О чем речь. Персональные данные — это любая информация, по которой человека можно хотя бы косвенно идентифицировать: имя и фамилия, номер телефона, e-mail, паспортные данные, дата рождения, адрес, cookie-файлы и другая.
Чтобы хранить и использовать персональные данные, бизнес должен получить согласие на их обработку у человека, которого касается эта информация.
За утечку персональных данных ИП и малые предприятия могут получить штраф от 10 000 до 20 000 ₽, а средние и крупные компании — от 50 000 до 100 000 ₽.
Что произошло. Появился закон о новых требованиях к обработке персональных данных. Большинство положений начнут действовать с 1 сентября 2022 года, а остальные — позже.
При утечке персональных данных операторы должны в течение 24 часов уведомить Роскомнадзор об инциденте. В сообщении нужно указать предполагаемую причину утечки, оценить вред и рассказать, что оператор предпринял для устранения проблемы. В течение 72 часов после утечки нужно отправить еще одно сообщение — с результатами внутреннего расследования происшествия.
Закон также обязывает сообщать об инцидентах в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак — ГосСОПКА.
Подключиться к системе можно с помощью компаний, которые заключили с ней соглашение и настроили безопасную передачу данных. Это, например, Ростелеком-Солар, ИнфоТеКС или Код Безопасности.
Дополнительно к ранее регламентированным ситуациям бизнес обязан уведомлять Роскомнадзор до начала обработки персональных данных в трех случаях.
1. Когда персональные данные принадлежат сотрудникам компании. Это коснется всех работодателей — до начала обработки данных нового работника придется сообщать об этом в Роскомнадзор. При этом отдельно получать статус оператора персональных данных будет не нужно.
Если не сообщить в Роскомнадзор до начала обработки данных, ИП и малые предприятия могут получить штраф 1500—2500 ₽, а средние и крупные компании — от 2500 до 5000 ₽. Уведомление подают один раз — без указания конкретного работника. Поэтому и штраф может быть только один.
2. Если оператор обрабатывает данные контрагента по поручению последнего. Например, интернет-магазин «Спорт» нанял компанию «Информационная защита», чтобы та занималась обработкой персональных данных клиентов магазина. «Информационная защита» должна сообщить в Роскомнадзор о начале работы с личными данными клиентов другой компании.
3. Если эта информация нужна для однократного пропуска гражданина на территорию оператора. Например, курьер привез документы в бизнес-центр, куда пускают только по паспорту. Охранник фиксирует данные курьера. До того как начать обрабатывать собранные данные, компания, управляющая бизнес-центром, должна уведомить Роскомнадзор.
Прежде чем обрабатывать личные данные, нужно перечислить их список человеку, которому они принадлежат.
Если Роскомнадзор или гражданин обратился к оператору по поводу незаконной обработки данных, бизнес должен ответить в течение десяти дней. Раньше этот срок был 30 дней.
Новый закон установил, что оператор не может отказаться от обслуживания клиента, если тот не предоставил свои биометрические данные — отпечаток пальца, голос и другие.
Операторов обязали сообщать в Роскомнадзор, если они намерены передать личные данные россиян за границу. Роскомнадзор будет вправе запретить это. Кроме того, Роскомнадзор получил право относиться к личным данным россиян у зарубежных компаний так, будто они находятся у отечественных. Это значит, что ведомство сможет контролировать, как иностранные операторы обрабатывают данные россиян.
Что это значит для бизнеса. Работа с персональными данными становится сложнее и объемнее. Придется чаще контактировать с Роскомнадзором и быстрее реагировать на его запросы.