный предприниматель или самозанятый, которое обрабатывает персональные данные. Под обработкой понимается любое действие: сбор, хранение, использование, передача и удаление. То есть если вы сохраняете хотя бы контакты клиентов, то уже оператор.
Чтобы избежать проблем, нужно разработать политику обработки ПД, назначить ответственное лицо за обработку ПД, направить уведомление в РКН до начала обработки ПД».
Уведомление о сборе персональных данных подают через сайт Роскомнадзора до начала работы с данными.
Что меняется в хранении и обработке персональных данных
Предприниматели должны строже относиться к документам и формам согласия:
-
Политика обработки персональных данных или политика конфиденциальности. Нужно указать цели для сбора данных, сроки хранения и уничтожения, а также электронный адрес, если пользователь хочет отозвать свое согласие. Если бизнес ведет рассылку по SMS, то нельзя вести сбор адресов электронной почты. Добавляйте поле для отдельного согласия на каждую операцию (например, «СМС-рассылка» и «передача партнеру»), указывайте ИНН/ОГРН оператора — это требование РКН с 2025 года.
-
Согласие на обработку персональных данных. Другой документ, чтобы пользователь соглашался на отправку своих данных.
-
Галочки (чекбоксы) согласия. Теперь пользователь должен именно поставить свое согласие на обработку информации, а владельцы сайта не могут прописывать, что какое-то действие приводит к согласию. Нужно писать, что если ставите галочки, то согласны на обработку персональных данных.
-
Предупреждение об использовании cookies. Это информация о действиях, которые совершает пользователь на сайте.
-
Согласие на получение рекламной рассылки. Нельзя просто так отправлять пользователям рекламные сообщения, а нужно взять согласие.
Если предприниматели собирают, чтобы хранить в CRM или мессенджерах, то придется оформлять политику согласия и конфиденциальности. При этом нужно внимательнее работать с трансграничной передачей персональных данных.
Сергей Боровинских, основатель компании «Юридический бутик Сергея Боровинских»:
«Нужно проверить соответствие сайта требованиям к трансграничной передаче: иностранные сервисы (Google Analytics, CRM) должны быть заменены на российские аналоги, иначе штраф до 18 миллионов рублей. Зарубежные CRM (например, Salesforce, HubSpot) попадают под запрет трансграничной передачи, если данные сначала не обрабатываются в РФ. Альтернатива — российские платформы (1С, Битрикс24). Использование WhatsApp, для сбора персональных данных является нарушением, так как серверы Meta признаны экстремистскими. Штраф до 3% годовой выручки. Google Формы, SurveyMonkey — под запретом как трансграничная передача. Советую использовать российские аналоги (например, «Яндекс Формы»)».
Источник: https://www.audit-it.ru/