Новые штрафы за утечку персональных данных: как подготовиться

С начала 2022 года сразу две известные российские компании нарушили правила работы с личной информацией клиентов. В феврале в свободном доступе оказались сведения о 78 000 пользователях «Яндекс Еды», в мае – о 30 млн пациентов клиник «Гемотест».

Закон устанавливает низкие штрафы в этой сфере. В соответствии со ст. 13.11 КоАП РФ они составляют от 60 000 до 100 000 руб., при повторном нарушении – 500 000 руб.

Например, «Яндекс Еда» получила минимальное взыскание в 60 000 руб. Эксперты по кибербезопасности считают, что такие суммы не соответствует тяжести нарушения.

Минцифры планирует ужесточить наказание для бизнеса за утечку частной информации. Штрафы станут оборотными и составят минимум 1% годовой выручки предприятия. Для крупных организаций это в сотни и тысячи раз больше, чем сейчас.

Изменения могут вступить в силу до конца 2022 года. На бизнес также возложат обязанность уведомить Роскомнадзор и ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак) о произошедшем инциденте. Если этого не сделать, штраф вырастет в три раза.

Чтобы подготовиться к нововведениям, еще раз проанализируем закон «О персональных данных» №152-ФЗ.

Вы обязаны соблюдать его требования, когда:

• ведете корпоративный блог с возможностью комментировать материалы;
• продаете товары через интернет;
• ведете email-рассылку;
• иным образом собираете клиентские базы.

Законодательство не дает полного перечня такой информации.

К ней относят любые сведения о клиенте:

• имя;
• электронная почта;
• ИНН;
• телефон;
• место работы;
• образование;
• профессия;
• cookie-файлы, собираемые веб-сайтами;
• другие.

Каждый из этих пунктов по отдельности не является персональными данными. Но чаще всего клиент предоставляет сведения в связке, что позволяет идентифицировать его. Например, Иванов И. И., +7 (900) 000 00 00. Такую информацию контролирующие органы относят к персональным данным.

На практике встречаются ситуации, когда сведения о клиенте даже без привязки подпадают под требования закона №152-ФЗ. Окончательное решение вынесет Роскомнадзор.

Нужно заранее продумать порядок работы и провести подготовку по следующей схеме.

Этап 1. Разработать документы

Каждое предприятие самостоятельно определяет комплект документов и их содержание. Они должны полностью отражать обязанности, установленные законодательством.

Обычно комплект включает акты:

• Политика по обработке персональных данных. Название может отличаться, но политика – обязательный документ, его готовит каждый оператор. В ней отражают список сведений, с которым работает предприятие, цель их обработки и меры по защите. Обеспечьте доступ клиентов к политике. Например, разместите на отдельной странице сайта. Чтобы не ошибиться при разработке политики, изучите рекомендации, размещенные на сайте Роскомнадзора.
• Соглашение на обработку данных. Его дают клиенты, когда отправляют вам информацию о себе. Соглашение не обязательно оформлять отдельным документом – иногда его включают в политику.
• Положение по работе с персональными данными. Устанавливает, как именно сотрудники работают с ними.
• Положение о неразглашении. Подписывают работники, обрабатывающие чужую частную информацию. Это гарантирует ее конфиденциальность.
• Приказы и инструкции. Нужны для назначения ответственных лиц.

Этап 2. Уведомить Роскомнадзор

Выбирайте один из трех каналов:

• подписать и выслать бумажный документ;
• заполнить электронный бланк;
• подписать и подать заявку через Госуслуги.

Форма заявления выложена на сайте Роскомнадзора. Заявки обрабатывают в течение месяца.

Внимание. Если вы прекратите работу со сведениями клиентов, следует также уведомить об этом Роскомнадзор.

Этап 3. Назначить ответственное лицо

Компания также должна выбрать сотрудника, который проконтролирует работу с персональными данными, и издать приказ об этом. Например, за технические аспекты отвечает системный администратор, за документальное оформление – юрист.

Внимание. Нельзя использовать информацию о клиенте, пока он не предоставит вам согласие.

Закон также запрещает обрабатывать сведения, которые человек самостоятельно разместил в общем доступе, например, на странице в соцсетях.

Форма согласия может быть любой. Следите, чтобы пользователь мог сначала ознакомиться с вашей политикой по обработке данных, а уже потом согласиться на использование сведений о себе.

Как правило, согласие дается в специальных разделах на сайте. Например, при подписке на рассылку, регистрации в интернет-магазине или просмотре страниц сайта (для cookie-файлов).

Если вы работаете офлайн, подготовьте бумажную форму согласия.

Внимание. Не выходите за перечень сведений, которые передал вам клиент. Если в политике прописана обработка только электронной почты и фамилии, нельзя дополнительно запрашивать у клиента телефон.