Продолжаем публиковать информацию для предпринимателей, которая обсуждалась на заседании Общественного совета при Уполномоченном по защите прав предпринимателей в городе Севастополе.
Новые правила защиты персональных данных (ПД) вступили в силу. Важно привести все процессы в соответствие с ними, чтобы избежать штрафов и других санкций. Вот основные шаги, которые нужно предпринять:
➡️ Приведите документацию в порядок
✔️ Разработайте и утвердите политику обработки ПД. Это обязательный документ для всех организаций. Опубликуйте это документ в открытом доступе.
✔️ Издайте приказ о назначении ответственного за обработку ПД.
✔️ Разработайте инструкции для сотрудников по работе с ПД.
✔️ Установите порядок обращения субъектов данных (запросы на доступ или удаление).
✔️ Ведите журнал обращений граждан по ПД. Храните его не менее трёх лет.
✔️ Подготовите план действий на случай утечки данных.
✔️ Подайте уведомление в Роскомнадзор о начале обработки ПД.
✔️ Корректируйте документы сразу при любых изменениях бизнес-процессов, касающихся ПД.
➡️ Собирайте и используйте данные только на законных основаниях
✔️ Соблюдайте принципы законности и минимизации.
✔️ Получайте отдельные согласия на каждую цель обработки ПД. Универсальное «согласие на всё» недопустимо.
✔️ Используйте раздельные формы для получения согласий. Не прячьте согласие в пользовательском соглашении.
✔️ Требуйте явного подтверждения согласия от пользователя. Это может быть галочка или подпись. При сборе данных офлайн (анкеты, заявления) используйте отдельный бланк согласия.
✔️ Запретите автоматическую отметку согласия. Пользователь должен сам поставить галочку или подписать документ.
➡️ Собирайте только те данные, которые действительно необходимы для заявленной цели
➡️ Не передавайте ПД третьим лицам без согласия субъекта данных
➡️ Выполняйте запросы граждан о своих данных Каждый человек имеет право запросить информацию о том, как обрабатываются его данные, получить копию этих данных, потребовать исправить или удалить данные, отозвать согласие и т.п.
➡️ Получите согласие на обработку ПД сотрудников
➡️ Обучайте и информируйте персонал
➡️ Проведите аудит своих веб-ресурсов и цифровых каналов, где обрабатываются ПД
✔️ Убедитесь, что они соответствуют требованиям законодательства;
✔️ На каждой платформе разместите в открытом доступе обязательные документы: политику обработки ПД, политику конфиденциальности и форму согласия на обработку ПД;
✔️ ведите учёт компьютеров, где обрабатываются ПД, используйте только разрешённое программное обеспечение.
➡️ Формы согласия и уведомления
✔️ Добавьте чекбокс с согласием на обработку ПД во все формы (регистрация, заказ, обратная связь). Пользователь должен отправить форму только после установки галочки.
✔️ Если вы используете cookie-файлы, разместите баннер с уведомлением о сборе cookie.
➡️ На сайте должны быть указаны реквизиты юридического лица или ИП
➡️ Проверьте, чтобы услуги и товары на сайте соответствовали заявленным видам деятельности по ОКВЭД
➡️ Удалите иностранные сервисы
Проверьте код сайта на наличие подключений к иностранным сервисам. Если вы используете скрипты, отправляющие данные за рубеж, согласуйте это с Роскомнадзором или замените их на российские аналоги. Привлеките специалистов для технического аудита, чтобы выявить скрытые нарушения.
➡️ Храните данные на российских серверах
➡️ Трансграничная передача данных
Если вам нужно использовать зарубежные IT-сервисы или передавать данные за границу, заранее согласуйте это с Роскомнадзором.
➡️ Контролируйте коммуникационные каналы
Используйте корпоративные почтовые адреса на российских серверах и шифруйте вложения. Избегайте иностранных мессенджеров для отправки конфиденциальной информации.
✅ Защита персональных данных стала обязательной частью бизнеса. Проведите аудит и приведите все процессы в соответствие с новыми требованиями. Это поможет избежать штрафов и других проблем. При необходимости привлеките внешних экспертов, чтобы обеспечить безопасность данных и избежать потерь.
