Требования к защите персональных данных стали жестче, но это требование времени, оформленное законом. Об этом — Виктор Иванович Коршунов, заместитель управляющего Фонда СРО строительной отрасли по правовым вопросам
Фонд СРО строительной отрасли объявляет старт цикла консультаций по информационной безопасности и защите персональных данных организаций. Цикл рассчитан на руководителей компаний и сотрудников, занимающихся обработкой личной информации клиентов и работников. Программы консультаций направлены на повышение осведомленности участников рынка о рисках, связанных с утечками персональных данных, а также ознакомление с практическими инструментами, позволяющими эффективно выстроить внутреннюю систему защиты данных и избежать штрафов от Роскомнадзора.
Несмотря на многочисленные предупреждения и штрафы, российские компании продолжают халатно относиться к хранению и защите персональных данных своих сотрудников и клиентов. Согласно недавним исследованиям, половина российских предприятий уверена в своей готовности соблюдать новые правила обработки персональных данных, однако на практике большинство из них регулярно нарушает законодательство.
С 30 мая 2025 года в Российской Федерации вступили в силу поправки в Кодекс об административных правонарушениях, которые увеличили штрафы за первый случай утечки персональных данных и ввели оборотные (в процентах от годовой выручки) штрафы за повторную утечку.
Штрафы за «утечку»
персональных данных с 30 мая 2025 г.
для юридических лиц:
первичный – от 5 млн до 15 млн. руб.
повторный – от 1 до 3 % годовой выручки, но не менее 20 млн. руб.
Изменения также вводят ответственность не только за утечку как факт, но и за бездействие ответственных лиц. Например, за непредоставление уведомлений об утечках в Роскомнадзор РФ, несоблюдение требований по обработке персональных данных или за продолжение обработки данных по истечении срока ранее данного согласия клиента.
Основные правовые источники законодательства о защите персональных данных:
Федеральный закон от 27.07.2006 г.
«О персональных данных» Ст. 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных»
.
Возвращаясь к результатам опросов, у 55% из этих юридических лиц выявлены пробелы. Самые распространенные — компании не удаляют данные бывших сотрудников из бухгалтерских программ, даже если срок хранения персональных данных истек.
Кроме того, 23% компаний не назначили ответственного за защиту персональных данных. В указанных организациях за это никто не отвечает либо отвечают разные сотрудники.
Среди считающих себя готовыми к новым требованиям таких компаний 22%. Однако и у них отсутствуют полученные согласия на передачу персональных данных сотрудников при привлечении сторонних специалистов к обслуживанию бухгалтерских программ, а также осуществляется хранение в личных делах фотографий сотрудников без их согласия.
Из общей массы не готовых полностью к новым требованиям 80% организаций ограничиваются формальным выполнением требований вроде подачи уведомления в Роскомнадзор, не пересматривая внутренние процессы. Особенно критична ситуация в малом бизнесе и некоммерческих организациях, где часто считают, что закон на них не распространяется.
Причины разрыва между формальной готовностью и реальным положением дел, кроются в технических ограничениях, нехватке компетенции и игнорировании организационных мер. Многие компании активно используют электронный документооборот, что создает ряд сложностей для работы с персональными данными, например, информационная система организации зачастую не позволяет автоматически обезличивать данные сотрудников.
В компаниях часто не закладывают ресурсы на обеспечение соответствия внутренних процессов законодательным требованиям. Ручное управление данными почти гарантирует ошибки, а политики управления, работающие в одной базе данных, могут игнорироваться в других.
Часто компании упускают из виду именно организационные меры, например, не разрабатывают или не актуализируют локальные акты, не фиксируют процедуры обработки и не обучают персонал, не занимаются шифрованием персональных данных, не ограничивают доступ к ним по принципу минимально необходимого. Резервное копирование данных бывает нерегулярным или вообще отсутствует.
«То, что ранее многие СРО были внесены в реестр операторов обработки персональных данных — это хорошо. Однако, за последние 5 лет изменилось не только само законодательство о персональных данных, но и позиции Роскомнадзора. Кроме того, персональные данные саморегулируемыми организациями все больше обрабатываются на компьютерах. Исходя из этого, от СРО потребуется дополнительное уведомление в Роскомнадзор по обработке ПД, т. е. об увеличенном их объеме».
Александр Львович Разживин
руководитель Инспекций Ассоциаций «СРО «ОПСР» и «СРО «ОРПД»
«Предварительно наша организация должна подать обновленное уведомление в Роскомнадзор, добавив в него следующие цели обработки персональных данных:
— обеспечение доступа к информации о деятельности членов;
— ведение реестра членов СРО;
— ведение кадрового, бухгалтерского учёта;
— обеспечение трудового, налогового, пенсионного, страхового законодательства, участия лица в судопроизводстве, исполнительном судопроизводстве;
— работа по гражданско-правовым договорам.
Весь этот объем нужно пропустить «через себя», оценив все процессы, происходящие внутри организации».
Владимир Георгиевич Замесов
директор Ассоциации «Благоустройство и дизайн»
Присоединяйтесь к обсуждению: