Всегда стоит помнить, что обновлять документы по персональным данным необходимо не время от времени, а на ежегодной основе.

Почему? Расскажем вам о наиболее важных причинах.

1. Участились внеплановые проверки Роскомнадзора в ответ на жалобы физических лиц.

С 2009 года доля обращений граждан, касающихся вопросов защиты персональных данных, ежегодно увеличивается. В 2015 году в Роскомнадзор и территориальные органы поступило 33 000 обращений граждан по поводу нарушений в обработке персональных данных. Таким образом, по сравнению с 2014 годом число обращений возросло в 60,4% c 20 389 до 33 000. Аналогичная тенденция наблюдается в 2016 году.

Обращения граждан касаются не только крупных и государственных учреждений, но и микропредприятий и компаний малого и среднего бизнеса:

Статистика обращений с разбиением по типу организаций, к которым обращаются

Таким образом, от внеплановой проверки не застрахована ни одна компания. На каждую жалобу Роскомнадзор должен отреагировать незамедлительно и обратиться за разъяснениями в компанию, на которую написана жалоба. Она, в свою очередь, должна в кратчайшие сроки предоставить актуальный пакет документов по защите персональных данных. Формально о внеплановой проверке Роскомнадзор уведомляет не менее чем за сутки. За это время обновить документы, составленные год и более назад, просто невозможно, поэтому необходимо позаботиться о том, чтобы документы всегда соответствовали требованиям закона.

2. С 2016 года Роскомнадзор стал запрашивать больше информации, а проверки стали объемнее и тщательнее.

Список запрашиваемых документов и сведений в 2016 году при проверках Роскомнадзора в области персональных данных существенно вырос.

Это обусловленно тремя факторами:

  • Роскомнадзор стал осуществлять проверки по-своему, т.к. с 01.09.2015 года он вышел из под действия Федерального закона N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»
  • вступили в силу требования о локализации баз данных с персональными данными на территории Российской Федерации
  • Роскомнадзор начал проверять информационные системы и обработку в них персональных данных

Такие изменения в проверках Роскомнадзора существенно влияют на сами документы по персональным данным, так и на реализацию требованйи закона.

Именно поэтому требуется обновлять пакет документов по персональным данным в связи с возросшим числом запрашиваемой информации и документов.

3. Постоянные изменения в законодательстве.

Каждая вторая проверка оператора Роскомнадзором выявляет нарушения. Количество выявленных нарушений при проведении плановых проверок в 2015 году на 37% больше, чем в 2014 году. Чаще всего это происходит потому, что компания не следит за изменением законодательства и не обновляет документы.

Только за 2015 год появилось около 10 новых актов, регулирующих данную сферу.

Одни из изменения:

  • с 1 сентября 2015 года вступил в силу Федеральный закон от 21.07.2014 No 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно- телекоммуникационных сетях», который обязывает локализовать базы с персональными данными на территории России. Если этого не будет сделано, то возможна блокировка сайта, веб-сервиса или веб-системы, как это сейчас происходит с крупной деловой социальной сетью Linkedin, которая будет заблокирована с подачи Роскомнадзора.
  • Постановлением Правительства Российской Федерации от 19.08.2015 No 857 были утверждены Правила создания, формирования и ведения автоматизированной информационной системы «Реестр нарушителей прав субъектов персональных данных», который внес существенные изменения в возможность собирать данные на иностранных серверах, и исключил проверки из под действия закона  «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» от 26.12.2008 N 294-ФЗ.
  • Приказами Роскомнадзора утверждены Порядок взаимодействия оператора реестра с провайдером хостинга, Порядок получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи, а также форма заявления субъекта персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных.

В 2017 году также вступят в силу изменения, связанные с моделированием угроз и с передачей персональных данных коллекторам и взыскании долга.

Меняется законодательство — меняется позиция по тем или иным вопросам. Поэтому необходимо пересматривать процессы обработки персональных данных и обновлять документы.

4. С 1 января 2017 года могут возрасти штрафы за нарушение закона о персональных данных.

Это произойдет в случае вступления в силу нового Кодекса об Административных Правонарушениях. Он уже был одобрен в первом чтении и ожидается его финальное одобрение ГосДумой до конца 2016 года.

На данный момент ст. 13.11 КоАП РФ устанавливает штраф за нарушение законодательства о персональных данных от 300 до 500 руб. для физлиц, от 500 до 1000 руб. для должностных лиц и от 5 до 10 тыс. руб. для юрлиц.

Новый законопроект устанавливает самый большой штраф за обработку персональных данных, касающихся расовой и национальной принадлежностей, политических и религиозных взглядов, а также состояния здоровья, интимной жизни и сведений о судимостях. Для граждан такой штраф составит от 3 до 5 тыс. руб., для должностных лиц — от 10 до 25 тыс., для ИП — от 50 тыс. до 100 тыс. руб. и для юрлиц — от 50 тыс. до 300 тыс. руб.

Также, выявляя нарушения в ходе контрольно-надзорной деятельности, чиновники Роскомнадзора смогут оперативнее привлекать правонарушителей к ответственности.

Возрастает не только сумма штрафа, но и их количество. Среди новых составов правонарушения:

  • обработка персональных данных без письменного согласия субъекта;
  • обработка информация, касающейся личной жизни, здоровья, вероисповедания и т. д.;
  • невыполнение оператором требований к публикации в открытом доступе документа о его политике обработки персональных данных;
  • непредоставление оператором субъекту информации об обработке его персональных данных;
  • невыполнение оператором требований субъекта об уточнении, блокировке или уничтожении его персональных данных;
  • ненадлежащее хранение (в том числе при помощи электронных носителей) персональных данных;
  • несоблюдение правил по обезличиванию персональных данных.

 

Когда новый КоАП будет утвержден, то стоимость на разработку и обновление документов по 152-ФЗ, а также сопровождение деятельности по персональным данным серьезно возрастет.

5. С начала 2016 года количество арбитражных дел, касающихся персональных данных, превысило 10.000

Это легко подтверждается различными поисковыми системами по арбитражным делам.

В соответствии с п. 5 ч. 3 ст. 23 Закона No 152-ФЗ Роскомнадзором и его территориальными органами в 2015 году в реестр нарушителей прав субъектов персональных данных внесено 105 записей, заблокировано 29 интернет-ресурсов, остальные операторы удалили информацию без применения принудительных мер воздействия. При этом было заблокировано 12 справочников и прекращена неправомерная обработка персональных данных 45 млн человек.

Территориальными органами Роскомнадзора составлены и направлены на рассмотрение в суды 7 721 протокол об административных правонарушениях.

Также нарушители вносятся в автоматизированную информационную систему «Реестр нарушителей прав субъектов персональных данных».

Тем не менее законодательство и судебная практика в вопросах защиты персональных данных не совершенны и изменчивы. Нужно всегда следить за новыми решениями по конкретным вопросам самих судов и регуляторов, а затем менять некоторые формулировки в документах и описания.

6. Законодательное требование пересмотра уровней защищенности раз в 3 года.

Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. Москва «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» возлагает на оператора персональных данных не реже 1 раза в  3 года проводить пересмотр уровней защищенности информационных систем.

Контроль за выполнением требований организуется и проводится оператором самостоятельно и/ или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Из-за чего приходится изменять акты определения уровней защищенности, модели угроз, протоколы определения ущерба и ТЗ на системы защиты персональных данных. Также необходимо следить за тем, чтобы договор с подрядной организацией был действующим и актуальным.

7. 152-ФЗ требует подавать информационное письмо об изменениях при изменениях сведений, содержащихся в реестре операторов.

Чаще всего компании не актуализируют контакты и ФИО ответственного лица, информацию о своем новом адресе, наименовании. Соответственно необходимо следить за правильностью предоставленных данных и вовремя обновлять информацию в реестре операторов, иначе возможно наложение штрафов и санкционирование внеплановой проверки со стороны Роскомнадзора.

Тем более Роскомнадзор ожидает подачи уже обновленного уведомления или письма о внесении изменений, где необходимо указать все информационные системы и адреса их месторасположения.

_______

Сфера защиты персональных данных активно развивается, уточняются требования, появляются новые законы… И не всегда компании способны следить за этими изменениями. А несоблюдение требований законодательства становится причиной штрафов, проверок, жалоб со стороны клиентов и конкурентов, а также потери времени и ценной информации.

Поэтому рекомендуем вам обновлять документы каждый год и держать их актуальность под контролем вместе с “Б-152”.

Для уточнения вопросов по обновлению и актуализации документов по персональным данным вместе с «Б-152» обращайтесь по следующим контактам:

8 (800) 707-80-52

8 (499) 372-06-52

info@b-152.ru

Понравился материал?
Поделитесь им с коллегами и друзьями

Подпишитесь на нас

Получайте первым рассылку с экспертными материалами, информацией по изменениям законодательства по персональным данным и свежей аналитикой проверок Роскомнадзора.