2 неделя: избавляемся от рисков по персональным данным

Валентина Митрофанова
В области персональных данных нарушения и так всегда были очень высокими.
С июня 2025 года они становятся БЕСПРЕЦЕДЕНТНЫМИ с учетом принятых поправок в ст. 13.11 КоАП РФ.

Кроме административной ответственности, тут возможны и уголовная ответственность (см. 137 УК РФ и новую ст. 272.1), и дисциплинарная ответственность вплоть до увольнения – ст. 81 ТК РФ п.6 пп. «в».

Но мы разберем риски новых административных штрафов. Давайте сразу рассмотрим их с точки зрения максимальных рисков и по убывающей.

Логика приоритетов:
  • 1
    Максимальные штрафы;
  • 2
    Вероятность выявления нарушения;
  • 3
    Возможности умножения штрафов;
  • 4
    Принятый индикатор как основание для проведения внеплановой проверки Роскомнадзора.
Новые санкции большей частью, конечно, будут распространяться на случаи, когда обработка осуществляется с применением средств автоматизации. Поэтому основная роль будет лежать на службе информационной безопасности (при ее наличии), но и мы тут должны полноценно участвовать, если нам в нашей службе не нужна проверка Роскомнадзора (а поверьте, она нам НЕ НУЖНА).

Итак, выстроим все наши новые риски по приоритетам:
  • 1
    Приоритет №1. Утечка данных
    Риски: от 3 млн до 20 млн в зависимости от размера ущерба.
    Прим.: при повторном - от 1 до 3% от выручки организации за год
    (п. п.12.-п.14.п.16-п.17. ст. 13.11. КоАП РФ)

    Перечень документов:

    • Локальные акты по предотвращению, выявлению и устранению нарушений;
    • Акт об оценке потенциального вреда;
    • Акт о соответствии принимаемых Оператором мер в соответствии с актом об оценке потенциального вреда;
    • Карта целей и субъектов ПД;
    • Уведомление об обработке в РКН;
    • Политика об обработке ПД.
  • 2
    Приоритет №2. Уведомление об инцидентах
    Риски: от 1 млн до 3 млн (п.11. ст. 13.11. КоАП РФ)

    Перечень документов:

    • Уведомления в РКН об инцидентах;
    • Уведомления об результатах расследований.
  • 3
    Приоритет №3. Уведомления в РКН
    Риски: от 100 до 300 тыс. руб. (п.10. ст. 13.11. КоАП РФ)

    Перечень документов:

    • Уведомление об обработке ПД (актуальное);
    • Уведомление о трансграничной передаче;
    • Карта целей и субъектов ПД;
    • Документы-подтверждения от принимаемой стороны при трансграничной передаче;
    • Политика об обработке ПД.
  • 4
    Приоритет №4. Цели обработки ПД
    Риски: от 150 до 300 тыс. руб. (п.1. ст. 13.11. КоАП РФ)

    Перечень документов:

    • Карта целей и субъектов ПД;
    • Уведомление об обработке в РКН;
    • Политика об обработке ПД;
    • Согласия на обработку ПД.
  • 5
    Приоритет №5. Согласия на обработку ПД
    Риски: от 300 до 700 тыс. руб. (п.2. ст. 13.11. КоАП РФ)

    Перечень документов:

    • Согласия на обработку ПД;
    • Уведомление об обработке в РКН;
    • Политика об обработке ПД;
    • Положение по защите ПД работников (для работников).
  • 6
    Приоритет №6. Согласия на распространение ПД
    Риски: от 300 до 700 тыс. руб. (п.2. ст. 13.11. КоАП РФ)

    Перечень документов:

    • Согласия на распространение ПД;
    • Размещение согласий;
    • Уведомление об обработке в РКН;
    • Политика об обработке ПД.
  • 7
    Приоритет №7. Политика об обработке ПД
    Риски: от 30 до 60 тыс. руб. (п.3. ст. 13.11. КоАП РФ)

    Перечень документов:

    • Политика об обработке ПД;
    • Уведомление об обработке в РКН.
АУДИТ ПЕРСОНАЛЬНЫХ ДАННЫХ

Внутренний аудит поможет выявить возможные риски по работе с персданными и минимизировать их, а руководитель сможет понять реальное положение дел в работе с персональными данными и принять меры по их защите. Это позволит быть всегда готовым к проверке Роскомнадзора и избежать многомиллионных штрафов

Обратите внимание, аудит – теперь обязательная часть защиты ПД. Каждая компания должна будет его проводить, чтобы доказать, что обеспечивает информационную безопасность (это будет влиять на размеры штрафов).

Особенно важно для компаний, которые передают персональные данные за рубеж, обрабатывают биометрические и специальные категории персональных данных, а также передают персональные данные третьим лицам

Мы более 20 лет проводим аудиты для бизнеса, в том числе аудиты персональных данных.
Всего за 3 дня мы дистанционно проведем аудит персональных данных в вашей компании, представим отчет по нарушениям и расскажем, как исправить ошибки и избежать штрафов.

Аудит проводит Валентина Митрофанова, эксперт по трудовому праву, практик с большим опытом бизнес-аудитов.

🎁 ПОДАРОК! Закажите аудит прямо сейчас и получите в подарок экспертизу согласия на обработку персданных.

ОСТАВИТЬ ЗАЯВКУ НА АУДИТ
Обучение
Бизнес проекты
Услуги
Как нас найти
г. Москва, ул. Арбат 12, стр. 1, подъезд 1, оф. 215
Подписаться на новостные рассылки
© 2020 Валентина Митрофанова
Назад