Персональные данные: оборотные штрафы уже тут. Что делать?
Во вторник, 26 ноября, Государственная Дума приняла сразу во втором и третьем чтении поправки в КоАП РФ, которые вводят оборотные штрафы за утечки персональных данных. Учитывая частоту утечек и количество данных, ушедших в «свободное плаванье», ужесточение ответственности в этой сфере оправдано.
Новые штрафы
Размеры штрафов будут зависеть от количества субъектов, чьи персональные данные «утекли». Если их не более 100 000, то штраф будет до 5 млн. рублей. Если пострадавших более 1 млн человек, то и штраф будет до 15 млн. рублей. А вот за повторное нарушение будут как раз оборотные штрафы. Максимальный штраф – 3% от годовой выручки, но не менее 20 млн. рублей. Вырастут штрафы и за другие нарушения обработки персональных данных. Там, где сейчас штраф до 100 000 рублей, он вырастет в три раза.
Как компании снизить размер штрафа?
В защиту персональных данных придется вложиться. То, что этот закон, прежде всего, направлен на усиление мер по защите, а не на сбор штрафов, говорят пункты, предполагающие снижение тех самых штрафов, если оператор докажет, что добросовестно выполнял необходимые требования по защите персональных данных и информационной безопасности.
В том, что касается именно работы с персональными данными, оператору надо будет документально доказать, что в течение последних 12 месяцев он соблюдал все правила обработки персональных данных в информационных сетях.
Что это значит?
Это значит, что:
· Есть необходимые ЛНА для регулирования обработки. Причем, не «скачанные из интернетов», не формальные, а реальные, созданные под компанию и ее процессы.
· Отработаны сами процессы обработки, приняты регламенты.
· Определены те, кто имеет доступ к персональным данным, есть основания, процедуры допуска и, главное, его отмены.
· Выработаны алгоритмы по обнаружению инцидентов и реагированию на них…
И это не полный перечень.
Когда закон вступит в силу?
Закон вступит в силу через полгода после опубликования. Обычно, с публикацией не затягивают, после подписания президентом, она происходит довольно быстро. Понятно, что сейчас у вас уже нет тех самых 12 месяцев. Но тут как в той притче: лучшее время для того, чтобы посадить дерево – 20 лет назад. Если не тогда, то сегодня.
Чем раньше вы озаботитесь приведением в порядок документов и процессов, регулирующих персональные данные, тем больше шансов, что в случае утечки вам не придется платить штрафы в полном объеме. А утечки бывают у всех. Взламывают даже Пентагон.
Автор:
Елена Федорова
Юрисконсульт