Продолжаем рассказывать про изменения в 152-ФЗ. Начало можно почитать в этой статье. Не спешите заполнять заявление на сайте Роскомнадзора. Сначала вас ждет внутренний квест - вам нужно все настроить внутри системы. Если вы ИП или самозанятый, вам будет проще. Юр.лицам придется попотеть. Список документов не формален и в законе не прописан, но все же он довольно внушительный.
Соответствие 152-ФЗ «О персональных данных»: 6 шагов, чтобы избежать штрафов
1. Проведите аудит текущих процессов
Начните с того, что задайте себе базовые вопросы:
- кто именно обрабатывает персональные данные как внутри компании, так и поступающие из вне?
- где они хранятся (таблички, CRM, почты и т.д.)?
- кто отвечает за их защиту и есть ли она у вас?
- какие технические средства задействованы?
Если у вас большая организация, проведите рабочую встречу со всеми подразделениями, пусть все подготовят ответы на эти вопросы. Если вы небольшой бизнес, выпишите все себе на листочек или сделайте схемы.
2. Уделите внимание архитектуре ИТ-решений
- проверьте свой сайт на предмет форм и их актуальности, а также есть ли актуальная Политика конфиденциальности и Согласия на обработку данных,
- используется ли облачное хранение (например, 1С),
- подключены ли зарубежные сервисы (почитать про трансграничные переходы),
- используете ли вы средства ремаркетинга и ретаргетинга.
3. Назначьте ответственного за обработку ПД
Если вы юр. лицо, то вы назначаете отдельного человека приказом. Помните, что этот сотрудник должен хорошо знать 152-ФЗ, уметь оперативно вносить изменения в действующие документы и, в целом, держать руку на пульсе. Он несет ответственность за все ваши ПД!
ИП может назначить себя - так даже будет лучше.
ИП может назначить себя - так даже будет лучше.
Если вы думаете избежать этой части, то знайте: по данным судебной практики, отсутствие ответственного лица в ряде случаев трактуется как бездействие оператора. А это сразу штраф.
4. Составляем реестр персональных данных
Выделяем теплый майский вечерок и составляем этот замечательный документ. Его наличие - это ваша защита от штрафов. Этот документ одним из первых запросит Роскомнадзор и он должен содержать исчерпывающую информацию о всех процессах обработки! Перечислим, что сюда нужно отнести:
- какие категории данных обрабатываются;
- для каких целей (аналитика, рассылки, заключение договоров, настройка рекламы и т.д.);
- на каком основании (согласие, закон, договор);
- в каких подразделениях ее обрабатывают (маркетинг, кадры, производство и т.д.);
- с использованием каких ИТ-средств;
- предусмотрена ли трансграничная передача (например, прикручен ли у вас бот в ТГ).
Не забываем, что для каждой записи нужно указать основание, сроки хранения, способ утилизации и список лиц, у которых есть доступ к ним.
5. Проверяем данные на избыточность
Да, да вы можете перебрать данных и это тоже нарушение. Если вы в форме онлайн-заказа решили взять ИНН, то все - нарушение. Эти данные вам не нужны, чтобы отгрузить товар. А если вы еще и не позаботились о должной защите, то вы очень лакомый кусочек для Роскомнадзора. Там где есть что лишнее, убираем, где чего не хватает - добавляем. Спорный момент - нужны ли имя и фамилия для оформления заявки на звонок. Но на этот счет пока нет разъяснений.
6. Определяем время хранения ПД и их утилизацию
Здесь вам тоже нужно прописать сколько и какие данные вы храните. Например, резюме на вакансии может храниться только 30 дней. Дальше вы их уничтожаете. В законе не прописано как именно вы должны это делать. Можете, прописать, что у вас будет ритуальный костер! Но лучше написать, что-то более реальное.
Отдельный вопрос - как утилизировать метрические данные? У нас однажды был случай, когда сотрудник Роскомндзора искренне интересовалась как клиент у нас уничтожает данные Метрики. Зачастую муниципальные и государственные учреждения вырезают счетчики. Да, это очень печально, потому что данные аналитики позволяют делать ресурс лучше и удобнее для людей, но кого это сейчас интересует?
Отдельный вопрос - как утилизировать метрические данные? У нас однажды был случай, когда сотрудник Роскомндзора искренне интересовалась как клиент у нас уничтожает данные Метрики. Зачастую муниципальные и государственные учреждения вырезают счетчики. Да, это очень печально, потому что данные аналитики позволяют делать ресурс лучше и удобнее для людей, но кого это сейчас интересует?
Рекомендуем в этом случае написать в Политике, что данные хранятся на протяжении работы сайта, а уничтожаются путем удаления счетчика или закрытия сайта, а целью является аналитическая работа с целью улучшения сайта.
