Проверки РКН больше не редкость: автоматические системы выявляют нарушения даже у небольших компаний. Узнайте, какие мифы о ПДн приводят к штрафам, и приходите на вебинар 19 ноября, чтобы защитить свой бизнес.
Многие владельцы бизнеса откладывали подготовку к проверкам Роскомнадзора в части соблюдения закона о защите персональных данных, рассчитывая, что надзорные органы не будут тратить ресурсы на небольшие предприятия.
Однако развитие автоматизации привело к тому, что теперь для осуществления проверок не нужны кипы бумаг, выезд на место, огромное количество персонала и финансовых затрат. Когда надзорный орган начал массовые проверки, оказалось, что «письма счастья» приходят не только крупным компаниям, но и владельцам малого бизнеса, ИП и самозанятым.
Восемь мифов о проверках РКН
Сегодня разберем самые распространенные заблуждения предпринимателей, которые могут привести к серьезным штрафам.
Миф 1: «Я самозанятый, для меня эти требования по работе с персональными данными не действуют».
Реальность: все операторы персональных данных, включая самозанятых, должны обеспечить безопасность обрабатываемых ПДн и выполнять обработку в соответствии с 152-ФЗ. Если РКН узнает о нарушении, то наложит административный штраф, пусть и не такой существенный, как для ИП или организаций.
Миф 2: «Я ИП/владелец малого бизнеса, до меня не доберутся».
Реальность: проверки носят массовый характер и затрагивают все формы предпринимательства – от малого до крупного. Автоматизированные системы РКН легко находят сайты с формами обратной связи, где пользователи вводят свои данные.
Миф 3: «Я не регистрировался в качестве оператора ПДн, так что про меня не знают, а, значит, не проверят».
Реальность: как уже сказано выше, Роскомнадзор легко находит сайты с формами, в которые пользователь вводит ПДн. И первое, что проверит надзорный орган, если на сайте ведется обработка ПДн – является ли организация оператором ПДн. За неподачу уведомления в РКН о том, что вы являетесь оператором, предусмотрен штраф.
Миф 4: «У меня просто форма обратной связи, это не сбор ПДн».
Реальность: любые ФИО, телефоны и e-mail – это персональные данные. Любые действия с ними подпадают под 152-ФЗ.
Миф 5: «Реализация мер защиты ПДн – это слишком сложно и дорого».
Реальность: штрафы и судебные издержки обойдутся дороже. На вебинаре вы получите пошаговую инструкцию, как все сделать правильно с минимальными затратами.
Миф 6: «Я работаю только с юрлицами, а 152-ФЗ – про физлиц».
Реальность: если вы заключаете договор с ООО, но ваш контакт – конкретный человек (директор, менеджер), вы точно так же обрабатываете его персональные данные (ФИО, должность, рабочий email/телефон). Более того, форма обратной связи на вашем сайте, где просят оставить телефон «для связи по коммерческому предложению», тоже подпадает под закон.
Миф 7: «Раз я отправил уведомление в РКН, этого достаточно».
Реальность: подача уведомления – это лишь один из многих шагов (и он обязателен не для всех). РКН проверяет не факт подачи уведомления, а соблюдение всего комплекса мер по защите данных: наличие Политики на сайте, правильных согласий в формах, внутренних документов, а также обеспечение конфиденциальности. За несоблюдение этих мер штрафуют.
Миф 8: «Достаточно просто разместить на сайте политику конфиденциальности».
Реальность: этого недостаточно. Для соответствия 152-ФЗ необходимо обеспечить реализацию организационных и технических мер защиты ПДн. К организационным мерам защиты относится политика обработки ПДн, приказы о назначении ответственных, согласия на обработку ПДн и многое другое. К техническим мерам относится физическая и техническая защита персональных данных, например, антивирусы или межсетевые экраны.
Про организационные меры защиты ПДн расскажем на вебинаре
Приглашаем на закрытый вебинар, который состоится 19 ноября в 16:00 (мск), где расскажем, как выстроить работу с персональными данными в компании.
- Разработка внутренней документации по защите данных.
- Физическая охрана: видеонаблюдение, сигнализация, замки, решетки на окнах.
- Хранение бумажных документов с данными в закрытых шкафах или сейфах.
- Пропускная система в офис и в помещения, где работают с персональными данными.
- Обучение сотрудников: инструктаж, семинары и курсы по защите данных.
- Внутренние и внешние проверки, чтобы убедиться, что все работает как надо.
- Постоянный контроль: следить, чтобы все было под защитой, а сотрудники выполняли свои обязанности.
- Расследование инцидентов, связанных с нарушением безопасности персональных данных, и привлечение виновных к дисциплинарной, административной и другим видам ответственности.
Незнание закона не освобождает от ответственности. Потратьте 1,5 часа 19 ноября, чтобы защитить свой бизнес от штрафов до 300 000 рублей. Успейте зарегистрироваться на вебинар, пока есть места.
