В сентябре изменился Закон о персональных данных. Теперь предприниматели должны сообщать в Роскомнадзор, что они собирают или обрабатывают персональные данные. Рассказываем про главные изменения и как отправлять отчеты в РКН.
Самое главное изменение
Теперь ИП и ООО должны не просто собирать персональные данные сотрудников и клиентов, но и отправлять информацию в Роскомнадзор, то есть информация должна обязательно поступать в регулятор.
При этом Роскомнадзор работает довольно открыто и отвечает на любые вопросы предпринимателей. Поэтому процесс стал строже, но все не так сложно.
Что такое персональные данные
Эта любая информация, по которой можно идентифицировать человека. Например, фамилия или паспортные данные. У любого бизнеса масса направлений, где проходит сбор персональных данных:
- Трудоустройство сотрудников.
- Договоры с клиентами.
- Информация, которую собирают с разрешения физлица.
- Пропуск на территорию предприятия.
Все это персональные данные, так как для оформления нужны документы, которые содержат информацию о человеке.
Доступ к персональным данным должен быть только у сотрудников, которые с ними работают. Например, бухгалтер или HR. Для доступа они должны использовать логин и пароль.
Персональные данные удаляют, если в них больше нет необходимости, истек срок хранения или сотрудник запретил обработку информации о себе.
Как отправлять уведомления в Роскомнадзор
Надо сказать, что уведомлять контролирующий орган нужно при условии, что вы собираете данные с помощью электронного устройства. Роскомнадзор не ждет, что вы сообщите ему о вашем журнале, где данные записывают ручкой.
Отправить уведомление нужно только 1 раз. Начали сбор данных и сообщаете об этом в РКН. Получается, что не стоит это делать при приеме каждого нового сотрудника. А вот если вы давно собираете данные, но не сообщали об этом, то придется это сделать.
Для этого есть 3 способа:
- Бумажное заявление по специальной форме.
- Заявление через Госуслуги.
- Уведомление через сайт Роскомнадзора, которое подписывают усиленной квалифицированной подписью.
Плюс в самой компании нужно принять внутренние документы о сборе персональных данных: ответственные, правила сбора и защиты данных. Это прописано в статьях 18.1 и 19.
Если произошла утечка персональных данных, то об этом надо сообщить в течение 24 часов, а еще 72 часа дают на проведение внутреннего расследования. У Роскомнадзора есть специальная форма для этого.
Что еще изменилось в законе
Если бизнес собирает персональные данные с помощью сторонних компаний, то нужно обязательно указать это в уведомлении для Роскомнадзора. Плюс надо высылать отдельное уведомление, если персональные данные отправляют за границу. Кстати, РКН может это запретить.
Сотрудник должен дать согласие на обработку персональных данных и имеет право отказать в этом. Более того, каждый работник получил право требовать информацию о том, как компания собирает и обрабатывает ПД. Работодатель должен в течение 10 дней предоставить подробный отчет.
Штрафы за неправильное хранение ПД
Санкции прописаны в КоАП РФ. Статья 13.11 предполагает такие наказания:
- От 30 000 до 150 000 рублей. Зависит от нарушения.
- До 300 000 рублей за повторное нарушение.
Сейчас активно обсуждают штрафы за утечку персональных данных. Но уже сегодня за неправильную локализацию (хранение) персональных данных можно получить штраф от 6 до 18 миллионов рублей.