• Рабочие часы: 10:00 - 19.00
  • info@globaltrust.ru

GlobalTrust

Метка: персональные данные

Новости

Как правильно встроить должность Data Protection Officer (DPO) в структуру компании

Окт 8, 2025 #DPO, #аутсорсинг, #персональные данные от GlobalTrust.ru

В эпоху цифровых технологий данные становятся самым ценным активом любой компании. Защита персональных данных клиентов и сотрудников становится не просто требованием законодательства, а залогом доверия потребителей и партнёров. Именно поэтому роль Data Protection Officer или DPO приобретает особое значение в современной организации.

Что такое DPO?

Data Protection Officer, или специалист по защите данных, отвечает за обеспечение соблюдения компанией законов и норм, регулирующих обработку персональных данных. Он следит за тем, чтобы информация обрабатывалась законно, прозрачно и безопасно.

Почему важен правильный подход к встраиванию должности DPO?

DPO играет важную роль в обеспечении информационной безопасности организации. Он обеспечивает:

  • Соблюдение законодательных требований
  • Повышение уровня безопасности информации
  • Снижение рисков утечек и штрафов
  • Укрепление репутации компании

Однако вопрос остаётся открытым: какова оптимальная структура размещения DPO внутри организации? Давайте рассмотрим несколько подходов.

Независимый орган контроля

Некоторые эксперты рекомендуют выделять DPO в отдельный независимый отдел, подчиняющийся напрямую руководству высшего звена или даже правлению компании. Такой подход обеспечивает независимость решений специалиста от внутренних интересов подразделений, занимающихся обработкой данных.

Плюсы такого подхода очевидны:

  • Возможность объективной оценки ситуации;
  • Отсутствие конфликта интересов с другими подразделениями;
  • Более высокий уровень ответственности перед руководством.

Минусы тоже есть:

  • Необходимость дополнительных ресурсов на содержание отдельного отдела;
  • Возможные сложности коммуникации между разными департаментами.

Встраивание в IT-отдел

Второй вариант – это интеграция роли DPO непосредственно в структуру ИТ-подразделения. Здесь основная задача DPO будет заключаться в обеспечении информационной безопасности и соблюдении регламентов обработки данных совместно со специалистами технических служб.

Преимущества данного варианта:

  • Синергия с существующими информационными системами и технологиями защиты данных;
  • Быстрое реагирование на технические вопросы и проблемы безопасности.

Недостатки могут быть следующими:

  • Ограниченная независимость при принятии стратегических решений;
  • Риск того, что приоритетами будут руководствоваться исключительно технические аспекты без учёта юридических и бизнес-задач.

Встроенный в юридический отдел

Третий способ интеграции DPO предполагает его включение в состав юридического департамента компании. При таком подходе специалист сможет максимально эффективно взаимодействовать с юристами, обеспечивая соответствие всех процессов действующему законодательству.

Преимущество этого подхода заключается в следующем:

  • Глубокая экспертиза правовых аспектов работы с персональными данными;
  • Единое понимание целей и задач всей компании.

Но здесь также имеются риски:

  • Возможная узкая специализация, которая может привести к недооценке технической стороны вопроса;
  • Сложности координации действий между техническими службами и юридическим отделом.

А может быть DPO-аутсорсинг?

Далеко не каждая компания может позволить себе штатную должность DPO в качестве самостоятельной бизнес единицы. Включение же позиции DPO в состав службы внутреннего контроля, ИТ или ИБ подразделения, либо в состав юридической службы, возможно, но сопряжено с дополнительными трудностями, связанными с пересечением функций DPO с функциями всех перечисленных подразделений. Поэтому оптимальными решением во многих случаях может являться передача функций DPO на аутсорсинг специализированной организации (DPO-аутсорсинг).

Заключение

Какое бы решение ни было принято вашей организацией относительно места DPO в её структуре, важно помнить, что ключевым фактором успеха является наличие четких полномочий, независимости и адекватного финансирования этой позиции. Правильное распределение функций и ответственность каждого сотрудника гарантируют защиту ваших данных и укрепление конкурентоспособности бизнеса.

Поделитесь своим мнением в комментариях! А вы сталкивались с проблемами внедрения должности DPO в своей компании?

Новости

Анонимизированные и обезличенные персональные данные: в чем отличие?

Сен 5, 2025 #152-ФЗ, #анонимизация, #идентификация, #обезличивание, #персональные данные от GlobalTrust.ru

Термины «анонимность» и «обезличивание» близки по значению, из-за чего возникают сложности с определением прав и обязанностей относительно обрабатываемой информации.

Анонимизированные и обезличенные персональные данные отличаются степенью необратимости процесса. Выбор между этими понятиями зависит от целей обработки данных.

Идентификация и установление личности: В чем различие?

Для понимания различия между анонимизацией и обезличиванием персональных данных (понятиями, которые частно смешиваются), необходимо понимать различие между идентификацией и установлением личности.

Идентификация и установление личности отличаются тем, что идентификация — это процесс, в котором субъект (например, пользователь, устройство, сервис) сообщает системе, кем он является, что позволяет отличить его от других субъектов (не путать с аутентификацией – подтверждением подлинности), а установление личности — это задача, которая решается в разных правовых контекстах и включает в себя идентификацию, как необходимое условие.

Важно: результаты идентификации не являются самостоятельным решением задачи установления личности — они могут лишь использоваться при проведении оперативно-разыскных мероприятий, следственных и прочих действий для установления личности.

Такие сведения как паспортные данные, ИНН, СНИЛС или различные комбинации сведений: ФИО, телефон, email, домашний адрес и т.п. позволяют достаточно легко установить личность, поскольку регистрируются официальными государственными органами.

В то же время, имена и пользовательские идентификаторы в информационных системах, отдельно взятые email или связанные с пользователем наборы данных могут использоваться для его идентификации в конкретных информационных системах, но, при этом, не содержать сведений, позволяющих установить его личность, как субъекта права.

Анонимизированные данные

Анонимизированные данные — это данные, по которым невозможно установить личность ни напрямую, ни косвенно. Удалены все связи и идентификаторы, нарушена логика таблицы, исключены уникальные комбинации полей.

Особенности:

  • Данные выходят из-под действия закона о персональных данных.
  • Их можно использовать без ограничений — обучать на них ИИ, проводить аналитику, передавать на зарубежные серверы.
  • Однако достичь настоящей анонимизации сложно — даже порядок строк или сочетание полей может выступать в роли идентификатора.

Анонимизированные данные не являются персональными данными, так как они не могут быть связаны с конкретным человеком. 

Обезличенные данные

Обезличенные данные — это данные, в которых убраны прямые идентификаторы (ФИО, номер телефона и т. д.). По ним невозможно установить личность, но сохраняется возможность идентификации с помощью других связей — например, по ID, email-адресу или даже шаблону поведения в системе.

Согласно пункту 9 статьи 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», обезличивание персональных данных — это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных

Особенности:

  • Обработка таких данных после обезличивания продолжает регулироваться требованиями по защите персональных данных, поскольку теоретически сохраняется возможность деобезличивания.
  • Обезличенные данные могут использоваться для аналитических целей, исследований или других целей, не связанных с идентификацией конкретных лиц.

Пример: если в выгрузке нет имён, но есть должность, ID и история заказов — восстановить личность можно. 

В отличие от анонимизированных данных, обезличенные данные считаются разновидностью персональных данных, которые получены в результате обезличивания.

Обезличивание — это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

С 1 сентября 2025 года персональные данные, превращённые в обезличенную форму, можно обрабатывать без получения согласия гражданина.

Законодательное определение анонимизированных данных

К сожалению, в российском законодательстве пока не определено понятие анонимизированных данных. Наши законодатели не учли роль анонимизации при разработке поправок об обезличивании. Однако это понятие есть в европейском регламенте GDPR (General Data Protection Regulation). 

При этом понятие «анонимизированные данные» распространено среди специалистов в сфере информационной безопасности и, например, описано в Национальном стандарте РФ ГОСТ Р ИСО 17432-2009. 

Выводы

Идентификация – это чисто техническая процедура, а установление личности – это уже правовое действие. Продемонстрируем это различие на конкретных примерах.

Персональные данные

Персональные данные позволяют связать сведения о конкретной личности и этой личностью. Пример персональных данных: user ID + ФИО + персональный email + организация + должность + сведения о заработной плате.

(Установить личность субъекта может как оператор, организующий обработку этих данных, так и другие стороны, например клиенты, партнеры, контролирующие органы, похитивший эти данные хакер и т.п.)

Обезличенные персональные данные

Обезличенные персональные данные позволяют идентифицировать субъекта, к которому они относятся, но не позволяют установить его личность, как субъекта права.

Пример: user ID + организация + должность + сведения о заработной плате.

(Установить личность субъекта может только оператор, обезличивший эти данные, ну либо еще правоохранительные органы в ходе удачно проведенных следственных мероприятий, но не наверняка).

Анонимизированные данные

Анонимизированные данные не являются персональными, поскольку не позволяют идентифицировать конкретного субъекта, к которому они относятся, т.е. они могут относится сразу к неопределенному кругу лиц.

Пример анонимизированных данных: организация + должность + сведения о заработной плате

(Даже оператор, анонимизировший эти данные не сможет идентифицировать кому они принадлежат и, тем более, установить личность этого человека).

Новости

Изменения в законодательстве о персональных данных, вступающие в силу с 1 сентября 2025 года

Сен 1, 2025 #152-ФЗ, #персональные данные от GlobalTrust.ru

С 1 сентября 2025 года жизнь операторов персональных данных еще усложнится, поскольку вступают в силу очередные изменения в законодательстве о персональных данных. Рассмотрим основные из них. В отличие от многочисленных публикаций на эту тему, мы сразу даем ссылки на соответствующие нормативно-правовые акты, устанавливающие новые требования к обработке персональных данных, и цитируем данные требования.

Обработка обезличенных данных

Обезличенные персональные данные можно использовать для исследований или технологий (например, для обучения ИИ) без предварительного согласия гражданина. Обезличивание должно быть выполнено так, чтобы исключить возможность прямой идентификации гражданина по этим данным.

Операторов персональных данных могут обязать предоставлять обезличенные сведения в государственную информационную систему (ГИС). Минцифры получило право направлять компаниям и ведомствам требования предоставить нужные данные в обезличенном виде для загрузки в федеральную ГИС.

С 1 сентября 2025 года обработка обезличенных данных без согласия гражданина регулируется следующими нормативно-правовыми актами (НПА):

  • Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных». В этот закон внесена статья 13.1, которая регулирует обращение с обезличенными данными. Закон определяет принципы обработки персональных данных, включая требование уничтожать или обезличивать данные по достижении целей обработки.
  • Федеральный закон от 08.08.2024 №233-ФЗ. Этот закон вводит новые правила обезличивания, уточняет механизм обезличивания, вводит понятие «состав обезличенных данных» и предусматривает создание государственной системы для обезличенных персональных данных.
  • Приказ Роскомнадзора от 19.06.2025 №140. Документ содержит требования к обезличиванию и методы обезличивания для всех случаев обработки персональных данных, кроме использования в Единой информационной платформе нацсистемы управления данными (ЕИП НСУД).
  • Постановление Правительства от 01.08.2025 №1154. Документ содержит требования и методы для ситуации, когда оператор обезличивает персональные данные по запросу Минцифры, то есть для ЕИП НСУД.

Оформление согласия на обработку персональных данных

Согласие должно оформляться в виде самостоятельного документа. Запрещено включать его в текст договоров, пользовательских соглашений или иных документов, подписываемых субъектом.

Федеральным законом от 24.06.2025 №156-ФЗ «О создании многофункционального сервиса обмена информацией и о внесении изменений в отдельные законодательные акты Российской Федерации» с 1 сентября 2025 года определено требование, что согласие на обработку персональных данных должно оформляться отдельным документом.

Согласно закону, часть 1 ст. 9 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» дополняется нормой: «Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных». 

Запрет передачи результатов работы с персональными данными иностранцам

Предоставление результатов обработки ПДн иностранным юрлицам, организациям, гражданам запрещено, кроме случаев, прямо предусмотренных российским законодательством.

Федеральный закон от 27.07.2006 №152-ФЗ (ред. от 28.02.2025) «О персональных данных» устанавливает правила трансграничной передачи персональных данных, в том числе возможность запрета такой передачи.

С 23 октября 2024 года Постановление Правительства РФ от 14.10.2024 №1371 дополнило правила: теперь под запрет может попасть любая международная организация, а не только НКО. Это связано с изменениями, которые позволяют признавать нежелательными иностранные структуры, если их деятельность признана угрожающей интересам России.

С 1 марта 2023 года действует порядок принятия решений о запрете, установленный постановлениями правительства от 10.01.2023 №6 и от 16.01.2023 №24

Расширение контрольных полномочий ФСБ России

Закон от 24.06.2025 №156-ФЗ, который с 1 сентября 2025 года вносит изменения в ч. 1 ст. 9 закона от 27.07.2006 №152-ФЗ.

Согласно этому закону, ФСБ получит право контролировать соблюдение мер безопасности в области обработки персональных данных, в том числе в негосударственных и коммерческих информационных системах. Ранее ФСБ контролировала безопасность персональных данных в основном в госсекторе.

Новости

Приведите Ваш сайт в соответствие с требованиями в области персональных данных

Июн 12, 2025 #152-ФЗ, #аудит, #оценка соответствия, #персональные данные, #Роскомнадзор от GlobalTrust.ru

С 2025 года Роскомнадзор предъявляет ряд требований к сайтам, обрабатывающим персональные данные пользователей, несоблюдение которых, с недавних пор, может привести к миллионным штрафам и блокировке ресурса. Восстановление доступа к ресурсу требует значительных усилий и времени, что сказывается на всей деятельности компании.

Не претендуя на полноту изложения, перечислим некоторые из наиболее существенных требований, предъявлямых к сайтам, расскажем как можно самостоятельно и быстро оценить соответствие этим требованиями, и дадим рекомендации по обеспечению соответствия.

Значительное усиление ответственности за нарушения в области персональных данных

В случае нарушения порядка получения и обработки персональных данных, а также их распространение, предусмотрена административная ответственность по ст. 13.11 КоАП РФ. Данной статьей предусмотрено наказание в виде наложения административного штрафа на граждан в размере от двух тысяч до ста тысяч рублей; на должностных лиц – от десяти тысяч до восьмисот тысяч рублей; на юридических лиц – от ста тысяч до восемнадцати миллионов рублей.

Организации, собирающие персональные данные через сайты, обязаны заранее уведомлять Роскомнадзор о начале такой деятельности. Кроме того, все изменения, касающиеся методов обработки данных или состава собираемой информации, также подлежат регистрации. За непредставление в Роскомнадзор уведомлений о начале обработки персональных данных предусмотрены штрафы для ИП и юридических лиц до 300 тысяч рублей (ч. 10 ст. 13.11 КоАП РФ).

Если персональные данные окажутся в открытом доступе из-за халатности компании, ей грозят серьёзные финансовые санкции. Повторные случаи могут повлечь за собой штраф до 3% от годового оборота. Штрафы за непредставление уведомления об утечке персональных данных для ИП и юридических лиц составляют до 3 млн. рублей (ч. 11 ст. 13.11 КоАП РФ).

Обязательность получения явного согласия посетителя сайта на обработку его персональных данных

Посетитель сайта должен чётко подтвердить свое согласие на обработку его персональных данных в соответствии со следующими основными принципами, определенными в 152-ФЗ О персональных данных:

  • Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
  • Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.
  • Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
  • Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора.

Особенно это касается cookie-файлов, которые теперь признаны персональной информацией. Обработка cookie-файлов возможна только с согласия пользователя. Баннеры о cookies должны содержать не просто уведомление, а полноценный выбор — согласие или отказ.

Уведомление о файлах cookie должно содержать ссылку на политику cookie или на общую политику в отношении обработки персональных данных, где имеется раздел про файлы cookie. Это требование установлено требованиями Роскомнадзора, которые в 2025 году фиксируют отсутствие cookie-уведомлений как нарушение закона, особенно при наличии интеграций с Яндекс Метрикой, Google, Facebook (Meta Pixel).

В политике куки (или в политике конфиденциальности и обработки персональных данных) нужно описать, какие cookie-файлы и для каких целей используются на сайте. Ссылки на неё желательно разместить на каждой странице сайта и обязательно — на тех, где происходит сбор пользовательских данных.

Владелец сайта обязан:

  • Информировать пользователей о сборе данных через cookie-файлы, если они не являются критически важными для функционирования сайта (например, для аналитики или персонализированной рекламы).
  • Получить явное согласие пользователя на использование cookie, если они собирают персональные данные или могут передавать их третьим лицам.
  • Описать типы используемых cookie в уведомлении и политике, указать их назначение, срок хранения и другие аспекты.

Запрет на использование иностранных хостингов и сервисов, передающих данные за рубеж

С 1 июля 2025 годазапрещено хранить персональные данные граждан РФ в базах, находящихся за пределами России. Это требование установлено обновлёнными положениями пункта 5 статьи 18 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 года. Данный запрет, однако не носит абсолютного характера.

Любая информация, позволяющая идентифицировать пользователя, должна собираться и храниться на серверах, расположенных на территории Российской Федерации. Использование иностранных облачных хранилищ и аналитических сервисов, которые передают данные за рубеж, считается нарушением закона.

Некоторые нюансы нововведения:

  • Запрет касается первичного сбора данных. Если информация сразу уходит на иностранный сервер, минуя территорию России, — это нарушение.
  • Запрещено использовать, например, сервисы Google Analytics и Google Tag Manager, так как их архитектура предполагает немедленную передачу данных за рубеж.
  • Передавать персональные данные за границу можно только после их локализации в РФ и обязательного уведомления Роскомнадзора.
  • Необходимо иметь законные основания для передачи данных и гарантировать их конфиденциальность.

Размещение сайта на иностранных серверах или облаках приравнивается к трансграничной передаче персональных данных.

С 1 марта 2023 года операторы до начала осуществления деятельности по трансграничной передаче персональных данных обязаны направить в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу персональных данных.

Указанное уведомление будет рассматриваться в порядке, установленном постановлением Правительства Российской Федерации от 16.01.2023 г. № 24 «Об утверждении Правил принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан».

Обязательность опубликования на сайте Политики обработки персональных данных

На всех интернет-ресурсах должна быть размещена подробная Политика обработки персональных данных (Политика конфиденциальности), где чётко прописано, какие данные собираются, для чего они используются, как обрабатываются и где хранятся. Её отсутствие или несоответствие законодательству будет расцениваться как правонарушение. За отсутствие опубликованной политики обработки персональных данных предусмотрены штрафы для юридических лиц до 60 тысяч рублей (ч. 3 ст. 13.11 КоАП РФ).

Роскомнадзор рекомендует включить в Политику следующие структурные компоненты:

  1. Общие положения. В указанном разделе рекомендуется описать назначение Политики, а также включить основные понятия, используемые в ней (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т.д.), перечислить основные права и обязанности оператора и субъекта (ов) персональных данных.
  2. Цели сбора персональных данных. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
  3. Правовые основания обработки персональных данных. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных.
  4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые оператором персональные данные, а также, если применимо, отдельно описать все случаи обработки специальных категорий персональных данных и биометрических персональных данных.
  5. Порядок и условия обработки персональных данных. В данном разделе рекомендуется указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки персональных данных.
  6. Условия передачи персональных данных в адрес третьих лиц. В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи персональных данных в адрес третьих лиц (например, наличие договора поручения на обработку персональных данных), в том числе, находящихся за пределами Российской Федерации (трансграничная передача). При этом рекомендуется указать конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.
  7. Сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона «О персональных данных», а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных».
  8. Условия прекращения обработки персональных данных. Ими может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
  9. Условия и сроки хранения персональных данных. Хранение персональных данных рекомендуется осуществлять в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Рекомендуется указывать иные условия хранения персональных данных, в том числе, при обработке персональных данных без использования средств автоматизации.
  10. Регламент(ы) реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений.

Оценка соответствия сайта требованиям Роскомнадзора

С 2025 года Роскомнадзор усиливает и автоматизирует контроль за сайтами, в том числе и с использованием ИИ инструментов.

Для оценки соответствия Вашего сайта требованиям и рекомендациям Роскомнадзора можно воспользоваться общедоступным сервисом PersDataSec.ru, предоставляемым компанией GlobalTrust.

Там всего за 5 минут можно пройти опрос под названием Самооценка соответствия интернет-сайта требованиям по обработке персональных данных, позволяющий оценить степень соответствия и получить подробные рекомендации по доработке сайта и его содержимого, с учетом требований и рекомендаций Роскомнадзора, не все из которых явным образом прописаны в нормативных документах, однако применяются на практике при проверках сайтов.

Приведение сайта в соответствие с требованиями Роскомнадзора

Для приведения сайта в соответствие с требованиями Роскомнадзора нужно произвести следующие действия:

  1. Провести аудит текущего состояния сайта. Нужно проверить, соблюдает ли сайт требования законодательства: наличие Политики обработки персональных данных в лёгком доступе для ознакомления, корректное использование согласий пользователей, локализацию хранения данных.
  2. Разработать и актуализировать документацию. Необходимо создать или обновить ключевые документы: Политику обработки персональных данных с полным описанием методов сбора и обработки информации, формы согласия пользователей на обработку данных.
  3. Обеспечить техническую безопасность. Нужно установить SSL-сертификаты для защиты передачи данных, внедрить системы мониторинга безопасности для предотвращения взломов и утечек, регулярно обновлять CMS и плагины сайта.
  4. Обучить сотрудников. Персонал должен знать, как собирать, хранить и обрабатывать информацию в соответствии с законом и что может спросить Роскомнадзор при проверке.
  5. Разработать план действий на случай проверки. Нужно подготовить алгоритм взаимодействия с представителями Роскомнадзора: назначить ответственного за взаимодействие с проверяющими, собрать комплект документов, которые могут потребовать инспекторы.

Для профессионального аудита сайта и максимального снижения риска стоит обратиться к специалистам

Новости

Ужесточение административной и уголовной ответственности в области персональных данных

Дек 2, 2024 #персональные данные от GlobalTrust.ru

Президентом РФ подписано два федеральных закона, ужесточающих ответственность за нарушения и преступления в области персональных данных:

Рассмотрим основные моменты, связанные с вводом в действие этих федеральных законов.

Уголовная ответственность за незаконную обработку персональных данных

В Уголовный кодекс вводится новая статья 272.1, предусматривающая уголовную ответственность за следующие преступные деяния:

  • незаконное использование и/или передача (распространение, предоставление, предоставление доступа) персональных данных;
  • сбор и/или хранение компьютерной информации, содержащей персональные данные, полученной незаконно;
  • создание и/или функционирование информационных ресурсов, предназначенных для незаконного хранения и/или распространения персональных данных.

Все составы, предусмотренные статьей 272.1 УК РФ, отнесены к категории преступлений средней тяжести и выше. За преступления, совершенные организованной группой, можно будет получить срок лишения свободы до 10 лет и штрафы до 3 млн руб.

Кроме того, к уголовной ответственности будут привлекаться граждане, которые:

  • нелегально передают базы данных иностранным организациям или государственным структурам;
  • вывозят незаконно полученные данные за пределы РФ на любых электронных носителях (флеш-накопителях, жестких дисках и других устройствах).

Административная ответственность за утечки персональных данных

В ст. 13.11 КоАП добавлены новые составы правонарушений. Теперь размер штрафа за утечку баз персональных данных будет напрямую зависеть от объема «утекших» данных. Если утечка затрагивает от 1 000 до 10 тыс. субъектов персональных данных, и/или включает от 10 тыс. до 100 тыс. уникальных идентификаторов пользователей, то размер штрафа составит:

  • для граждан – от 100 тыс. до 200 тыс. руб.
  • для должностных лиц – от 200 тыс. до 400 тыс. руб.
  • для организаций – от 3 млн до 5 млн руб.

При утечке данных 10 тыс. – 100 тыс. субъектов или 100 тыс. – 1 млн идентификаторов размер штрафа составит:

  • для граждан – от 200 тыс. до 300 тыс. руб
  • для должностных лиц – от 300 тыс. до 500 тыс. руб.
  • для организаций – от 5 млн до 10 млн руб.

При утечке данных более 100 тыс. граждан и/или более 1 млн. идентификаторов размер штрафа составит:

  • для граждан – от 300 тыс. до 400 тыс. руб
  • для должностных лиц – от 400 тыс. до 600 тыс. руб.
  • для организаций – от 10 млн до 15 млн руб.

За неоднократные утечки больших объемов персональных данных вводятся оборотные штрафы, измеряемые в процентах от совокупной годовой выручки оператора персональных данных за предыдущий год.

О компании GlobalTrust

Компания GlobalTrust помогает организациям защищать информационные системы персональных данных и обеспечивать их соответствие требованиям законодательства и нормативной базы РФ, предоставляя: