С 1 июля 2017 года вступят в силу изменения в законе 152-ФЗ, куда вошли ужесточения ответсвенности за несоблюдение закона и повышение штрафов. Теперь привлечь к ответственности стало намного проще — если раньше этим занималась прокуратура, то теперь такими нарушениями может заниматься сам регулятор — Роскомнадзор, в зоне ответственности которого и находится закон о персональных данных.
Всего вышло несколько изменений, связанных с ПДн:
1. Получение разрешения на обработку персональных данных.
Для того, чтобы хранить и обрабатывать ПДн, необходимо получить согласие от пользователя — это не обязательно должна быть электронная подпись, достаточно просто поставить «галочку» и дать согласие на обработку данных при регистрации.
2. Невыполнение оператором обязанности по обеспечению доступа к политике обработки ПДн.
Любой сбор персональных данных на сайтах должен сопровождаться ссылкой на политику обработки данных. То есть, на каждом сайте должен быть такой документ и ссылка на него из формы сбора ПДн. Выглядеть она может подобным образом. Если такого документа не будет — штраф обеспечен.
Штраф от 15 до 30 тысяч рублей.
3. Обработка ПДн в случаях, не предусмотренных законодательством РФ, или обработка ПДн, несовместимых с целями обработки.
Случаи, которые могут привести к нарушению этого пункта, разнообразны и встречаются очень часто:
- оператор не указал цели обработки данных или сделал это неправильно;
- операторы, которые собирают данные не указывая цель обработки или же делая это недостаточно полно;
- при оформлении заказа в Интернет-магазине запрашивать избыточные данные (например, данные паспорта).
4. Обработка ПДн без письменного согласия в случаях, когда оно должно быть по закону.
Здесь риск получить штраф не очень большой, потому что список случаев, когда нужно письменное согласие, невелик. Продвижение товаров и услуг сюда не входит.
Штраф от 15 до 75 тысяч рублей.
5. Невыполнение оператором обязанности по предоставлению частному лицу информации об обработке его ПДн.
Очень сложен порядок запроса информации об обработке персональных данных, он прописан в 152-ФЗ. Сама обязанность о предоставлении информации об обработке ПДн возникает тогда, когда данные получены через третье лицо.
Штраф от 20 до 40 тысяч рублей.
6. Невыполнение в установленные сроки требования (частного лица, его представителя, уполномоченного органа) о блокировании-уничтожении-изменении ПДн.
Это не очень распространённая ситуация, потому что запрос на уничтожение или изменение данных — процесс сложный и встречается очень редко.
Штраф от 25 до 45 тысяч рублей.
7. Невыполнение обязанностей по хранению материальных носителей ПДн.
Если архивы данных хранятся, например, в бумажном виде, то нужно позаботиться о том, что такое хранение надёжно и конфиденциально. Также такие архивы можно перевести в электронный вид.
Штраф от 25 до 50 тысяч рублей.
Важно понимать, что лучше учесть изменения в законодательстве заранее. Это поможет избежать неприятных проблем и больших штрафов.