Персональные данные 2024: Новые требования Роскомнадзора ко всем юрлицам и ИП

До недавнего времени большинство компании не уделяли должного внимания требованиям закона о персональных данных. Однако 1 сентября 2022 года ситуация изменилась: поправки в Федеральный закон «О персональных данных» обязали как юридических лиц, так и ИП пройти регистрацию в Роскомнадзоре. Затем в 2023 году произошло усиление государственного контроля за деятельностью бизнеса в части обработки биометрических персональных данных, уничтожения данных, а также трансграничной передачи персональных данных. И под елочку 2024 Роскомнадзор увеличил штрафы за обработку персональных данных без письменного согласия до 700 тысяч рублей, что является одним из самых распространенных нарушений при сборе персональных данных в сети «Интернет». Одним из основных изменений, коснувшимся большинства компаний, является обязанность уведомления Роскомнадзора об обработке персональных данных. Можно с уверенностью сказать, что каждый оператор обработки персональных данных должен уведомлять Роскомнадзор. Уведомления обязаны направлять не только юридические лица и ИП, но и обычные граждане, обрабатывающие персональные данные. Уведомление о начале обработки ПДн подается компанией один раз, и содержит все сведения, требуемые для внесения информации об операторе в реестр. Далее подаются только уведомления об изменении сведений. Каждый раз, когда меняются информация, внесенная в реестр, будь то объем обрабатываемых данных, или ответственный за их обработку, оператор уведомляет Роскомнадзор не позднее 15 числа следующего месяца. Уведомление о прекращение обработки направляется исключительно в случае прекращения деятельности компании. Подать уведомления можно на бумажном носителе или в электронном виде через сайт уполномоченного органа. Также изменились требования к документообороту. При обработке персональных данных оператор и ранее должен был вести документацию, но из-за бесконтрольности со стороны Роскомнадзора, компании ограничивались получением согласий на обработку персональных данных, и то не всегда. Теперь подход изменился, организации, внесенные в реестр, будут проверять по-прежнему, однако больше внимания уделяют незарегистрированным компаниям и наличию у них требуемой документации. Какие локальные акты необходимы для работы с персональными данными? Анализируя законы и подзаконные нормативные правовые акты, можно найти прямое указание на десятки документов обязательных для ведения. Рассмотрим основные. Первый документ, с которым придется столкнуться – согласие на обработку персональных данных. Образцов согласия должно быть несколько - для работников, клиентов, соискателей и т.д. Политика оператора по обработке персональных данных – это главный документ компании, который содержит основные принципы работы с информацией о гражданах. Поскольку все операторы используют средства автоматизации, в компании должна быть принята модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. И это лишь часть базовых документов, у оператора должны быть матрица доступа к ИСПДн, планы контроля, обязательства о неразглашении, положения, регламенты, инструкции, порядки, принятые к ним акты и журналы, и многое другое. Основные санкции за нарушения законодательства о персональных данных содержатся в статье КоАП РФ:Не опубликование политики и непредставление сведений субъекту будет стоить компании 60 и 80 тыс. руб. соответственно. Нарушение порядка обработки персональных данных, например обработка несовместимая с целями, грозит штрафом до 300 тыс. руб., а отсутствие согласия на обработку может обойтись в 1.5 млн. руб. Разглашение персональных данных при обработке без средств автоматизации наказывается штрафом в 100 тыс. руб. Кроме того, в текущем году наблюдается рост количества проверок со стороны Роскомнадзора. Здесь вы можете ознакомиться с примерами таких предписаний и понять какую информацию запрашивает контролирующий орган -