Работа с персональными данными (ПД) всегда требовала внимания и точного соблюдения всех установленных регламентов и требований по их сбору, передаче и хранению. С наступлением осени порядок работы с ПД несколько изменился. Давайте вместе разберемся, что изменилось и что теперь надо предпринимать, чтобы соблюдать новые требования. Скажем спасибо юристам Корпорации МСП, которые помогли подготовить эти разъяснения.
Уточнение формулировок. Согласие на обработку должно быть не только конкретным, информированным и сознательным, но также предметным и однозначным. Это значит, что формулировки должны быть максимально точными и понятными. Нелишним будет проверить имеющиеся шаблоны «Согласия на обработку ПД»: нет ли там абстракций или двойных толкований.
Биометрия теперь необязательна. Предоставление биометрических ПД не является обязательным, если это прямо не предусмотрено законом. И в случае, когда клиент или сотрудник не согласен предоставлять биометрические данные (фото, отпечатки пальцев или еще что-либо), ему нельзя отказать в обслуживании.
Предпринимателям надо внести изменения в политику обработки ПД. Для каждой цели обработки следует указать:
- Категории и перечень обрабатываемых данных
- Категории субъектов, данные которых обрабатываются
- Способы, сроки их обработки и хранения
- Порядок уничтожения данных при достижении целей их обработки
Проанализируйте цели сбора ПД и проведите аудит по каждому из них.
Роскомнадзор надо чаще уведомлять об обработке персональных данных. Это следует делать в случаях, когда такие данные нужны для:
- Исполнения требований трудового законодательства
- Заключения гражданско-правового договора
- Однократного пропуска на территорию организации
Уведомление можно составить и отправить на бумаге или в электронном виде. Необходимо также проверить, есть ли у предпринимателя регистрация в реестре Роскомнадзора. Для подготовки документа можно воспользоваться сервисом «Конструктор документов» на Цифровой платформе МСП.РФ.
Срок ответа на запросы Роскомнадзора по персональным данным сокращен с 30 календарных до 10 рабочих дней.
Время уведомления Роскомнадзора об утечке ПД:
- В течение 24 часов – о причинах инцидента, предполагаемом вреде, принятых мерах по устранению последствий
- В течение 72 часов – о результатах внутреннего расследования
Сообщать о киберугрозах. Речь идет о компьютерных инцидентах, повлекших неправомерную передачу ПД. О таких ситуациях необходимо оповещать через госсистему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.
Уменьшен срок ответа на запросы субъектов ПД. Если к предпринимателю, как оператору персональных данных, поступит обращение от субъекта (сотрудника или клиента) по вопросу их обработки, ответ необходимо дать в течение 10 рабочих дней. Причем он требуется в той же форме, в которой пришел запрос (если не было просьбы предоставить информацию иначе).
Персональные данные – это любая информация, которая прямо или косвенно относится к конкретному человеку (субъекту персональных данных), т.е. речь идет не только о данных клиентов, но и сотрудников. Это может быть ФИО, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы. К ним же относится биометрическая информация. Предприниматель, который работает с ПД, собирает или обрабатывает их, является оператором таких данных и на него распространяются требования закона.
#мсп #персональные данные #малый бизнес #предпринимательство #роскомнадзор #законы #корпорация мсп