Персональные данные. Как не нарваться на штраф от Роскомнадзора

Введение

В очередной раз брала ипотеку. Сотрудники банка приносят мне договор и согласие на обработку и передачу персональных данных. Открываю согласие, а там 2 листа третьих организаций, которым попадут мои данные.

Представляете, сколько незнакомых номеров мне начнут звонить и предлагать свои услуги. А может среди них есть недобросовестные компании? 

Коллеги, так вот, важно беречь не только свои персональные данные, но также правильно уведомлять органы о сборе персональных данных, их обработке, передаче и утечке. 

Давайте во всем разбираться по порядку.

Персональные данные и операторы по их обработке

Персональные данные — это любая информация, которая относится к определенному физлицу. Они включают в себя следующую информацию:

• паспортные данные;

• СНИЛС;

• ИНН;

• номер телефона;

• электронная почта;

• и прочее.

Согласно статье 65 ТК каждый сотрудник должен 

• подписать согласие на обработку персональных данных;

• подписать два согласия на передачу обработки;

• ознакомиться с политикой конфиденциальности;

• ознакомиться с положением о персональных данных и с положением о защите персональных данных.

Компания, в свою очередь, должна уведомить Роскомнадзор о намерении осуществлять обработку данных нового сотрудника.

Как бухгалтеру «индексировать ЗП» на 50% осенью 2023 года?

Приглашаем вас на бесплатный 3-дневный марафон «Успешный бухгалтер». Разберемся, как заработать первые 100.000₽ без постоянного поиска клиентов и увольнения из найма

Записаться

Как уведомить

Есть несколько способов уведомить РКН:

1. Сформировать уведомление и направить в бумажном виде в территориальный орган РКН.

2. Сформировать уведомление и направить в электронном виде с использованием усиленной квалифицированной электронной подписи.

3. Сформировать уведомление и направить в электронном виде с использованием средств аутентификации ЕСИА.

Нововведения в законе о персональных данных

С 1 сентября 2022 каждый оператор обработки персональных данных обязан:

• определять процессы обработки персональных данных согласно цели;

• сообщать в РКН об утечке ПДн;

• взаимодействовать с ФСБ, если компания подверглась компьютерным атакам;

• введены дополнительные требования к соглашению о поручении обработки ПДн.

С 1 марта 2023: 

• РКН получает право запрещать или ограничивать трансграничную передачу ПДн;

• вред, который может быть причинен субъекту ПДн, обязательно оценивается по форме РКН;

• появились требования от РКН к уничтожению ПДн;

• изменения к уведомлению подаются до 15 числа месяца, следующего за изменениями.

Когда уведомлять Роскомнадзор о начале обработке персональных данных

Оператор персональных данных должен всегда отправлять уведомление в РКН о начале обработки, за исключением некоторых ограниченных случаев:

• включенных в государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;

• в случае если оператор осуществляет деятельность по обработке ПДн исключительно без использования средств автоматизации;

• обрабатываемых согласно законодательству о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства.

Телеграм-канал про актуальные новости и секреты бухгалтеров для новичков и профессионалов

Примеры из личного опыта

Перейти

Внутренние документы оператора

Прежде чем обрабатывать персональные данные, оператор должен определить для каждой цели обработки следующие параметры:

• Категории и перечень ПДн: общедоступные, биометрические, специальные и пр.

• Категории субъектов персональных данных: работники, клиенты и пр.

• Способы, сроки их обработки и хранения.

• Порядок уничтожения ПДн.

Поручение обработки

Оператор ПДн вправе поручить обработку третьему лицу, но только с согласия субъекта персональных данных. 

Для это важно определить и указать в соглашении о передачу обработки следующие параметры: 

• Перечень ПДн.

• Обязанность обработчика соблюдать требования о локализации.

• Обязанность обработчика информировать оператора об утечках.

• Обязанность обработчика соблюдать требования ст. 18.1 ФЗ «О персональных данных».

Если ПДн передаются на обработку иностранному обработчику, то он отвечает перед субъектом ПДн наравне с оператором.

Подборка полезных материалов «Чемодан бухгалтера»: методички, чек-листы и инструкции

Получить

Утечка ПДн

При неправомерной или случайной утечке персональных данных в соответствии с ФЗ №152 от 27.07.2006 «О персональных данных» оператор обязан уведомить уполномоченный орган о случившемся инциденте. 

Уведомление подается в РКН о каждом факте неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъекта ПДн:

• 24 часа данные об инциденте, причинах, предполагаемом вреде, предпринятых мерах;

• 72 часа данные о проведенном расследовании и виновных лицах.

После чего туда надо будет направлять информацию обо всех инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД.

Штрафы

За нарушение законодательства в области персональных данных предусмотрены штрафы (ст. 13.11 КоАП):

• для юрлиц — первичное нарушение 60 000 — 100 000, повторное до 300 000 руб.;

• для должностных лиц — первичное 10 000 — 20 000 руб., повторное до 50 000 руб.;

• для граждан — первичное 2 000 — 6 000 руб. повторное до 12 000 руб.

Непредставление или несвоевременное предоставление информации (уведомлений о начале обработке персональных данных, ст.19.7 КоАП) влечет предупреждение или наложение административного штрафа:

• юрлица — 3 000 — 5 000 руб.;

• должностные лица — 300 — 500 руб.;

• физлица — 100 — 300 руб.

Заключение

Бывает, что предприниматели игнорируют или не знают о существовании некоторых законов, в частности, закона о персональных данных. В итоге получают штрафы, которых можно было избежать.

Задача бухгалтера — предупреждать предпринимателя о возможных последствиях, помогать находить выгодные для компании пути в рамках законодательства.

Именно таких бухгалтеров готовлю на своих курсах.

Как бухгалтеру найти клиентов, готовых платить от 10.000 р в месяц за ведение ИП и от 50.000 р за ведение ООО

Занять место

Реклама: ИП Себелева, ИНН 272437902902, erid: LjN8JwwwZ