Гайд: 8 главных рисков по работе бизнеса с персональными данными и их минимизацияОпубликовано: 29.11.2024Время на чтение: 8 минут 👁 58 СодержаниеГде риски и что с ними делать?Помощь юристов КГ ЭТАЛОН г.Москва, м. Алексеевская, ул. 3-я Мытищинская, д,16, стр. 47, 12 этаж, офис 1211 Работа с персональными данными (далее - ПД) – сложная сфера, плохо отрегулированная законодательством.Высокие штрафы за утечку ПД Министерство цифрового развития РФ хочет значительно увеличить, чтобы «бизнес был мотивирован инвестировать в защиту данных». Тут без комментариев.Понятно, что значительные утечки ПД могут происходить только у крупного бизнеса, так как в малом и среднем бизнесе ПД в больших объёмах просто нет. Однако уже штрафуют всех.Мы понимаем, что лишних денег у МСБ нет, поэтому написали для Вас гайд, чтобы руководителю было проще избежать штрафов за утечку ПД и узнать, что точно придётся сделать.Ведущий юрист КГ ЭТАЛОН по интеллектуальной собственностиОльга МироноваПолучить консультацию Где риски и что с ними делать? 1. На сайте вашей Компании размещена Политика в отношении обработки персональных данных? Нарушение требования закона об обеспечении неограниченного доступа к документу, определяющему политику в отношении обработки персональных данных, может повлечь штраф до 60 тысяч рублей.Политика конфиденциальности должна быть размещена на всех страницах сайта, где происходит сбор персональных данных. Необходимо добавить ссылку на Политику в «подвал» (футер) сайта – структурный элемент сайта, расположенный внизу страницы. 2. Запрашиваете ли Вы согласие пользователей сайта на сбор их персональных данных? Если да, то насколько правильно оформляется этот запрос? Очень часто компании на своих сайтах размещают различные формы сбора ПД – это могут быть запросы на обратный звонок от менеджера, общение с чат-ботом или авторизация в личном кабинете на сайте.но, не всякий сбор информации будет признаваться обработкой ПД. Закон гласит, что ПД – это информация, которая в совокупности позволяет идентифицировать конкретное лицо. Например, если в форме запроса обратной связи нужно указать только номер телефона – это по закону не ПД. Но как только к номеру телефона добавится как минимум имя – пользователь сразу может быть идентифицирован и для сбора такой информации (имени и номера телефона) необходимо запросить его согласие. Необходимо под формой сбора персональных данных разместить два поля с чек-боксами, при согласии с положениями которых у пользователя будет возможность выразить своё согласие путем проставления отметки («галочки», например).Почему два чек-бокса? Чтобы пользователь мог выразить согласие на обработку персональных данных, а затем подтвердить, что ознакомлен с Политикой конфиденциальности. Обращаем особое внимание, что «галочки» не должны быть проставлены заранее.Штраф за невыполнение обязанности по получению согласия субъекта персональных данных в надлежащей форме большие – от 300 до 700 тыс. руб. 3. Указана ли Ваша компания в реестре операторов персональных данных? Если нет – необходимо направить уведомление в электронном виде, заполнив соответствующую форму на сайте Роскомнадзора. Штраф в случае неуведомления невелик – до 5 тысяч рублей, но привлекать лишнее внимание недоброжелательных конкурентов и контролирующих органов (которые не ограничатся проверкой уведомления и проверят все процессы обработки ПД) мы не рекомендуем.Уже после включения организации в реестр Роскомнадзор часто проводит самостоятельные мероприятия по контролю компании (в том числе, ее сайта). Поэтому необходимо привести все документы юрлица, регламентирующие порядок работы с ПД, в соответствие с требованиями законодательства. 4. Указаны ли в Политике в отношении обработки ПД все обязательные и необходимые положения? Все ли цели обработки ПД перечислены?Необходимо перечислить все цели обработки ПД и в отношении каждой цели обработки должны быть указаны:категории субъектов ПДперечень обрабатываемых данныхспособы обработкисроки обработки и хранения ПДпорядок уничтожения персональных данныхинформацию об обеспечении конфиденциальности и безопасности.Если что-то из вышеуказанного не будет отражено в Политике – есть риск получения штрафа для юрлица от 60 до 100 тыс. руб.Все документы по ПД должны постоянно актуализироваться! 5. Организована ли правильно работа с ПД в Вашем бизнесе? Все сотрудники, имеющие доступ к персональным данным других работников/контрагентов и иных лиц, должны быть под подпись ознакомлены с локальными нормативными актами о защите персональных данных.Необходимо: сделать соответствующую форму уведомления работника об ознакомлении с ПД,сделать обязательство работника о неразглашении персональных данных, ставших ему известными в ходе исполнения трудовых обязанностей,утвердить приказом ответственного за организацию обработки персональных данных в Компании,разработать процедуру внутреннего контроля или аудита за соблюдением требований о защите персональных данных в компании,регулярно проводить такой аудит и документально закреплять его результатыутвердить приказом определенный перечень мест, где будут храниться персональные данные на материальных носителяхобеспечить режим доступа в эти помещения таким образом, чтобы исключить возможность неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения. 6. Как и о чем нужно уведомлять Роскомнадзор? Необходимо четко знать алгоритм действий в случае утечки ПД и знать, как обеспечить защиту ПД:что нужно сделать после утечки данных?как оповестить Роскомнадзор о случившемся инциденте?есть ли у Вас положение о порядке реагирования на компьютерные инциденты (утечки)?Важно: 26 ноября 2024г. в третьем чтении приняты законопроекты, ужесточающие ответственность за нарушения при обработке ПД:законопроект № 502104-8 о критическом увеличении штрафов в этой области (включая оборотные штрафы и штрафы в размере 15 млн – 500 млн рублей);законопроект № 502113-8 о введении уголовной ответственности за неправомерную обработку ПД и создание информационных ресурсов для незаконного сбора, хранения и передачи компьютерной информацией с незаконно полученными ПД. Максимальный срок лишения свободы – до 10 лет.Необходимо немедленно наладить процессы обработки ПД и привести в порядок документы! 7. Предупреждаете ли Вы пользователей об использовании файлов cookie на своем сайте? Файлы cookie используют чтобы персонализировать отображаемый контент, подстраивать предложения под конкретные предпочтения потенциальных клиентов, показывать релевантную рекламу, отслеживать статистику об интересах пользователей сайта.При этом нигде в законодательстве нет прямых указаний на то, что сбор таких данных подпадает под требования Закона о ПД. Но Роскомнадзор выработал устоявшийся подход, что информация, содержащаяся в cookie-файлах, тоже относится к ПД.Необходимо разместить на сайте всплывающее окно с предупреждением об использовании файлов cookie. Очень важно предусмотреть возможность пользователям сайта:согласиться с обработкой этих данныхрядом с предупреждением во всплывающем окне нужно предусмотреть наличие кнопки «Согласен»Пояснить пользователям:какие именно данные собираются с помощью cookie-файловсведения о целях использования файловкатегориях таких файловспособах удаления (отключения) файлов. Во всплывающем окне указать:предупреждение об использовании файлов cookieуказать в Согласии конкретный перечень собираемых данныхУпомянуть, что подробные условия сбора данных и порядок их обработки, хранения находятся в Политике о защите ПДЕсли для сбора данных файлов cookie Вы используете различные сервисы веб-аналитики, например, Яндекс Метрика - необходимо указать это во всплывающем окне, а также в Политике и Согласии.ВНИМАНИЕ! Использование метрик Google Analytics Роскомнадзор трактует в качестве трансграничной передачи, что требует направления соответствующего уведомления о трансграничной передаче ПД. 8. Исполнено ли Вами предписание о локализации баз данных пользователей в РФ? Один из самых дорогостоящих факторов риска по ПД для бизнеса (штраф 6-18 млн. руб.) – хранение ПД заграницей.Все базы данных с персональной информацией граждан России должны находиться на территории РФ – за этим строго следит Роскомнадзор. При нарушении рассматриваемого требования Вам грозит не только штраф значительного размера, но и блокировка сайта, а также наложение ограничений на обработку данных в нелокализованных базах.Если Вы еще этого не сделали, необходимо незамедлительно провести анализ движения данных по каждой информационной системе из тех, что Вы используете и проверить - точно ли аккумулирование данных осуществляется на российских серверах?При этом рассматриваемое требование не означает, что наряду с локальными серверами нельзя использовать никакие иностранные сервисы. Можно, но необходимо уведомить Роскомнадзор о своем намерении, если информация передается в страны с так называемым адекватным уровнем защиты персональных данных.Если информация передается в иные страны (например, Китай или США), то осуществлять трансграничную передачу можно только после того, как Роскомнадзор разрешит Вам это делать – любая передача данных до момента получения положительного решения, будет нарушать закон. Если Вы понимаете, что выполнить все предписания по защите ПД в Вашем бизнесе некому, я лично и юристы КГ ЭТАЛОН готовы организовать для Вашего бизнеса защиту ПД в соответствии с изменившимся законодательством Помощь юристов КГ ЭТАЛОНПодготовка стандартного набора необходимых документов по персональным данным Базовый комплект (если у вас нет сайта)разработка Политики организации в отношении персональных данных;разработка Положения о персональных данных;разработка комплекта документов, обеспечивающих законность обработки персональных данных работников (форма согласия на обработку персональных данных, форма приказа о допуске к системе ПД, обязательство о неразглашении персональных данных);подготовка формы согласия на обработку персональных данных для клиентов — физических лиц и ИП;подготовка уведомления для Роскомнадзора от оператора персональных данных42 000 руб. Расширенный комплект (если у вас есть сайт)разработка Политики организации в отношении персональных данных;разработка Положения о персональных данных;разработка комплекта документов, обеспечивающих законность обработки персональных данных работников (форма согласия на обработку персональных данных, форма приказа о допуске к системе ПД, обязательство о неразглашении персональных данных);подготовка формы согласия на обработку персональных данных для клиентов — физических лиц и ИП;подготовка уведомления для Роскомнадзора от оператора персональных данных;проведение правового аудита сайта и подготовка заключения с рекомендациями по внесению изменений в части обработки персональных данных;разработка пользовательского соглашения для сайта;разработка политики конфиденциальности для сайта64 000 руб. В случае осложненных вопросов, наличия запросов Роскомнадзора и проч. стоимость определяется по итогам анализа от 70 000 руб. Обратите внимание на дату публикации материала: информация могла устареть из-за изменений в законодательстве или правоприменительной практике. Реализованные проектыПровели комплексный правовой аудит и разработали полный комплект документов по защите персональных данных для российского представительства международного лидера в производстве отопительного промышленного оборудования. Читать далееОрганизовали в IT компании кадровое делопроизводство. Читать далееСоздали договорную обвязку (подготовили договоры и иные документы) для нового направления бизнеса. Читать далееЗащитили Доверителя от взыскания компенсации за нарушение авторских прав на фото Читать далееРазработали систему борьбы с демпингующими продавцами Читать далееЗаблокировали продажу незаконных копий через Озон и другие маркетплейсы Читать далееЗащитили в ФАС агентство интернет – рекламы от обвинений в размещении ненадлежащей рекламы в Яндекс.директ. Читать далееВернули по суду Доверителю 657 тыс. руб. за неоказанные услуги за продвижение в интернете товарных знаков. Читать далееЗащитили товарный знак Доверителя от незаконного использования Читать далееСохранили домен при добровольной ликвидации юридического лица Читать далееВзыскали компенсацию за нарушение прав на товарные знаки в размере больше 46 млн. руб. Читать далееЮристы Консалтинговой Группы ЭТАЛОН защитили Доверителя от «патентного тролля» Читать далееВсе проекты
Провели комплексный правовой аудит и разработали полный комплект документов по защите персональных данных для российского представительства международного лидера в производстве отопительного промышленного оборудования. Читать далее
Создали договорную обвязку (подготовили договоры и иные документы) для нового направления бизнеса. Читать далее
Защитили в ФАС агентство интернет – рекламы от обвинений в размещении ненадлежащей рекламы в Яндекс.директ. Читать далее
Вернули по суду Доверителю 657 тыс. руб. за неоказанные услуги за продвижение в интернете товарных знаков. Читать далее