Каждый бизнес сталкивается с необходимостью обработки персональных данных клиентов или сотрудников. Однако многие предприниматели знают о правилах такой обработки только в общих чертах, а большие штрафы за неправильные действия или утечку данных становятся для них неожиданностью.

Подписывайтесь на телеграмм-канал журнала «Саппорт», чтобы получать эксклюзивные материалы от экспертов и самые актуальные новости в мире бизнеса

С чего начать

Основной закон, который регулирует обработку персональных данных, – Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных». Чтобы соблюсти все его требования и обеспечить безопасность персональных данных компании, прежде всего, необходимо разработать и утвердить локальные документы. Перечень их достаточно большой, поэтому перечислю основные:

  • Политика в отношении обработки персональных данных;
  • Положение об обработке персональных данных работников;
  • Согласие на обработку персональных данных;
  • Согласие на распространение персональных данных (если компания публикует данные в интернете или на других общедоступных ресурсах);
  • Поручение на обработку персональных данных (если этим занимается сторонняя организация);
  • Перечень обрабатываемых персональных данных, а также лиц, допущенных к обработке;
  • акт оценки вреда, который может быть причинен субъектам персональных данных;
  • ряд журналов и приказов по вопросам обработки персональных данных в компании и иные документы.

 

Важно до начала деятельности подать уведомление о намерении осуществлять обработку персональных данных в Роскомнадзор. Сделать это можно на Портале персональных данных, через Госуслуги или почтой в бумажном варианте.

Если компания передаёт персональные данные за пределы РФ, об этом также необходимо уведомить Роскомнадзор. Важно помнить, что перечень стран, а также оснований для трансграничной передачи персональных данных ограничен.

За отсутствие компании в реестре операторов с 30 мая 2025 года предусмотрен штраф от 100 до 300 тысяч рублей.

 

Как не допустить утечку

Необходимо провести аудит персональных данных. Определить, какие данные компания собирает, где они хранятся, как обрабатываются, и кто имеет к ним доступ. Этот шаг поможет выявить наиболее уязвимые места в системе.

Далее нужно провести оценку степени вреда, который может причинить утечка данных. Проводить ее нужно заранее, до того, как инцидент произошел.

Степеней вреда три: высокая, средняя и низкая. Зависят они от вида персональных данных, которые компания обрабатывает и от действий с ними.

Высокая
  • Обработка биометрических персданных;
  • Обработка данных несовершеннолетних;
  • Обработка специальных категорий персданных (сведения о здоровье, расовой или национальной принадлежности, сведения о судимости и пр.);
  • Какие персданные обрабатывает иностранная компания;
  • Использование баз данных, находящихся за пределами РФ
Средняя
  • Размещение персданных в сети Интернет для неограниченного круга лиц (например, на сайте компании)
  • Цели обработки персданных отличаются от первоначальной цели сбора
Низкая
  • Ответственный за обработку персданных не является сотрудником компании
  • Ведение общедоступных источников персданных

 

Затем необходимо провести обучение сотрудников, имеющих доступ к персональным данным. Сотрудники должны знать о мерах безопасности и порядке реагирования на инциденты. Также требуется внедрить технические меры безопасности: шифрование данных, контроль доступа к данным, антивирусные системы и прочее. Нужно обеспечить и защиту от несанкционированного доступа в помещения, где хранятся персональные данные. Последнее: крайне важно внимательно относиться к выбору подрядчиков и заключать с ними соглашения о неразглашении конфиденциальной информации.

 

Чем опасна утечка персональных данных

Утечкой считается несанкционированное раскрытие, распространение, предоставление или доступ к персональным данным, в результате которого эти данные стали доступны лицам, не имеющим на это прав. Такой инцидент приведет не только к репутационным потерям, юридическим последствиям, но и к серьезным финансовым убыткам. Размеры штрафов за утечку персональных данных внушительные и напрямую зависят от объема утерянных данных:

Если утечка затрагивает

от 1000 до 10 000 субъектов персданных

от 10 000 до 100 000 субъектов персданных

более 100 000 субъектов
персданных
для граждан

100 тыс. – 200 тыс. руб.

200 тыс. – 300 тыс. руб.

300 тыс. – 400 тыс. руб.
для должностных лиц

200 тыс. – 400 тыс. руб.

300 тыс. – 500 тыс. руб.

400 тыс. – 600 тыс. руб.
для организаций

3 млн. – 5 млн. руб.

5 млн. – 10 млн. руб.

10 млн. – 15 млн. руб.

 

Что делать, если утечка произошла

Даже самые надежные меры не гарантируют 100-процентную защиту. При обнаружении утечки персональных данных, необходимо действовать быстро.

В момент обнаружения утечки нужно собрать как можно больше информации о происшествии, включая дату, время, обстоятельства, объем и тип скомпрометированных данных, потенциальных виновников и предполагаемый ущерб. В первые 24 часа необходимо уведомить Роскомнадзор о компьютерных инцидентах, которые повлекли утечку данных. В документ нужно включить информацию о предполагаемой причине инцидента, нанесенном вреде, мерах компании для устранения последствий, информацию о сотруднике, который будет взаимодействовать с Роскомнадзором. Сделать это можно на Портале персональных данных.

Следующий шаг – уведомление Роскомнадзора о результатах внутреннего расследования и о виновниках происшествия. Его нужно направить не позднее 72 часов с момента утечки.

После этого необходимо устранить последствия утечки, например, сменить пароли. Также пересмотреть и улучшить меры безопасности, обновить локальные акты по обработке персональных данных, пересмотреть все процессы обработки.

 

Читайте также:

Новые штрафы за персональные данные: что меняется с 30 мая 2025

Реклама в блоге по новым правилам: короткий обзор изменений