Автоматизация поиска нарушений в области персданных: чем это грозит?
14 января 2025 года на Федеральном портале был опубликован законопроект, вносящий изменения в законодательство о персональных данных. Согласно новым правилам, Роскомнадзор получит возможность проводить автоматизированные проверки сайтов компаний на предмет соблюдения требований по обработке персональных данных (ПДн). Это стало возможным благодаря новой информационной системе, которая автоматически проверяет сайты на соответствие законодательству. Нововведение вносит изменения в Постановление Правительства №1046 от 29.06.2021 и означает, что проверки станут более частыми, масштабными и могут затронуть практически каждую организацию. Готов ли бизнес к таким изменениям?
Как будут работать автоматизированные проверки?
Информационная система Роскомнадзора будет анализировать сайты компаний на предмет соблюдения требований законодательства в области ПДн. Проверки будут проводиться без предварительного уведомления владельца сайта. В частности, система проверит факт и корректность уведомления Роскомнадзора об обработке персональных данных, а также отследит регистрацию в реестре операторов ПДн.
По данным на февраль 2025 года, в реестре операторов персональных данных зарегистрировано около 1 миллиона субъектов, включая юридических лиц, индивидуальных предпринимателей и физических лиц. Однако среди них лишь 12% от общего числа зарегистрированных в России юридических лиц и ИП, которое, по данным ФНС, составляет почти 7,8 миллионов. Важно понимать, что автоматизированные проверки затронут всех, кто обрабатывает персональные данные, независимо от того, зарегистрирован оператор в реестре или нет.
Что грозит за нарушения?
В случае выявления несоответствий оператору ПДн будет направлено предостережение с требованием устранить нарушения в течение 10 дней. Если требования не будут выполнены, Роскомнадзор составит протокол об административном правонарушении. С учетом изменений в ст. 13.11 КоАП РФ, которые вступят в силу с 30 мая 2025 года, штрафы за нарушения достигают значительных сумм. Например, нарушение требований при сборе и обработке ПДн может обойтись в 300 тыс. рублей, а некорректное оформление согласий на обработку данных — в 700 тыс. рублей. Отсутствие политики обработки ПДн грозит штрафом до 60 тыс. рублей, а нарушение требований по локализации данных — до 6 млн рублей. Отсутствие оператора в реестре РКН приведет к штрафу в 300 тыс. рублей.
Что будет анализировать система?
Автоматизированная система проверки Роскомнадзора в первую очередь будет анализировать наличие форм сбора персональных данных, таких как формы обратной связи, регистрации и отправки обращений. Также система проверит использование метрических программ, Яндекс.Метрика и Google Analytics, корректность сбора согласий, локализацию сайта и данных, размещение политики обработки персональных данных и факт регистрации оператора в реестре Роскомнадзора.
Как подготовиться к проверкам?
«Чтобы минимизировать риски, важно провести комплексный аудит сайта и процессов обработки данных. Начните с проверки корректности сбора согласий на обработку ПДн, наличия и актуальности политики обработки данных, использования cookies, локализации сайта и баз данных, а также применения иностранных сервисов для обработки персданных. Однако проверка — это только первый шаг. Дальше необходимо заняться организационными и техническими мерами защиты. Начать стоит с назначения ответственного за организацию обработки ПДн, а затем перейти к разработке внутренних регламентов, регулярному обучению сотрудников, внедрению мер защиты данных, таких как контроль доступа, антивирусная защита и анализ уязвимостей, а также регулярному мониторингу изменений в законодательстве», — объяснила Алена Лукашева, заместитель руководителя департамента аудита и консалтинга iTPROTECT.
Почему это важно?
Автоматизированные проверки корректности обработки ПДн на сайтах — это достаточно весомый шаг в общем перечне мер по ужесточению контроля в этом вопросе. Законодательство в области защиты персональных данных постоянно меняется, и бизнесу нужно быть готовым к новым требованиям.
В рамках своих проектов команда iTPROTECT не только обеспечивает соответствие требованиям «в моменте времени» или готовит к проверке, но и помогает своевременно обновлять меры защиты с учетом регулярных изменений в законодательстве. Если вы хотите привести сайт в соответствие с требованиями в области ПДн, напишите нам. Наша команда обладает всем необходимым опытом и готова поделиться своими знаниями в рамках бесплатной консультации.
