Что будет, если не соблюдать 152-ФЗ?
152-ФЗ «О персональных данных» действует на территории Российской Федерации с далекого 2006 года. За 18 лет закон очень расширил свои границы, практически каждый квартал в законе появляются дополнительные требования и поправки.
Закон «О персональных данных» обязаны соблюдать все компании (операторы), которые хранят или собирают любые персональные данные. То есть те компании, у кого имеется сайт, сотрудники или база клиентов. А значит практически все.
Главная цель 152 Федерального закона «О персональных данных»
152-ФЗ направлен на защиту личной информации физического лица от неразрешенного доступа к ней и предотвращение незаконного хранения и последующей обработки. Обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Исполнение этого закона решает важную проблему современности — использование личных данных человека незаконным путем.
Контроль исполнения 152-ФЗ и штрафы
Точный и правильный процесс обработки персональных данных по 152-ФЗ контролирует Роскомнадзор. С марта 2021 года административная ответственность за нарушения в области персональных данных ужесточена.
Осторожно!
Высокие штрафы!
- от 2 до 100 тысяч руб. для физического лица
- от 6 до 800 тысяч руб. для должностного лица
- от 5 тысяч до 18 миллионов руб. для ИП
- от 30 тысяч до 18 миллионов руб. для юридического лица
Вам необходим аудит сайта на соответствие требованиям
152-ФЗ?
Ответственность за нарушение закона о персональных данных зависит от вида нарушения. В случае, когда оператор не защищает персональные данные, а кто-то намеренно или случайно получает к ним доступ, его оштрафуют.
Закон защищает пострадавших, чьи персональные данные были утеряны оператором. Если в результате утечки информации пострадает физическое лицо, то компания допустившая это, должна компенсировать ущерб пострадавшему лицу — всё по тому же закону о защите персональных данных.
Какие документы должны быть у компании, которая ведет деятельность в соответствии с требованиями 152-ФЗ?
Согласие на обработку персональных данных
Это основной документ, который вы даете на подпись каждому, чьи персональные данные вы собираете. Это могут быть покупатели на кассе в магазине, сотрудники предприятия, абитуриенты в учебном заведении или даже посетители ночного клуба, которым выдается карта лояльности в обмен на персональные данные. Согласие на обработку персональных данных необходимо давать на подпись всем, чьи ПД вы собираете лично, офлайн. В документе должны быть прописаны конкретные данные, которые вы собираете, и для каких целей ваша компания это делает.
Кстати, если ваша компания собирает данные только на своем сайте — такое согласие подписывать не нужно. В таком случае вам понадобится документ о политике конфиденциальности, опубликованный на вашем сайте, а согласие ваших пользователей вы можете получать через форму.
Положение об обработке и защите персональных данных
Документ, который необходимо предъявлять аудитории, с которой вы подписываете согласие на обработку персональных данных — лично. Именно в этом документе должны быть прописаны цели сбора данных, а также сроки их обработки, хранения, и порядок их уничтожения.
Политика конфиденциальности
Документ компаний, которые собирают персональные данные через сайт. Чтобы пользователи сайта могли ознакомиться, для каких целей собирают их персональные данные — документ «Политика конфиденциальности» размещается на сайте в доступном месте.
Ссылку на данный документ следует добавить в пользовательское соглашение. Для форм, в которых пользователи оставляют свои ПДн, требуется чекбокс со стандартной фразой: «Соглашаюсь на обработку персональных данных в соответствии с политикой конфиденциальности».
Когда компания должна уведомить Роскомнадзор о сборе Персональных данных?
Сбор персональных данных у сотрудников предприятия не требует уведомлений в РНК. Сбор персональных данных у покупателей требует уведомлений в Роскомнадзор — в таком случае вам следует пройти регистрацию, как оператор персональных данных. Уведомления отправляются онлайн, на официальном сайте проверяющего органа Роскомнадзор.
Компании, которые не уведомляют контролирующий орган о сборе персональных данных — совершают административное правонарушение, которое влечет за собой уплату денежного штрафа
- 100–500 руб. — штраф для физических лиц
- 300–500 руб. — штраф для должностных лиц и ИП
- 3 000–5 000 руб. — штраф для юридических лиц
Как подготовиться к проверке сайта Роскомнадзором?
Краткая инструкция
для осуществления требований 152-ФЗ
- Обеспечьте защиту данных: установите антивирус, предотвратите доступ посторонних к персональным данным
- Разработайте пакет документов: соглашение об обработке, политика конфиденциальности
- Разработайте модель угроз безопасности персональных данных, которая поможет вам определить требования к безопасности системы или процесса
- Назначьте ответственное лицо за обработку персональных данных и составьте список тех, кто будет иметь доступ к данным
- Своевременно уведомите Роскомнадзор о том, что вы обрабатываете персональные данные
- Подготовьте форму согласия на обработку персональных данных и получайте согласие от каждого человека, чьи данные вы собираете