В конце мая вступает в силу Федеральный закон от 30.11.2024г. № 420-ФЗ, устанавливающий новые, более жесткие требования к операторам персональных данных. Под указанные нормы подпадают юридические лица, индивидуальные предприниматели и самозанятые граждане, получающие и использующие персональные данные своих работников, клиентов, посетителей и так далее. В соответствии с вступающими в силу положениями закона, размер административных штрафов за нарушение требований, касающихся обеспечения защиты и безопасности персональных данных граждан, будет существенно увеличен.

В статью 13.11 КоАП добавили новые составы правонарушений. Согласно нововведениям, размер штрафа за утечку баз данных с персональной информацией будет напрямую зависеть от объема утерянных данных. Максимальный размер штрафа может достигать 20 млн рублей, а операторы, неоднократно допускающие утечки больших объемов персональных данных, столкнутся с самыми суровыми санкциями – оборотными штрафами. Они будут привязаны к проценту от совокупной годовой выручки компании за предыдущий год.

Кроме того, вводится ответственность за неуведомление или несвоевременное уведомление Роскомнадзора о намерении осуществлять обработку персональных данных или о факте неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов. Штраф за указанное нарушение может достигать 3 млн рублей.

Также появится административная ответственность за отказ заключать и исполнять договоры, а также предоставить государственные или муниципальные услуги, если гражданин не хочет проходить идентификацию или аутентификацию с помощью биометрических данных.

С целью недопущения нарушения законодательства, рекомендуем руководствоваться следующими подходами при обработке персональных данных.

Минимизируйте перечень персональных данных, которые собираете и обрабатываете. Используйте лишь те данные, которые действительно необходимы для оказания услуг, продажи товаров и иной деятельности организации. Соблюдайте принцип раздельного хранения различных категорий персональных данных, в том числе несовместимых между собой по целям обработки. Своевременно уничтожайте персональные данные при достижении цели их обработки.

Используйте надежные технические и программные средства для безопасного хранения и обработки персональных данных. Разработайте внутренний регламент организации, закрепляющий правила работы с персональными данными. Назначьте ответственного за контроль соблюдения внутреннего регламента сотрудника. Своевременно уведомляйте Роскомнадзор о намерении осуществлять обработку персональных данных, а также признаках или наступивших инцидентах, повлекших (возможно повлекших) распространение персональных данных субъектов. Регулярно отслеживайте изменения законодательства о персональных данных и не бойтесь обращаться к квалифицированным специалистам за помощью.