Это крупнейшее изменение в области защиты личных данных за последние десять лет.
Оператором персональных данных будет считаться любая компания, которая работает с информацией о клиентах, сотрудниках, пользователях сайта или посетителях.
Для сбора данных о поведении посетителей сайта будет требоваться отдельное согласие. Это касается в том числе cookie, содержащих информацию о кликах и времени просмотра товаров. Система штрафов стала строже: теперь предусмотрены разные уровни ответственности - в зависимости от серьезности нарушения и риска для граждан. Санкции выросли кратно:
• За отсутствие согласия на обработку данных - до 300 тыс. рублей для должностных лиц и до 700 тыс. для юрлиц.
• За неправильное хранение данных - до 6 млн рублей для компании.
• За несвоевременное уведомление Роскомнадзора об утечке или начале обработки - штраф до 3 млн рублей.
При повторных утечках данных может применяться оборотный штраф, как в случае с нарушением закона о рекламе - он рассчитывается от оборота компании.
По мнению эксперта Среднерусского института управления - филиала РАНХиГС Натальи Гончарук, данные изменения в законодательстве направлены на определение порядка взаимодействия бизнеса с государственными органами относительно персональных данных. Еще одна цель поправок - обеспечить экстерриториальную защиту информации о российских гражданах. Например, поправки предусматривают, что клиенту нельзя отказать в предоставлении услуг, если он не хочет давать согласие на обработку персональных данных в случаях, когда необходимости в них нет. Компаниям станет сложнее манипулировать потребителями, которым больше не придется предоставлять свои данные в обмен, например, на участие в бонусной программе
При этом переход на новые правила потребует от компаний не формального подхода, а полной пересборки процессов: от сайта до внутренних регламентов.
