Новые правила обработки персональных данных в 2023 году: условия и риски
Наша команда анализирует информированность бизнеса об изменениях в 152-ФЗ, которые устанавливают новый порядок работы с данными. В рамках практики работы с персональными данными и защиты информации мы проводим оценку сайтов, а также полную проверку системы обработки и защиты персональных данных в компаниях для предотвращения правовых рисков.
Что изменилось?
В рамках усиления контроля за соблюдением условий сбора персональных данных в России поменялось регулирование в области обработки персональных данных. Согласно изменениям в Федеральный закон «О персональных данных» от 27.07.2006 №152-ФЗ, вступившим в силу с 1 сентября 2022 года, а частично с 1 марта 2023 года, ужесточились требования к содержанию документов, определяющих законный сбор и обработку данных граждан, а также соблюдению прав граждан на добровольную передачу своих данных оператору. В частности, поменялось содержание текста согласия на обработку персональных данных, а для каждой цели обработки оператору персональных данных теперь необходимо получать самостоятельное согласие. В политику конфиденциальности компании требуется включать новые процедуры и сроки, а в отношении отдельной цели обработки сегодня необходимо подробно регламентировать индивидуальные условия обработки данных. Кроме того, изменены сроки реагирования на запросы субъектов персональных данных и правила подачи уведомлений в Роскомнадзор о начале, изменении и прекращении обработки данных. Заметным нововведением для бизнеса также стала необходимость разработки дополнительных внутренних документов, в том числе определяющих оценку вреда и риск утечки данных, а также порядок хранения и уничтожения персональных данных, кроме того, введены новые требования к поручениям на обработку персональных данных.
По закону любые юридические лица или ИП, которые собирают персональные данные своих заказчиков (включая потенциальных клиентов), сотрудников или любых иных физических лиц, в бумажном виде, на корпоративном сайте, в группах и мессенджерах в социальных сетях, выступают операторами персональных данных и обязаны соблюдать новые требования 152-ФЗ. К персональным данным относится любая информация, которая потенциально может определить лицо, в том числе имя, телефон или электронная почта, вне зависимости от полноты и достоверности ее представления таким лицом.
Проблематика
Операторы персональных данных, особенно работающие с чувствительными категориями персональных данных, а также привлекающие клиентов в сети Интернет, зачастую плохо информированы о новых изменениях и часто используют шаблоны документов, размещенных на других сайтах, или не актуализируют ранее разработанные документы применительно к своей деятельности. В последнее время Роскомнадзор при проведении проверок обращает особое внимание на данные факты и в большинстве случаев привлекает компании к ответственности за формальное несоответствие декларируемых документов фактическим условиям обработки данных.
Что делать бизнесу?
В целях снижения рисков, связанных с негативными правовыми последствиями, рекомендуем проанализировать документацию, регулирующую вопросы обработки персональных данных.
Прежде всего, необходимо провести ревизию политики конфиденциальности, согласий на сбор и обработку персональных данных, проверить полномочия лиц, которые имеют доступ к таким данным, а также уведомить Роскомнадзор о новых условия обработки данных. С учетом новых требований требуется изменить и скорректировать внутренние локальные акты и регламенты, оформляющие порядок работы с персональными данными работников и клиентов, и иные документы в соответствии с требованиями 152-ФЗ и других законодательных актов.
Прежде всего, необходимо провести ревизию политики конфиденциальности, согласий на сбор и обработку персональных данных, проверить полномочия лиц, которые имеют доступ к таким данным, а также уведомить Роскомнадзор о новых условия обработки данных. С учетом новых требований требуется изменить и скорректировать внутренние локальные акты и регламенты, оформляющие порядок работы с персональными данными работников и клиентов, и иные документы в соответствии с требованиями 152-ФЗ и других законодательных актов.
МОНИТОРИГ СОБЛЮДЕНИЯ БИЗНЕСОМ 152-ФЗ В 2023 ГОДУ
Юридическая компания Аутсорсинг лигал груп реализует проект по проведению мониторинга внедрения компаниями системы защиты персональных данных физических, в том числе собираемых на корпоративных сайтах. Задача нашего проекта заключается в оценке информированности малого и среднего бизнеса о новых правилах работы с персональными данными, предусмотренных Федеральным законом «О персональных данных» от 27.07.2006 №152-ФЗ, о возможностях исключения риска привлечения организаций и их руководителей к ответственности и об обеспечении требуемого уровня надежности защиты персональных данных граждан, предоставляющих информацию организациям и предпринимателям.
Этапы мониторинга
1. Определение критериев для выборки объекта исследования
Репрезентативность выборки определялась исходя из секторальной специфики, субъекта РФ, в котором компания осуществляет свою деятельность, видов обрабатываемых данных, категорий субъектов персональных данных, количества бизнес-процессов, задействованных в обработке персональных данных, наличия корпоративного сайта, на котором осуществляется сбор данных граждан, а также категории риска, к которой отнесен оператор (при проведении плановых проверок Роскомнадзором). Такие критерии позволяют оценить ситуацию с тем, насколько оперативно российский бизнес осуществляет комплаенс системы обработки персональных данных и знаком с новыми требованиями 152-ФЗ. При проведении проверок контролирующие органы, как правило, выявляют многочисленные нарушения, за каждое из которых предусмотрены штрафы от нескольких десятков тысяч до нескольких миллионов рублей. Несмотря на существующие правовые риски привлечения к ответственности, компании не учитывают новые регуляторные требования, что не позволяет им подготовиться к плановой проверке.
Репрезентативность выборки определялась исходя из секторальной специфики, субъекта РФ, в котором компания осуществляет свою деятельность, видов обрабатываемых данных, категорий субъектов персональных данных, количества бизнес-процессов, задействованных в обработке персональных данных, наличия корпоративного сайта, на котором осуществляется сбор данных граждан, а также категории риска, к которой отнесен оператор (при проведении плановых проверок Роскомнадзором). Такие критерии позволяют оценить ситуацию с тем, насколько оперативно российский бизнес осуществляет комплаенс системы обработки персональных данных и знаком с новыми требованиями 152-ФЗ. При проведении проверок контролирующие органы, как правило, выявляют многочисленные нарушения, за каждое из которых предусмотрены штрафы от нескольких десятков тысяч до нескольких миллионов рублей. Несмотря на существующие правовые риски привлечения к ответственности, компании не учитывают новые регуляторные требования, что не позволяет им подготовиться к плановой проверке.
К компаниям, которые в первую очередь находятся в зоне риска и подлежат проверке со стороны Роскомндазора, относятся операторы:
- осуществляющие сбор персональных данных в сети Интернет, в том числе с использованием иностранных сервисов,
- работающие со значительным объемом персональных данных физических лиц,
- обрабатывающие данные с нарушением заявленной цели обработки,
- использующие персональные данные, в том числе при оказании лицензируемых и иным образом регулируемых видов деятельности,
- собирающие специальные категорий персональных данных или персональных данных несовершеннолетних.
- осуществляющие сбор персональных данных в сети Интернет, в том числе с использованием иностранных сервисов,
- работающие со значительным объемом персональных данных физических лиц,
- обрабатывающие данные с нарушением заявленной цели обработки,
- использующие персональные данные, в том числе при оказании лицензируемых и иным образом регулируемых видов деятельности,
- собирающие специальные категорий персональных данных или персональных данных несовершеннолетних.
2. Взаимодействие с компаниями
На основе попавших в выборку компаний, либо субъектов, самостоятельно обратившихся за такой помощью, мы выполняем подготовку экспресс-отчетов о соблюдении операторами новых требований 152-ФЗ. Предварительная оценка позволяет подготовить выводы о допущенных компанией нарушениях, а также представить рекомендации для их устранения.
Осведомленность операторов об изменениях в сфере регулирования обработки персональных данных позволит компаниям не допустить возможных негативных последствий и снизить риски их наступления. Многие представители бизнеса сейчас заинтересованы в комплексной оценке всей системы обработки и защиты персональных данных в организации. Компания Аутсорсинг лигал групп, имеющая готовые решения в области защиты персональных данных, оказывает всестороннее содействие своим клиентам, чтобы своевременно и комплексно оценить возникающие риски в этой области, и участвует как в разработке документов для сайта, так и подготовке полного пакета документов, согласно требованиям 152-ФЗ, обеспечивает их внедрение «под ключ» в бизнес-процессы организации.
На основе попавших в выборку компаний, либо субъектов, самостоятельно обратившихся за такой помощью, мы выполняем подготовку экспресс-отчетов о соблюдении операторами новых требований 152-ФЗ. Предварительная оценка позволяет подготовить выводы о допущенных компанией нарушениях, а также представить рекомендации для их устранения.
Осведомленность операторов об изменениях в сфере регулирования обработки персональных данных позволит компаниям не допустить возможных негативных последствий и снизить риски их наступления. Многие представители бизнеса сейчас заинтересованы в комплексной оценке всей системы обработки и защиты персональных данных в организации. Компания Аутсорсинг лигал групп, имеющая готовые решения в области защиты персональных данных, оказывает всестороннее содействие своим клиентам, чтобы своевременно и комплексно оценить возникающие риски в этой области, и участвует как в разработке документов для сайта, так и подготовке полного пакета документов, согласно требованиям 152-ФЗ, обеспечивает их внедрение «под ключ» в бизнес-процессы организации.
А вы уверены, что ваши документы, связанные с обработкой данных, отвечают новым требованиям 152-ФЗ? Мы готовы проанализировать условия обработки персональных данных в вашем бизнесе с целью выявления возможных недостатков и предоставить детальные рекомендации по их устранению, если вам потребуется наше экспертное мнение.
3. Подведение итогов
По итогам проведения мониторинга и взаимодействия с операторами данных наша команда сможет сформировать выводы о практической реализации представителями бизнеса новых требований 152-ФЗ, о правоприменительной практике привлечения компаний и должностных лиц к ответственности за нарушение правил обработки данных, а также востребованности консалтинговых услуг по снижению правовых рисков в связи с новыми регуляторными требованиями.
По итогам проведения мониторинга и взаимодействия с операторами данных наша команда сможет сформировать выводы о практической реализации представителями бизнеса новых требований 152-ФЗ, о правоприменительной практике привлечения компаний и должностных лиц к ответственности за нарушение правил обработки данных, а также востребованности консалтинговых услуг по снижению правовых рисков в связи с новыми регуляторными требованиями.
Как мы можем помочь вашей компании?
Юридическая компания Аутсорсинг лигал груп, обладающая значительным опытом в сфере защиты персональных данных, может оказать оперативное содействие в следующих областях:
► Комплексный анализ организационно-правовой документации компании на предмет соблюдения новых требований 152-ФЗ, анализ последствий невыполнения законодательства в сфере обработки персональных данных;
►Разработка документов, регламентирующих обработку персональных данных в рамках отдельных бизнес-процессов (для корпоративного сайта компании, для коммерческих отношений, для обработки данных сотрудников и иных привлекаемых лиц), а также полного пакета документов компании или группы компаний при работе с персональными данными;
► Консультирование по вопросам работы с персональными данным, аутсорсинг юридической работы с персональными данным;
► Подготовка пакета безопасности для должностного лица, контролирующего соблюдение требований 152-ФЗ в компании, разработка индивидуальных регламентов и правил для предупреждения несанкционированного доступа к базе данных физических лиц, определения рисков вреда и порядка взаимодействия с субъектами персональных данных;
► Подготовка компании к плановым и внеплановым проверкам Роскомнадзора, подготовка возражений к требованиям контролирующих органов, оспаривание актов о привлечении к административной ответственности.
► Комплексный анализ организационно-правовой документации компании на предмет соблюдения новых требований 152-ФЗ, анализ последствий невыполнения законодательства в сфере обработки персональных данных;
►Разработка документов, регламентирующих обработку персональных данных в рамках отдельных бизнес-процессов (для корпоративного сайта компании, для коммерческих отношений, для обработки данных сотрудников и иных привлекаемых лиц), а также полного пакета документов компании или группы компаний при работе с персональными данными;
► Консультирование по вопросам работы с персональными данным, аутсорсинг юридической работы с персональными данным;
► Подготовка пакета безопасности для должностного лица, контролирующего соблюдение требований 152-ФЗ в компании, разработка индивидуальных регламентов и правил для предупреждения несанкционированного доступа к базе данных физических лиц, определения рисков вреда и порядка взаимодействия с субъектами персональных данных;
► Подготовка компании к плановым и внеплановым проверкам Роскомнадзора, подготовка возражений к требованиям контролирующих органов, оспаривание актов о привлечении к административной ответственности.
Почему стоит доверить вашу работу Аутсорсинг лигал груп?
В сложные для предпринимателей времена важно иметь надежного юридического советника. Практика работы с персональными данными является одним из наших ключевых направлений по аутсорсингу юридических услуг для бизнеса, а наши юристы имеют обширную практику консультирования в этой области и взаимодействия с контролирующим органами. Нашими клиентами выступают как представители небольшого бизнеса, так и крупные операторы персональных данных в различных сегментах рынка (интернет-продажи, медицина, сервис и обслуживание B2B, производство товаров, образование, строительство и ремонт и другое). Мы готовы оперативно организовать встречу для обсуждения вашей ситуации и подготовить ваш бизнес к любым решениям для снижения возможных правовых рисков.
ООО "Аутсорсинг лигал групп"
ОГРН — 1216600025421
ИНН — 6671161695
КПП — 667101001
Все права на материалы сайта защищены.
ОГРН — 1216600025421
ИНН — 6671161695
КПП — 667101001
Все права на материалы сайта защищены.
+7-902-27-27-137
info@outsourcing-legal.ru
г. Москва, наб. Краснопресненская, 12
г. Санкт-Петербург, ул. Уральская, 4
г. Екатеринбург, ул. Ленина, 25
info@outsourcing-legal.ru
г. Москва, наб. Краснопресненская, 12
г. Санкт-Петербург, ул. Уральская, 4
г. Екатеринбург, ул. Ленина, 25
ООО "Аутсорсинг лигал групп"
ОГРН — 1216600025421
ИНН — 6671161695
КПП — 667101001
Все права на материалы сайта защищены.
ОГРН — 1216600025421
ИНН — 6671161695
КПП — 667101001
Все права на материалы сайта защищены.
+7-902-27-27-137
info@outsourcing-legal.ru
Москва, наб. Краснопресненская, 12
г. Санкт-Петербург, ул. Уральская, 4
г. Екатеринбург, ул. Ленина, 25
info@outsourcing-legal.ru
Москва, наб. Краснопресненская, 12
г. Санкт-Петербург, ул. Уральская, 4
г. Екатеринбург, ул. Ленина, 25