Новые правила обработки персональных данных: что изменилось в 2024 году?

Обработка персональных данных: что изменилось?

1. Расширение понятия «персональные данные»

Теперь под персональные данные попадает не только привычная информация (ФИО, телефон, адрес), но и:

• биометрические данные (отпечатки пальцев, фото);
• цифровые следы (активность в интернете);
• данные геолокации.

2. Правила получения согласия

Каждый человек, чьи данные вы обрабатываете, должен дать явное согласие. Важно:

• согласие на обработку персональных данных необходимо оформить отдельным документом. Оно не должно быть частью, например, пользовательского соглашения;
• согласие нужно подтвердить. Например, пользователь должен подписать согласие на обработку ПДн в бумажном или электронном формате.

3. Только российские серверы

Все данные должны храниться на серверах, расположенных в России. Компании обязаны использовать надежное шифрование и регулярно проверять системы защиты.

4. Отчетность перед Роскомнадзором

Раз в год предприниматели сдают отчет о том, как они соблюдают требования по защите ПДн.

5. Новые штрафы за несоблюдение требований

За утечку данных компании могут получить штраф до 15 млн руб., а в некоторых случаях им грозит временный запрет на ведение предпринимательской деятельности.

Что необходимо сделать предпринимателям?

Чтобы соответствовать новым требованиям, важно выполнить несколько шагов:

1. Проверьте документы

Обновите политику конфиденциальности, соглашения и договоры. Убедитесь, что в них учтены новые требования.

2. Организуйте защиту данных

• Храните информацию на российских серверах.
• Настройте шифрование и установите надежное ПО для защиты данных.

3. Обучите сотрудников

Проведите инструктаж, объясните, почему важно защищать персональные данные и какое наказание предусмотрено за их утечку.

4. Назначьте ответственного за ПДн

Если такого специалиста еще нет, выберите сотрудника или наймите внешнего специалиста.

5. Проведите аудит информационной безопасности

Оцените степень защищенности информации и состояние информационных систем.

Обработка персональных данных: штрафы

Если бизнес не соблюдает правила обработки персональных данных, ему придется заплатить штраф. Разберем подробнее, почему предпринимателя могут оштрафовать.

1. Отсутствие компании в Реестре операторов персональных данных

Согласно части 10 статьи 13.11 КоАП РФ, все компании, работающие с ПДн, обязаны зарегистрироваться в этом реестре.
Если компания не внесена в реестр, ей грозят следующие штрафы:

• для физических лиц — от 5000 до 10 000 руб.;

• для должностных лиц и ИП — от 30 000 до 50 000 руб.;

• для юридических лиц — от 100 000 до 300 000 руб.

Как избежать штрафов?

Проверьте, есть ли ваша компания в реестре на сайте Роскомнадзора. Здесь же вы можете подать уведомление об обработке персональных данных.

2. Неуведомление Роскомнадзора об утечке данных

В соответствии с частью 11 статьи 13.11 КоАП РФ компании обязаны уведомлять Роскомнадзор о любых инцидентах, связанных с персональными данными.
Штрафы за несвоевременное уведомление:

• для физических лиц — от 50 000 до 100 000 руб.;
• для должностных лиц и ИП — от 400 000 до 800 000 руб.;
• для юридических лиц — от 1 млн до 3 млн руб.

Когда необходимо уведомить Роскомнадзор — примеры:

• кража данных сотрудников или клиентов;
• случайная отправка клиентской базы на личные устройства сотрудников;
• проникновение в систему вредоносных программ (программ-вымогателей).

Как избежать штрафов?

Создайте внутренние инструкции для сотрудников, как действовать при утечке данных, и вовремя сообщайте о подобных инцидентах в Роскомнадзор.

3. Незаконная обработка персональных данных

Согласно части 1 статьи 13.11 КоАП РФ, любая обработка данных без законных оснований или без согласия владельца считается нарушением.
Штрафы за незаконную обработку персональных данных:

• для физических лиц — от 10 000 до 15 000 руб.;
• для должностных лиц и ИП — от 50 000 до 100 000 руб.;
• для юридических лиц — от 150 000 до 300 000 руб.

Примеры незаконной обработки:

• публикация фотографий сотрудников или клиентов без их согласия;
• обработка данных без уведомления или согласия субъекта.

Как избежать штрафов?

Пересмотрите локальные акты компании: цели обработки, сроки хранения данных и оформление согласий должны соответствовать закону.

4. Утечка персональных данных

Наиболее серьезные штрафы предусмотрены за утечку данных. Их размер зависит от объема и обстоятельств происшествия. Штрафы начинаются от 3 млн руб. и могут достигать 15 млн руб.

Пример утечки:

• доступ к базе данных клиентов получили третьи лица;
• потеря документов с конфиденциальной информацией.

Как избежать штрафов?

• пропишите правила политики защиты персональных данных. Объясните сотрудникам, почему это важно и как необходимо защищать данные;
• ограничьте доступ. Предоставьте доступ к информации только тем сотрудникам, которым данные нужны для работы;
• регулярно проводите аудит систем безопасности.

Соблюдение всех требований — это не только гарантия отсутствия штрафов, но и укрепление доверия ваших клиентов. 

Обработка персональных данных: почему это важно?

Защита персональных данных — не просто требование закона. Это способ показать клиентам, что вы заботитесь об их безопасности и дорожите своей репутацией на рынке. Доверие к компании — важный актив, который напрямую влияет на успех бизнеса.

Если у вас остались вопросы по теме материала или вам нужна консультация, как правильно работать с персональными данными, вы можете уточнить информацию у наших экспертов. Позвоните нам по телефону +7 (909) 28-25-160 или напишите в WhatsApp или Viber — +7 (909) 28-25-160. Мы ответим на ваши вопросы.