Штрафы по ПД будем измерять теперь не тысячами, а миллионами. Почему управление персоналом, как минимум, должно озаботиться этой проблемой?

МЕНЮ


Главная страница
Поиск
Регистрация на сайте
Помощь проекту
Архив новостей

ТЕМЫ


Новости ИИРазработка ИИВнедрение ИИРабота разума и сознаниеМодель мозгаРобототехника, БПЛАТрансгуманизмОбработка текстаТеория эволюцииДополненная реальностьЖелезоКиберугрозыНаучный мирИТ индустрияРазработка ПОТеория информацииМатематикаЦифровая экономика

Авторизация



RSS


RSS новости


То, о чем так долго говорили, произошло. Государственная дума приняла в третьем чтении изменения по:

1. Административным штрафам за нарушения в области персональных данных,

2. Уголовной ответственности за незаконные использование и (или) передачу, сбор и (или) хранение компьютерной информации, содержащей персональные данные

Напоминаю, что предыдущие изменения по увеличению размеров административных штрафов тоже были не так что очень уж давно - в декабре 2023 года. То есть не прошло и года и вот опять...

В КоАП вводятся изменения не только устанавливающие миллионные штрафы за нарушения в области персональных данных, но и оборотные штрафы, которые будут рассчитываться не в абсолютных цифрах, а в % от дохода компании за предшествующий год.

За что вводятся штрафы:

1. уведомление Роскомнадзора - неуведомление или нарушение сроков – от 100 до 300 тыс.

2. уведомление о незаконной или случайной передаче – неуведомление или нарушение сроков (24 часа!) - от 1 до 3 млн.

3. неправомерная передача ПД (в зависимости от объемов данных) - от 3 до 15 млн.

4. неправомерная передача специальной категории данных (состояние здоровья) – от 10 до 15 млн.

5. неправомерная передача биометрических ПД – от 15 до 20 млн.

При выявлении повторного нарушения за неправомерную передачу, если ранее уже привлекали к административной ответственности - от 20 до 500 млн. (определяться от дохода компании за последний год).

Что оперативно нужно проверить, как защитить риски не только административной, но и уголовной ответственности – точно нужен конкретный план по приоритетным действиям - об этом поговорим 9.12. на вебинаре, но в качестве первых выводов:

1. Область персональных данных и так была в зоне высочайшего финансового риска, сейчас эта область риска уже улетела куда-то в поднебесье,

2. Необходимо оперативно и серьезно в каждой организации обсудить этот вопрос.

3. Необходимо оперативно проверить ключевые области риска:

• Уведомление об обработке,

• Положение об уведомлении и расследовании инцидентов,

• Оценку степени потенциального вреда,

• Оценку достаточности принимаемых мер по защите ПД.

4. Необходимо провести и задокументировать проверку обработки ПД в информационных системах и делать это ежегодно. Это может повлиять на размер штрафов (сроки такой документарной проверки должны быть не ранее 12 месяцев).

Кто у вас будет инициировать эту тему - сами разбирайтесь, но управление персоналом просто не может быть в стороне. Напоминаю, что именно наша служба – основной злостный обработчик большого количества персональных данных большого количества субъектов (работников, кандидатов, детей, родственников, стажеров и т.д.).

Во-первых, при проверках РКН не обходит нас стороной. В проверочном листе РКН включены вопросы в том числе соблюдения норм Трудового кодекса РФ по защите персональных данных и их передаче третьим лицам.

Во-вторых, именно в службе управления персоналом (наряду с клиентской службой) по итогам проводимых проверок РКН выявляются нарушения по тем же согласиям на обработку ПД и передаче ПД третьим лицам (банки, страховые компании и т.д.), за что и так с этого 2024 года был установлен штраф от 300 до 700 тыс. руб.

Р.S/ Ну и напоследок, просто поныть…..

Чтобы нормально реализовать все требования законодательства в области персональных данных необходимы уточнения самого термина «персональные данные». Если под этим понимать даже имя человека, то все в практике превращается в маразм. Тогда даже обращение по имени можно приравнивать к разглашению ПД, не говоря уж о том, что 90% всей работы кадровой службы просто должно остановиться, так как во всех кадровых документах будут ПД, если не ФИО самого работника (работников), то ФИО подписантов документов.

Я за разумность и установление комплексного толкования ПД как данных, на основании которых возможна идентификация субъекта или получение о нем данных, потенциально создающих риски недобросовестного использования этих данных с коммерческой или иной корыстной целью. Но пока такие изменения в законодательство не внесены, физически выполнить все требования законодательства по защите персональных данных нереально сложно.


Источник: vk.com

Комментарии: