С марта действует ряд новых требований в отношении обработки персональных данных. Аналитика юристов компании Бридж Групп показала, что фокус внимания владельцев маркетплейсов и сайтов, на которых продаются услуги, очевидно смещен в сторону развития продаж, тогда как управлению рисками не придается большое значение. А зря, ведь штрафы за нарушение работы с персданными вполне реальны и могут сказаться на финансовых показателях бизнеса.
В начале напомним, что обработка персданных (ПД) пользователей сайта имеет место, если вы собираете информацию через анкеты или формы обратной связи (фио, телефон, адрес электронной почты), обрабатываете файлы cookie, к примеру. Это автоматически делает вас оператором персональных данных, т.е. любое действие, которое совершается с полученными от пользователя ПД, считается в силу закона их обработкой.
Если вы являетесь оператором персданных, то новые изменения в законодательстве возлагают на вас следующие обязанности:
I - уведомить Роскомнадзор о намерении обрабатывать персданные (если вы не сделали это раньше). Уведомление предусмотрено по факту начала и прекращения работы с ПД, а также при изменении сведений, передаче данных третьим лицам или при утечке данных.
II - уведомить Роскомнадзор о всех изменениях, ранее заявленных при уведомлении. Те операторы, у которых изменились первоначальные сведения, заявленные при уведомлении Роскомнадзора, а также те, которые оформили уведомление по старой форме, должны обновить данные согласно новому формату. Так что скорее всего и в вашем случае требуется актуализировать уведомление в Роскомнадзор согласно новым требованиям ведомства.
III - заручиться согласием Роскомнадзора при намерении передать персданные за пределы РФ. Ведомство рекомендует предварительно заручиться от иностранного контрагента подтверждением должного уровня охраны персональных данных, что безусловно вызывает ряд сложностей в текущей политической обстановке. Юристу компании требуется отрабатывать каждый кейс индивидуально – как правило, приходится составить за нерезидента ответ, чтобы оптимизировать его время, причем как запрос, так и сам ответ оформляется на двух языках. Роскомнадзор выборочно может запросить подтверждение прохождения данной процедуры проверки безопасности обработки персданных за пределами РФ.
IV - провести оценку потенциального вреда для обеспечения должного уровня безопасности полученных персданных. Начать необходимо с разработки локальных актов, регламентирующих систему предоставления доступов в данным, порядок их обработки, хранения и защиты. Кроме того, важно назначить ответственных за реализацию и исполнение локальных актов. Периодически потребуется проводить проверку соблюдения внедренных локальных актов, а также позаботиться о технической защите (установить программное обеспечение, предусмотреть регламент частоты смены паролей и др).
V- предусмотреть в форме акта об уничтожении данных 10 обязательных видов сведений. Когда цели обработки ПД достигнуты, такие данные обезличиваются или уничтожаются, что фиксируется актом, и к его форме теперь предъявляются конкретные требования:
· название и адрес оператора;
· название и адрес лица, обрабатывающего ПД по поручению оператора;
· сведения о лице, чьи ПД были уничтожены и фио с должностью, того, кто уничтожил (он подписывается в акте);
· перечень категорий ПД, которые были аннулированы;
· название уничтоженного материального носителя ПД с указанием объема листов (при обработке без средств автоматизации);
· название информационной системы из которой были аннулированы ПД (при обработке с использованием средств автоматизации);
· способ, причина и дата уничтожения
Хранится такой акт 3 года. Если прекратили обработку ПД и уничтожили их – проинформируйте Роскомнадзор.
Деталей работы с персданными много, как и частота изменений в законодательстве и, казалось бы, важность вопроса несущественно мала – однако, даже мелким нарушениям свойственно накапливаться как снежный ком. На сегодняшний день максимальный штраф за нарушение порядка обработки персональных данных может достичь 500 тысяч рублей на компанию. Штраф, с которым точно можно столкнуться при игнорировании новых правил обработки персданных - штраф за неуведомление Роскомнадзора о начале обработки персданных до 5 000 рублей. Однако, привлечение к административной ответственности может сказаться негативно на деловой репутации предпринимателя и при возникновении необходимости ходатайствовать о снижении более существенного административного штрафа, к примеру, за нарушение валютного законодательства или трудовых отношений, факт привлечения к ответственности ранее сыграет против компании, просьба вероятнее всего будет отклонена.
Хотите узнать, как быстро привести свой сайт в порядок, регистрируйтесь на бесплатный вебинар «Разбор типичных ошибок маркетплейсов и сайтов при обработке персданных: что в 23 году нужно сделать срочно». Ждем вас 11 апреля в 10.00
