Продолжаем публиковать информацию для предпринимателей, которая обсуждалась на заседании Общественного совета при Уполномоченном по защите прав предпринимателей в городе Севастополе.
Новые правила защиты персональных данных (ПД) вступили в силу. Важно привести все процессы в соответствие с ними, чтобы избежать штрафов и других санкций. Вот основные шаги, которые нужно предпринять:
Приведите документацию в порядок
Разработайте и утвердите политику обработки ПД. Это обязательный документ для всех организаций. Опубликуйте это документ в открытом доступе.
Издайте приказ о назначении ответственного за обработку ПД.
Разработайте инструкции для сотрудников по работе с ПД.
Установите порядок обращения субъектов данных (запросы на доступ или удаление).
Ведите журнал обращений граждан по ПД. Храните его не менее трёх лет.
Подготовите план действий на случай утечки данных.
Подайте уведомление в Роскомнадзор о начале обработки ПД.
Корректируйте документы сразу при любых изменениях бизнес-процессов, касающихся ПД.
Собирайте и используйте данные только на законных основаниях
Соблюдайте принципы законности и минимизации.
Получайте отдельные согласия на каждую цель обработки ПД. Универсальное «согласие на всё» недопустимо.
Используйте раздельные формы для получения согласий. Не прячьте согласие в пользовательском соглашении.
Требуйте явного подтверждения согласия от пользователя. Это может быть галочка или подпись. При сборе данных офлайн (анкеты, заявления) используйте отдельный бланк согласия.
Запретите автоматическую отметку согласия. Пользователь должен сам поставить галочку или подписать документ.
Собирайте только те данные, которые действительно необходимы для заявленной цели
Не передавайте ПД третьим лицам без согласия субъекта данных
Выполняйте запросы граждан о своих данных Каждый человек имеет право запросить информацию о том, как обрабатываются его данные, получить копию этих данных, потребовать исправить или удалить данные, отозвать согласие и т.п.
Получите согласие на обработку ПД сотрудников
Обучайте и информируйте персонал
Проведите аудит своих веб-ресурсов и цифровых каналов, где обрабатываются ПД
Убедитесь, что они соответствуют требованиям законодательства;
На каждой платформе разместите в открытом доступе обязательные документы: политику обработки ПД, политику конфиденциальности и форму согласия на обработку ПД;
ведите учёт компьютеров, где обрабатываются ПД, используйте только разрешённое программное обеспечение.
Формы согласия и уведомления
Добавьте чекбокс с согласием на обработку ПД во все формы (регистрация, заказ, обратная связь). Пользователь должен отправить форму только после установки галочки.
Если вы используете cookie-файлы, разместите баннер с уведомлением о сборе cookie.
На сайте должны быть указаны реквизиты юридического лица или ИП
Проверьте, чтобы услуги и товары на сайте соответствовали заявленным видам деятельности по ОКВЭД
Удалите иностранные сервисы
Проверьте код сайта на наличие подключений к иностранным сервисам. Если вы используете скрипты, отправляющие данные за рубеж, согласуйте это с Роскомнадзором или замените их на российские аналоги. Привлеките специалистов для технического аудита, чтобы выявить скрытые нарушения.
Храните данные на российских серверах
Трансграничная передача данных
Если вам нужно использовать зарубежные IT-сервисы или передавать данные за границу, заранее согласуйте это с Роскомнадзором.
Контролируйте коммуникационные каналы
Используйте корпоративные почтовые адреса на российских серверах и шифруйте вложения. Избегайте иностранных мессенджеров для отправки конфиденциальной информации.
Защита персональных данных стала обязательной частью бизнеса. Проведите аудит и приведите все процессы в соответствие с новыми требованиями. Это поможет избежать штрафов и других проблем. При необходимости привлеките внешних экспертов, чтобы обеспечить безопасность данных и избежать потерь.
