Размещение персональных данных 2024

Нарушение правил обработки и хранения персональных данных приводит к штрафам на десятки, а иногда и сотни тысяч рублей. Рассказываем, за что наказывает Роскомнадзор в 2024 г. и как избежать ответственности.

Что изменилось в 2024 г.

17.02.2023 г. вступили в силу поправки из постановления Правительства РФ от 04.02.2023 г. № 161. РКН получил право с согласия прокуратуры проводить внеплановые проверки, если поступила информация о распространении баз данных с персональными данными. Не спасутся даже аккредитованные ИТ-организации, которые попали под мораторий на внеплановые проверки.

Второе новшество введено Законом от 29.12.2022 г. № 625-ФЗ — Роскомнадзору разрешили выписывать штрафы без фактического посещения компаний. Если получена информация об обработке данных без согласия владельца, могут выписать штраф по п. 1-2.1, п. 4 ст. 13.11 КоАП РФ без проведения контрольного мероприятия — письмо РКН от 31.01.2023 г. № 09-6488.

Третье изменение — обновление формы согласия на размещение биометрических данных в единой системе. Актуальный бланк утвердили распоряжением Правительства РФ от 01.02.2023 г. № 207-р. К биометрии относятся рост, вес, анализы ДНК и другая информация, которая относится к биологическим и физиологическим особенностям человека.

30 дней Эльбы в подарок

Оцените все возможности онлайн-бухгалтерии бесплатно

Попробовать бесплатно

За что предусмотрена ответственность

Чаще всего штрафуют за:

  • незаконную обработку данных;
  • разглашение данных;
  • нарушение правил обработки;
  • передачу данных без разрешения или с нарушениями;
  • недостаточную защиту информации;
  • невыполнение требований РКН;
  • другие нарушения, установленные Законом от 27.07.2006 г. № 152-ФЗ.

По некоторым нарушениям штрафуют и компанию, и должностных лиц.

Организация может избежать штрафа, если нарушение произошло из-за противоправных действий третьих лиц. При этом нужно доказать, что компания приняла меры по защите персональных данных.

Как избежать ответственности

Всё просто — соблюдайте правила! Убедитесь, чтоб бумажные и электронные данные надёжно защищены. В первом случае храните информацию в закрытом помещении, во втором привлекайте квалифицированных айтишников, которые обеспечат защиту от взломов.

И не забывайте получать все необходимые согласия:

  • На обработку— основной документ, актуальный в большинстве случаев. В офисе предлагайте бумажное согласие, на сайте — ставить галочку в чек-боксе.
  • На распространение данных, разрешённых к распространению, например, если планируете размещать информацию о сотрудниках на корпоративном сайте.
  • На обработку специальных категорий данных— тех, которые нельзя запрашивать в стандартных ситуациях. Например, философские или политические взгляды человека.
  • На трансграничную передачу— если планируете отправлять информацию за пределы РФ.
  • На обработку биометрических данных— информация о росте, весе, цвете глаз и прочих физиологических и биологических особенностях человека.

Штрафы за нарушения

Незаконная обработка данных.За первое нарушение — ч.1 ст. 13.11 КоАП РФ:

  • должностное лицо или ИП — 10 000 ₽ – 20 000 ₽;
  • компания — 60 000 ₽ – 100 000 ₽.

За повторное нарушение — ч. 1.1 ст. 13.11 КоАП РФ:

  • должностное лицо — 20 000 ₽ – 50 000 ₽;
  • ИП — 50 000 ₽ – 100 000 ₽;
  • компания — 100 000 ₽ – 300 000 ₽.

Обработка данных без согласия.За первое нарушение — ч. 2 ст. 13.11 КоАП РФ:

  • должностное лицо или ИП — 20 000 ₽ – 40 000 ₽;
  • компания — 30 000 ₽ – 150 000 ₽.

За повторное нарушение— ч. 2.1 КоАП РФ:

  • должностное лицо — 40 000 ₽ – 100 000 ₽;
  • ИП — 100 000 ₽ – 300 000 ₽;
  • компания — 300 000 ₽ – 500 000 ₽.

Отсутствие опубликованной политики обработки данных— ч. 3 ст. 13.11 КоАП РФ:

  • должностное лицо — 6000 ₽ – 12 000 ₽;
  • ИП — 10 000 ₽ – 20 000 ₽;
  • компания — 30 000 ₽ – 60 000₽.

Отказ предоставить информацию владельцу данных— ч. 4 ст. 13.11 КоАП РФ:

  • ИП — 20 000 ₽ – 30 000 ₽;
  • компания — 40 000 ₽ – 80 000 ₽.

Отказ от уточнения, блокирования или уничтожения данных.За первое нарушение — ч. 5 ст. 13.11 КоАП РФ:

  • должностное лицо — 8 000 ₽ – 20 000 ₽;
  • ИП — 20 000 ₽ – 40 000 ₽;
  • компания — 50 000 ₽ – 90 000 ₽.

За повторное нарушение — ч 5.1 ст. 13.11 КоАП РФ:

  • должностное лицо — 30 000 ₽ – 50 000 ₽;
  • ИП — 50 000 ₽ – 100 000 ₽;
  • компания — 300 000 ₽ – 500 000 ₽.

Необеспечение сохранности данных на материальных носителях— ч.6 ст. 13.11 КоАП РФ:

  • ИП — 20 000 ₽ – 40 000 ₽;
  • компания — 50 000 ₽ – 100 000 ₽.

Нарушение правил обращения с собранными данными.За первое нарушение — ч. 8 ст. 13.11 КоАП РФ:

  • должностное лицо — 100 000 ₽ – 200 000 ₽.;
  • компания или ИП — 1 – 6 млн ₽.

За повторное нарушение — ч. 9 ст. 13.11 КоАП РФ:

  • компания или ИП — 6 – 18 млн ₽.

Отказ предоставить информацию по запросу РКН— ст. 19.7 КоАП РФ:

  • должностное лицо или ИП — 300 ₽ – 500 ₽;
  • компания — 3000 ₽ – 5 000 ₽.

Уклонение и препятствование проверке Роскомнадзора— ч. 1 ст. 19.4.1 КоАП РФ:

  • должностное лицо или ИП — 2000 ₽ – 4000 ₽;
  • компания — 5000 ₽ – 10 000 ₽.

Препятствование завершению проверки РКН.За первое нарушение — ч. 2 ст. 19.4.1 КоАП РФ:

  • должностное лицо или ИП — 5000₽ – 10 000 ₽;
  • компания — 20 000 ₽ – 50 000 ₽.

За повторное нарушение — п. 3 ст. 19.4.1 КоАП РФ:

  • должностное лицо или ИП — 10 000₽ – 20 000 ₽ или дисквалификация на срок от шести месяцев до одного года;
  • компания — 50 000 ₽ – 100 000 ₽.

Отказ исполнять предписание РКН— ч. 1 ст. 19.5 КоАП РФ:

  • должностное лицо или ИП — 1000 ₽ – 2000 ₽ или дисквалификация на срок до трех лет;
  • компания — 10 000 ₽ – 20 000 ₽.
Рекомендация  Что делать если преподаватель оскорбляет и унижает студента 2024

Рассказываем о сложных вещах незанудно, понятно и с юмором на ютуб-канале

Коротко

  1. С 17.02.2023 г. РКН разрешили проводить внеплановые проверки любых организаций, если поступила информация о распространении баз персональных данных.
  2. РКН может выписывать штрафы без проведения контрольных мероприятий, если получена информация о незаконной обработке данных.
  3. Нужно использовать новую форму согласия на сбор биометрических данных, которая утверждена распоряжением Правительства РФ от 01.02.2023 г. № 207-р.
  4. Чтобы избежать крупных штрафов, собирайте все согласия и позаботьтесь о защите данных — как бумажных, так и электронных.
  5. За нарушение правил сбора, обработки и хранения персональных данных штрафуют на сумму до 18 млн руб.

Статья актуальна на 23.06.2023

Продолжайте читать

Расходные кассовые ордера: как заполнить и использовать

Мораторий на проверки бизнеса продлили на 2024 год

Маркировка товаров: сроки, требования, санкции

Ещё больше полезного

Рассылка для бизнеса

Дайджест о законах, налогах, отчётах два раза в месяц
Успех! Мы выслали подтверждение на адрес указанной вами электронной почты.

Подписываясь, вы соглашаетесь на обработку персональных данных и получение информационных сообщений от группы компании СКБ Контур

Соцсети

Новости и видео — простыми словами, с заботой о бизнесе

Мы всегда рады комментариям, которые не нарушают наши правила и поддерживают дружелюбную атмосферу на сайте. Стараемся в течение 2-4 дней отвечать на все вопросы по Эльбе и несложным бухгалтерским темам. Если вопрос срочный, лучше обратиться в техподдержку .

Полезности

  • Справочная
  • Курсы
  • Рассылка
  • Регистрация бизнеса
  • Справочник ОКВЭД

Размещение персональных данных 2024

Об утверждении Правил получения согласия, указанного в пункте 6 части 5 статьи 26 Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации», и формы согласия физического лица на размещение его биометрических персональных данных в региональном сегменте единой биометрической системы

ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ

ПОСТАНОВЛЕНИЕ

от 17 марта 2024 г. № 405

МОСКВА

Об утверждении Правил получения согласия, указанного в пункте 6 части 5 статьи 26 Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации», и формы согласия физического лица на размещение его биометрических персональных данных в региональном сегменте единой биометрической системы

В соответствии с пунктом 9 части 5 статьи 26 Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации» Правительство Российской Федерации постановляет:

1. Утвердить прилагаемые:

Правила получения согласия, указанного в пункте 6 части 5 статьи 26 Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации»;

форму согласия физического лица на размещение его биометрических персональных данных в региональном сегменте единой биометрической системы.

2. Настоящее постановление вступает в силу с 1 июня 2024 г. и действует до 1 января 2027 г., за исключением абзаца пятого пункта 6 Правил, утвержденных настоящим постановлением, который действует до 1 января 2025 г.

Председатель Правительства Российской Федерации М.Мишустин

УТВЕРЖДЕНЫ постановлением Правительства Российской Федерацииот 17 марта 2024 г. № 405

ПРАВИЛА получения согласия, указанного в пункте 6 части 5 статьи 26 Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации»

1. Настоящие Правила устанавливают порядок получения согласия физического лица на размещение его биометрических персональных данных в региональном сегменте единой биометрической системы, на передачу его биометрических персональных данных в единую биометрическую систему из региональных сегментов единой биометрической системы, на обработку таких биометрических персональных данных в единой биометрической системе, а также согласия на обработку персональных данных и биометрических персональных данных в целях проведения его аутентификации в соответствии с пунктом 10 части 5 статьи 26 Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации» (далее — согласие на обработку персональных данных и биометрических персональных данных в целях аутентификации) .

2. Согласие физического лица на размещение его биометрических персональных данных в региональном сегменте единой биометрической системы, на передачу его биометрических персональных данных в единую биометрическую систему из региональных сегментов единой биометрической системы, на обработку таких биометрических персональных данных в единой биометрической системе предоставляется физическим лицом оператору регионального сегмента единой биометрической системы в форме электронного документа с использованием регионального мобильного приложения единой биометрической системы с применением пользовательского оборудования (оконечного оборудования) , имеющего в своем составе идентификационный модуль, при размещении биометрических персональных данных в региональном сегменте единой биометрической системы в соответствии с пунктом 1 части 5 статьи 26 Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации».

3. Согласие физического лица на размещение его биометрических персональных данных в региональном сегменте единой биометрической системы предоставляется физическим лицом оператору регионального сегмента единой биометрической системы по форме, утвержденной постановлением Правительства Российской Федерации от 17 марта 2024 г. № 405 «Об утверждении Правил получения согласия, указанного в пункте 6 части 5 статьи 26 Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации», и формы согласия физического лица на размещение его биометрических персональных данных в региональном сегменте единой биометрической системы».

Рекомендация  Отказ банка в выдаче кредитного договора 2024

4. Согласие на обработку персональных данных и биометрических персональных данных в целях аутентификации предоставляется физическим лицом органам государственной власти соответствующего субъекта Российской Федерации, подведомственным им организациям, органам местного самоуправления указанного субъекта Российской Федерации, подведомственным им организациям, иным организациям, предоставляющим услуги, организация оказания которых регулируется нормативными правовыми актами субъекта Российской Федерации, которые имеют место нахождения на территории указанного субъекта Российской Федерации, организациям иного субъекта Российской Федерации, оказывающим услуги по перевозке пассажиров, в случаях, предусмотренных в соответствии с пунктом 12 части 5 статьи 26 Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации» при предоставлении государственных услуг органами исполнительной власти субъектов Российской Федерации, предоставлении муниципальных услуг, а также при предоставлении иных услуг организациями, если оказание таких услуг регулируется нормативными правовыми актами соответствующего субъекта Российской Федерации.

5. Согласие на обработку персональных данных и биометрических персональных данных в целях аутентификации предоставляется физическим лицом в письменной форме, в том числе в форме электронного документа, с учетом требований к содержанию согласия субъекта персональных данных на обработку персональных данных, установленных частью 4 статьи 9 Федерального закона «О персональных данных».

6. Согласие физического лица на размещение его биометрических персональных данных в региональном сегменте единой биометрической системы, на передачу его биометрических персональных данных в единую биометрическую систему из региональных сегментов единой биометрической системы, на обработку таких биометрических персональных данных в единой биометрической системе и согласие на обработку персональных данных и биометрических персональных данных в целях аутентификации в форме электронного документа могут быть подписаны:

усиленной неквалифицированной электронной подписью, сертификат ключа проверки которой создан и используется в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме, в установленном Правительством Российской Федерации порядке, предусматривающем в том числе порядок проверки такой электронной подписи, и при условии организации взаимодействия физического лица с такой инфраструктурой с применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

простой электронной подписью:

правом создания (замены) и выдачи ключа которой в порядке, предусмотренном законодательством Российской Федерации в области использования электронных подписей, обладают органы и организации, указанные в пунктах 11 и 12 части 5 статьи 26 Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации»;

ключ которой получен физическим лицом при личной явке в соответствии с Правилами использования простой электронной подписи при оказании государственных и муниципальных услуг, утвержденными постановлением Правительства Российской Федерации от 25 января 2013 г. № 33 «Об использовании простой электронной подписи при оказании государственных и муниципальных услуг».

7. Согласие физического лица на размещение его биометрических персональных данных в региональном сегменте единой биометрической системы, на передачу его биометрических персональных данных в единую биометрическую систему из региональных сегментов единой биометрической системы, на обработку таких биометрических персональных данных в единой биометрической системе и согласие на обработку персональных данных и биометрических персональных данных в целях аутентификации недееспособного либо несовершеннолетнего лица предоставляются и подписываются его законным представителем в соответствии с настоящими Правилами.

8. Согласие физического лица на размещение его биометрических персональных данных в региональном сегменте единой биометрической системы, на передачу его биометрических персональных данных в единую биометрическую систему из региональных сегментов единой биометрической системы, на обработку таких биометрических персональных данных в единой биометрической системе передается оператором регионального сегмента единой биометрической системы оператору единой биометрической системы в том числе при наличии технической возможности с использованием единой системы межведомственного электронного взаимодействия не позднее дня передачи биометрических персональных данных в соответствии с частью 10 статьи 4 Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации», в отношении которых получено указанное согласие.

_____________

УТВЕРЖДЕНА постановлением Правительства Российской Федерацииот 17 марта 2024 г. № 405

Персональные данные с 1 марта 2024 года

Тема «Персональные данные 2024» всё больше интересует читателей. Дело в том, что в этой области произошли изменения в законодательстве, которые вступили в силу 1 марта этого года.

В статье подробно расскажем, что изменилось и как работать с персональными данными (ПД) по новым правилам в 2024 году.

Обработка персональных данных в 2024 году

Основные изменения в законе 152-ФЗ «О персональных данных» в 2024 году вводят новые правила, которые касаются:

  • сроков подачи уведомлений в Роскомнадзор;
  • уничтожения персональных данных;
  • новых полномочий Роскомнадзора при передаче ПД за границу;
  • оценки вреда утечки персональных данных.

Все нововведения вступили в силу 1 марта 2024 года. Рассмотрим каждый пункт по отдельности.

Уведомление об изменении персональных данных: новый срок

Все, кто обрабатывает персональные данные, являются операторами персональных данных. Такие организации отправляют в Роскомнадзор уведомление о сборе персональных данных и уведомление об изменении представленной информации.

Ранее отправлять уведомление об изменении представленных персональных данных операторам нужно было в течение 10 дней с момента их корректировки. С 1 марта 2024 года этот срок увеличен. Теперь, если ПД изменились, оператору можно отправить соответствующее уведомление в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения.

При представлении используется форма из приложения № 2 приказа Роскомнадзора от 28.10.2022 № 180.

Уничтожение персональных данных: новые правила

Согласно Приказу Роскомнадзора от 28.10.2022 № 179, операторам ПД нужно подтверждать уничтожение сведений о персональных данных. В документе прописаны порядок и требования к данной процедуре.

Уничтожение персональных данных на бумажных носителях должны фиксироваться актом. В нём указывают категорию уничтожаемых ПД, Ф.И.О. и должности участников процедуры, их подписи, причины и способы уничтожения и т.п.

Если электронные персональные данные удаляют из хранилища информационной системы, то достаточно выгрузки журнала, где зарегистрированы все события. Если в выгрузке какие-либо сведения не будут указаны, их дополняют бумажным актом. В нём дописывают недостающую информацию.

Рекомендация  Правовые полномочия директора школы 2024

Срок хранения акта 3 года.

Передача персональных данных за границу

Основные моменты, которые важно знать

Если компания осуществляет трансграничную передачу персональных данных, то она обязана уведомить об этом Роскомнадзор. Данное правило введено Федеральным законом от 14.07.2022 № 266-ФЗ и действует с 1 марта 2022 года. ПД отправляются, когда компания сотрудничает с заграничными партнёрами, отправляет работников в командировку или на обучение за рубеж.

Уведомление о трансграничной передаче направляется в Роскомнадзор:

  • единоразово, до осуществления отправки ПД за рубеж;
  • отдельно от других уведомлений об обработке персональных данных;
  • с указанием всех стран, куда оператор ПД уже передаёт персональные данные.

До 1 марта 2024 года

Перед отправкой персональных данных за пределы РФ оператор должен проверить получателя на безопасность. Необходимо убедиться, сможет ли иностранный партнёр соблюдать конфиденциальность ПД и обеспечивать их защиту при обработке.

Важно! Данные действия не касаются стран Конвенции Совета Европы и стран, включённых в перечень Роскомнадзора.

После анализа и положительного решения, оператор ПД должен подать уведомление о том, что он осуществляет передачу персональных данных за рубеж.

После 1 марта 2024 года

Вышеописанные процедуры по проверке защиты иностранного получателя оператору ПД необходимо делать каждый раз, когда он хочет осуществить:

  • запуск нового процесса, связанного с отправкой персональных данных за границу. Пример: заключение договора с новым зарубежным партнёром;
  • изменения в текущем процессе передачи ПД. Пример: Компания использует иностранный облачный сервис для обработки персональных данных. После 1 марта 2024 года она начала обрабатывать не только данные своих сотрудников, но и данные клиентов.

Оператор ПД отправляет уведомление о трансграничной передаче персональных данных и может сразу приступать к их обработке.

В течение 10 дней Роскомнадзор проводит собственную проверку иностранного получателя. После этого ведомство может запретить или ограничить передачу ПД во внесудебном порядке.

Оператор может осуществлять трансграничную передачу ПД только по истечении 10 дней с момента получения уведомления от Роскомнадзора. Однако ведомство может наложить запрет повторно.

Также Роскомнадзор может запретить всем операторам ПД отправлять персональные данные в конкретное государство. Или во внесудебном порядке установить ограничения передачи к отдельному оператору ПД.

Данные меры приняты в целях защиты нравственности, здоровья, прав и законных интересов граждан. Решение можно обжаловать в суде или у вышестоящего должностного лица Роскомнадзора.

Что изменилось с 1 марта 2024 года

Согласно тексту поправок ст.12 152-ФЗ, сама форма уведомления о намерении трансграничной передачи не изменилась. До 1 марта 2024 года Роскомнадзор не мог принимать решения о запрете или ограничении отправки ПД. После 1 марта 2024 года у ведомства такое полномочие появилось.

Теперь Роскомнадзор сам принимает решение, может ли зарубежная страна обеспечить должную защиту персональных данных.

Важно! Операторам, подавшим уведомление о трансграничной передаче до 1 марта 2024 года, не нужно подавать новое уведомление до тех пор, пока в их деятельности не произойдут изменения, которые предполагают создание новых трансграничных потоков данных.

Уведомление об утечке персональных данных

При утечке персональных данных оператор ПД должен уведомить об этом органы исполнительной власти. Для этого оператор отправляет специальное уведомление в Роскомнадзор.

Оценка вреда, который может быть причинён субъектам персональных данных

1 марта 2024 года вступил в силу Приказ Роскомнадзора от 27.10.2022 № 178. Документ обязывает операторов ПД создать акт, в котором прописываются возможные степени риска при работе с персональными данными. То есть компания должна оценить, какой вред будет причинён субъекту ПД в случае нарушения Федерального закона «О персональных данных». Оценку указанного вреда проводит ответственный за организацию обработки ПД или комиссия, созданная оператором.

Форма акта не установлена.

Какие бывают степени вреда

Для оценки вреда оператор определяет одну из трёх степеней: высокую, среднюю или низкую. Конкретная степень зависит от допущенных нарушений. При выявлении факторов, относящихся к разным степеням риска, выбирается более высокая степень.

Высокая

Высокая степень вреда присваивается, если:

  • ведётся обработка биометрических ПД с целью установления личности субъекта, которому они принадлежат. Исключение – случаи, когда обработка таких данных прямо предусмотрена законом;
  • ведётся обработка ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости. Исключение – случаи, установленные федеральными законами для специальных категорий ПД;
  • ведётся обработка ПД несовершеннолетних для исполнения или заключения договора;
  • обезличиваются ПД для оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также других исследований, не предусмотренных п. 9 ч. 1 ст. 6 Закона № 152-ФЗ;
  • иностранному гражданину поручено вести обработку персональных данных граждан РФ;
  • осуществляется сбор ПД с помощью баз данных, находящихся за пределами РФ.

Средняя

Средняя степень вреда присваивается, если:

  • ПД распространяются на сайте оператора или неограниченному кругу лиц;
  • цель обработки ПД отличается от первоначальной;
  • используются базы персональных данных других операторов с целью продвижения своих товаров, работ, услуг;
  • получено согласие на обработку ПД на сайте оператора, который не предусматривает дальнейшую идентификацию и аутентификацию субъекта персональных данных;
  • осуществляется обработка персональных данных с получением согласия на передачу права их обработки третьими лицам в целях, которые несовместимы с целями сбора таких данных.

Низкая

Низкая степень вреда устанавливается, если:

  • ведётся общедоступный источник персональных данных, сформированный в соответствии со ст. 8 Закона № 152-ФЗ;
  • ответственным за обработку персональных данных назначается лицо, которое не является штатным сотрудником оператора ПД.

Представленные требования действуют до 1 марта 2029 года.

Сервис 152DOC поможет вам выполнить требования закона № 152-ФЗ и вовремя подготовить все документы, которые нужны для работы с персональными данными сотрудников и клиентов. Если при заполнении бумаг у вас возникнут вопросы, вы сможете задать их специалистам по защите персональных данных.