Роскомнадзор опубликовал рекомендации для компаний – операторов персональных данных, связанные с организацией и осуществлением деятельности по обработке таких данных.
Согласно информации на сайте, Роскомнадзор предлагает операторам осуществить ряд действий, которые способны повысить безопасность работы с персональными данными (ПДн) и понизить риск их несанкционированного распространения. Состав рекомендаций следующий:
1. Минимизация собираемых данных.
Рекомендуется собирать и обрабатывать лишь те ПДн, которые необходимы для ведения деятельности организации. Сокращая их избыточность, увеличивается степень их защищенности.
2. Раздельное хранение ПДн
Рекомендуется обеспечить раздельное хранение данных в зависимости от их категории: поставщики, клиенты, сотрудники и т.д.
3. Хранение идентификаторов в раздельных базах данных
Хранить данные, идентифицирующие конкретного человека (ФИО, телефон, адрес, e-mail и т.д), а также сведения о взаимодействии с ним (оказание услуг, продажа товаров, заключение сделки и т.п) лучше в раздельных, не связанных друг с другом, базах данных. Для связи баз можно использовать синтетические идентификаторы, которые не позволят отнести информацию к конкретному субъекту ПДн без дополнительных алгоритмов.
4. Отказ от накопления «запасных» ПДн
Не рекомендуется собирать и накапливать ПДн, если вероятность их применения крайне мала либо отсутствует. В данном случае такие данные рекомендуется уничтожить, так как они могут не соответствовать цели обработки ПДн.
5. Использование технических средств
Для обеспечения надлежащего уровня безопасности ПДн рекомендуется использовать соответствующие технические и программные средства, принадлежащие оператору ПД.
6. Своевременное информирование об инцидентах
Рекомендуется своевременно информировать органы Роскомнадзора о признаках или уже наступившем инциденте в области ПДн, повлекших неправомерное распространение ПДн.
7. Обеспечение физического контроля доступа
Для предотвращения компрометации данных внутри компании необходимо принимать меры по физическому контролю доступа к данным.
8. Назначение ответственного лица по защите ПДн
Рекомендуется назначить ответственное лицо за защиту ПДн и наделить его соответствующими полномочиями.
Учитывая рекомендации выше, компании следует провести соответствующий аудит данных, адаптировать внутренние процессы в соответствии с предписаниями Роскомнадзора, проинформировать и обучить ответственных сотрудников новым методам работы с ПДн.
Напоминаем, что за нарушение требований законодательства в области персональных данных предусмотрена административная ответственность по статье 13.11 КоАП РФ. Размер наказания зависит от вида совершенного правонарушения. Более подробно о составе ответственности можно посмотреть в таблице ниже.
Вид правонарушения
Состав наказания
Обработка ПД, не предусмотренная законодательством РФ либо обработка ПД несовместимая с целями сбора таких данных
Наложение штрафа:
- для должностных лиц – в размере 10 000-20 0000 рублей;
- для юридических лиц – в размере 60 000-100 000 рублей.
При повторном нарушении меры наказания усиливаются и составят:
- для должностных лиц – в размере 20 000-50 000 рублей;
- для юридических лиц – в размере 100 000-300 000 рублей.
Обработка ПД без согласия субъекта ПД
Наложение штрафа:
- для должностных лиц – в размере 20 000-40 0000 рублей;
- для юридических лиц – в размере 30 000-150 000 рублей.
При повторном нарушении меры наказания усиливаются и составят:
- для должностных лиц – в размере 40 000-100 000 рублей;
- для юридических лиц – в размере 300 000-500 000 рублей.
Невыполнение оператором ПД обязанности по предоставлению субъекту ПД информации об обработке его ПД
Наложение штрафа:
- для должностных лиц – в размере 8 000-12 0000 рублей;
- для юридических лиц – в размере 40 000-80 000 рублей.
Невыполнение оператором ПД при сборе ПД, в том числе, через сеть «Интернет», обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения или извлечения ПД граждан РФ с использованием баз данных, находящихся на территории РФ
Наложение штрафа:
- для должностных лиц – в размере 100 000-200 0000 рублей;
- для юридических лиц – в размере 1 000 000-6 000 000 рублей.
При повторном нарушении меры наказания усиливаются и составят:
- для должностных лиц – в размере 500 000-800 0000 рублей;
- для юридических лиц – в размере 6 000 000-18 000 000 рублей.
По вопросам соблюдения законодательства в области персональных данных обращайтесь к экспертам Acsour.