Защита персональных данных | Юридические услуги в Москве

Защита персональных данных сегодня – это не формальность, а важная часть обеспечения правовой безопасности бизнеса. Федеральный закон 152-ФЗ «О персональных данных» обязал каждую фирму провести организационные и технические мероприятия по защите персональных данных своих работников, клиентов и третьих лиц, получать у них согласие на обработку данных, направлять уведомления об обработке таких данных в Роскомнадзор, обеспечивать хранение информации в российских базах данных и многое другое. Нарушение этих требований влечет для компаний серьезные штрафы и даже уголовную ответственность.

Возможности юристов КГ ЭТАЛОН по защите персональных данных

Базовый комплект (если у вас нет сайта)

разработка Политики организации в отношении персональных данных;
разработка Положения о персональных данных;
разработка комплекта документов, обеспечивающих законность обработки персональных данных работников (форма согласия на обработку персональных данных, форма приказа о допуске к системе ПД, обязательство о неразглашении персональных данных);
подготовка формы согласия на обработку персональных данных для клиентов — физических лиц и ИП;
подготовка уведомления для Роскомнадзора от оператора персональных данных

50 000 руб.

Получить предложение

Расширенный комплект (если у вас есть сайт)

разработка Политики организации в отношении персональных данных;
разработка Положения о персональных данных;
разработка комплекта документов, обеспечивающих законность обработки персональных данных работников (форма согласия на обработку персональных данных, форма приказа о допуске к системе ПД, обязательство о неразглашении персональных данных);
подготовка формы согласия на обработку персональных данных для клиентов — физических лиц и ИП;
подготовка уведомления для Роскомнадзора от оператора персональных данных;
разработка пользовательского соглашения для сайта;
разработка политики конфиденциальности для сайта

72 000 руб.

Получить предложение

Запрос Роскомнадзора

стоимость определяется по итогам анализа

от 70 000 руб.

Получить предложение

Бесплатный гайд без регистрации:

8 главных рисков по работе бизнеса с персональными данными и их минимизация.

Трансграничная передача персональных данных

Реализованные проекты

Защитили IT-компанию от многомиллионных штрафов по работе с персональными данными.

Защитили права на сайт по продаже онлайн-тренингов стоимостью более 100 млн рублей и доменного имени стоимостью 30 млн рублей в год.

Провели комплексный правовой аудит и разработали полный комплект документов по защите персональных данных для российского представительства международного лидера в производстве отопительного промышленного оборудования.

Организовали в IT компании кадровое делопроизводство.

Все проекты

Что такое персональные данные

Персональные данные (ПД) – это любые данные, которые относятся к конкретному лицу и по которым возможно идентифицировать конкретного человека.

Идентификация конкретного физического лица точно возможна, если отдельные данные (дата рождения, семейное положение, должность, табельный номер) можно соотнести с полным именем конкретного человека (ФИО).

Отдельное сочетание сведений также образует возможность идентификации лица. Например, должность, которую занимает в компании один человек, и его адрес регистрации. Генеральный директор компании N проживает по адресу… – согласитесь, можно понять, о ком речь?

В этой связи законодательство возлагает на организации обязанность построить адекватную систему защиты персональных данных, в том числе в сети Интернет, по которым можно идентифицировать конкретных лиц.

- Принимаете на работу сотрудников?

Получите их согласие на обработку персональных данных.

- Передаете их данные для печати визиток, а затем раздаете их на встречах, выставках и конференциях?

Получите их согласие на распространение персональных данных.

- Продаете свои товары, услуги через сайт или просто просите пользователей в Интернет ввести свои данные при регистрации?

Получите согласие пользователей на обработку их данных.

Кого касается закон О защите персональных данных

Всех работодателей:

Подать уведомление о включении в реестр Роскомнадзора обязан любой работодатель, имеющий заключенные трудовые договоры.

Всех организаций, взаимодействующих с физическими лицами через интернет:

Субъект персональных данных сможет выразить свое согласие только активными действиями. То есть пользовательские соглашения, условия которых принимаются путем «продолжения использования сайта», противоречат закону. При этом продавец (исполнитель, владелец агрегатора) не вправе отказать потребителю в заключении, исполнении, изменении или расторжении договора в связи с отказом последнего предоставить свои персональные данные.

Юридических лиц с иностранным участием:

От оператора будет требоваться уведомление Роскомнадзора о намерении осуществлять трансграничную передачу персональных данных.

Для передачи персональных данных в страны, обеспечивающие адекватную защиту прав субъектов персональных данных (например, Китай, Грузия, Турция, Южная Корея), такое уведомление носит уведомительный характер – получать разрешение на передачу не требуется.

Для стран, не обеспечивающих адекватную защиту прав субъектов персональных данных (например, США), уведомление носит разрешительный характер и передача персональных данных возможна только после прямого одобрения Роскомнадзора.

Трансграничная передача персональных данных

Необходимо направить в РКН специальное уведомление о намерении осуществлять трансграничную передачу персональных данных.

проконсультируем по вопросам трансграничной передачи персональных данных
подготовим проект уведомления в Роскомнадзор о трансграничной передаче персональных данных

Обязанности компаний в сфере защиты персональных данных

Если организация работает с персональными данными, она должна соблюдать следующие требования:

находиться в реестре операторов персональных данных и обеспечивать их обработку на основе российских баз;
обеспечивать сохранность и конфиденциальность хранимой информации, собирать и использовать только нужные для конкретной цели данные;
иметь систему локальных нормативных актов, регламентирующих порядок работы с персональными данными;
опубликовать на официальном сайте (в случае его наличия) политику конфиденциальности и пользовательское соглашение;
запрашивать отдельное согласие пользователя перед сбором персональных данных любым способом: через форму обратной связи, кнопку для звонка, регистрацию, заполнение анкеты и др.;
предупреждать пользователей о сборе метаданных (cookies, данные об IP-адресе и местоположении) на сайте;
сообщать клиенту, какие данные о нем имеются у компании, если он запросит эту информацию;
удалять или уточнять персональные данные по требованию клиента.

Ответственность за нарушения

Штрафы:

За неподачу или несвоевременную подачу уведомления о включении в реестр операторов персональных данных (подпадает фактически весь бизнес, сталкивающийся с персданными работников, клиентов / контрагентов) – до 300 тыс. руб.
За каждый случай незаконной обработки персональных данных, с нарушением целей сбора для компаний составляют до 300 тыс. рублей за первое нарушение и до 500 тыс. руб. за повторное нарушение.
За обработку персональных данных граждан РФ без использования российских баз данных составляют 6 млн руб. за первое и 18 млн руб. за повторное нарушение. Первичный сбор данных всегда должен быть с использованием российских баз данных / на российских серверах. Дальнейшая передача данных зарубеж возможна, но с соблюдением условий трансграничной передачи данных. Несмотря на высокие штрафы, многие компании продолжают собирать персональные данные с помощью иностранных баз данных.
За утечку персональных данных – до 15 млн рублей(размер будет зависеть от количества лиц, чьи данные были неправомерно переданы), а за утечку биометрических персональных данных – до 20 млн рублей.
За повторную утечку персональных данных предусмотрены оборотные штрафы в размере от 1 до 3 % годовой выручки, но не менее 25 млн рублей и до 500 млн рублей.

При этом штрафы за нарушение законодательства о персональных данных не просто огромные, а многократные. Штраф назначается за каждое нарушение. Например, при отсутствии согласий на обработку персональных данных штраф может взиматься за каждого сотрудника или клиента, даже если их сотни.

Важно: с 11 декабря 2024 года введена уголовная ответственность за незаконные использование, передачу, сбор или хранение компьютерной информации с ПД, а также создание или поддержку информационных ресурсов, предназначенных для незаконных хранения или распространения такой информации с ПД. Санкции суровы – по данной статье 272.1 УК РФ возможно наказание в виде лишения свободы сроком до 10 лет.

Что необходимо сделать

Проверить, включена ли Ваша организация в реестр операторов Роскомнадзора. Если нет – срочно подать такое уведомление. За невыполнение (и несвоевременное выполнение) этой обязанности после 30 мая 2025 года компания может быть оштрафована на сумму до 300 тысяч рублей.

Если одновременно с фактом неуведомления будет установлен факт неправомерной передачи персональных данных, повлекших нарушение прав субъектов, то штраф может достигать суммы в 3 миллиона рублей.

Разработать и внедрить систему оповещения Роскомнадзора о компьютерных инцидентах и порядок расследования таких инцидентов внутри организации. Эти требования касаются любого бизнеса, у которого есть работники по трудовому договору.
Актуализировать документы о защите персональных данных и привести их в соответствие с новыми нормами. Серьезно расширились требования к форме согласия на обработку персональных данных, нужны изменения в Положениях о персональных данных и Политиках конфиденциальности. В обязательном порядке требуется новая форма поручения на обработку персональных данных аутсорсинговым компаниям (бухгалтерский аутсорс и т.д.), отдельное согласие на распространение персональных данных. Согласие на обработку персональных данных всегда должно получаться отдельно от других документов.
Если Ваш бизнес с участием иностранного капитала или Вы передаете персональные данные головному офису за пределами РФ, необходимо актуализировать внутренние политики, уточнить протоколы взаимодействия между российским юридическим лицом и иностранной компанией, перенести сбор данных в российские базы данных, подать уведомление о трансграничной передаче данных.

Защита персональных данных клиентов

Собирайте и используйте только те персональные данные, которые можно запрашивать или которые нужны для достижения конкретной цели;

Опубликуйте на официальном сайте Вашей организации политику конфиденциальности и пользовательское соглашение.
Всегда запрашивайте отдельное согласие пользователя при любом сборе персональных данных: через личные кабинеты, формы обратной связи, подписки, регистрации, анкеты, кнопки для заказа звонка или отправки сообщения.
По запросу клиента сообщайте, какие данные о нём у Вас есть, как и для чего они обрабатываются и кому они переданы.
По требованию клиента уточняйте, блокируйте и удаляйте его персональные данные.
Не раскрывайте без законных оснований персональные данные клиентов третьим лицам;
Показывайте всем новым пользователям сайта предупреждение о сборе метаданных пользователя (cookies, данные об IP-адресе и местоположении) для функционирования сайта.

Защита персональных данных сотрудников

По защите персональных данных работников всегда возникает много вопросов:

Что делать с персональными данными кандидата?
Можно ли хранить копию паспорта и других документов?
Можно ли вести обработку персональных данных близких родственников работника?
В каких случаях можно передавать персональные данные работника без сбора согласий?

Правильная организация защиты персональных данных работников — это не только формальность, но и способ избежать споров и претензий со стороны сотрудников и проверяющих органов.

Соблюдение законодательства о защите персональных данных контролирует Роскомнадзор. Проверки бывают плановые и внеплановые. О внеплановой проверке организация может узнать всего за 24 часа. Чтобы избежать рисков, бизнесу необходимо заранее наладить систему защиты персональных данных, особенно при работе через интернет.

В каких случаях может потребоваться помощь юриста по защите персональных данных

При оформлении документов. Например, в случае открытия нового интернет-магазина необходимо документально подтвердить выполнение компанией российского законодательства в сфере защиты персональных данных: политику в отношении Cookies, обработки персональных данных, предоставляемых пользователю.

При составлении текстов пользовательских соглашений, публичных оферт и т. д. Речь идет о документах, принимая которые пользователь соглашается на обработку своих персональных данных.

Если Роскомнадзор утверждает, что правила уже нарушены. Если при плановой или внеплановой проверке ведомство обнаружило нарушение, а представители компании уверены, что на самом деле его не было или оно было не столь существенно, штраф можно оспорить. Для этого, заручившись поддержкой юриста по защите персональных данных, необходимо обратиться в суд по правилам подведомственности и подсудности.

Правовая защита персональных данных – ключевой элемент безопасности современного бизнеса. Защита персональных данных сотрудников и клиентов, а также юридически верная организация процессов в интернете позволяют избежать крупных штрафов и сохранить репутацию компании.

Если Вам нужна квалифицированная помощь в защите персональных данных в Москве или в другом регионе, юристы КГ ЭТАЛОН помогут выстроить систему, соответствующую актуальным требованиям закона, и обеспечить надежную правовую защиту персональных данных.

Часто задаваемые вопросы

Кто контролирует соблюдение требований по защите персональных данных моих сотрудников и клиентов? Чем мне грозит их несоблюдение?

Контролем занимается Роскомнадзор – именно в его адрес вы направляете уведомление об обработке таких данных. Несоблюдение законодательства в данной сфере влечет за собой серьезные штрафы, причем не за факт нарушения в целом, а за несоблюдение прав каждого отдельного клиента или сотрудника, за каждый отсутствующий документ. В результате штраф может быть очень серьезным.

Как я могу быть уверен, что разработанная для меня документация по защите персональных данных соответствует требованиям закона?

Составлением текста документов занимаются опытные специалисты, имеющие высокую квалификацию именно в этой сфере. В этом передача данных работ сторонней компании предпочтительнее работы штатного юриста, который не имеет такого опыта и при всем желании соблюсти все требования законодательства по этой причине может допустить ошибку.

Над комплектом документов для меня будет работать один юрист?

В рамках составления базового и расширенного комплекта документов, необходимых операторам персональных данных, мы можем задействовать нескольких специалистов, имеющих разную квалификацию. Это позволяет исключить вероятность ошибки и полностью соблюсти требования законодательства. Мы гарантируем соответствие содержания документов букве закона.

Роскомнадзор утверждает, что моя компания допустила нарушение. Что делать?

Если Вы уверены, что нарушение отсутствует, для защиты своих прав обратитесь к юристу по защите персональных данных. Он поможет обратиться в суд для оспаривания штрафа полностью или в части.

У нас есть комплект документов, связанных с защитой персональных данных в интернете. Но законодательство в этой сфере меняется так быстро, что мы не уверены, что компания ничего не нарушает. Вы можете оценить наши документы на соответствие закона?

Законодательство действительно быстро меняется, но мы держим руку на пульсе и своевременно отслеживаем все изменения. Мы готовы проанализировать документы вашей компании, оценить риски, предложить изменения и дополнения, которые необходимо внести или же предоставить полный комплект документов, связанных с защитой персональных данных в интернете.