Персональными называют данные, при помощи которых можно идентифицировать конкретного человека. ФИО, адрес проживания, паспортные данные, личный номер телефона, электронная почта — все это персональные данные (ПД).
С персональными данными имеют дело многие предприниматели, и закон обязывает правильно хранить их и обрабатывать. К обработке относятся: сбор, запись, накопление, хранение, передача, обезличивание, удаление и уничтожение. Речь идет не только о данных клиентов, но и сотрудников.
То есть компания становится оператором, и перед ней возникают обязанности по защите ПД.
Хранить их можно и в бумажном, и электронном виде. При этом базы для хранения ПД граждан России могут находиться исключительно в нашей стране.
Как только организация или ИП начинают сбор ПД, они должны уведомить об этом Роскомнадзор. Уведомление можно подать в бумажном виде или в электронном через сайт ведомства или «Госуслуги».
Кроме того, с 1 марта 2023 года вступили в силу ряд изменений, касающихся сбора и обработки ПД. Теперь при уничтожении ПД, необходимо оформить специальный акт и выгрузку из журнала регистрации событий в информационной системе персональных данных.
Изменения касаются иданных, которые оператор передает в другие страны.
Например, сотрудник выезжает за границу в командировку или на учебу. Его данные необходимо передать зарубежным партнерам. Компания должна заранее проинформировать об этом Роскомнадзор, который еще может наложить запрет на передачу.
Иногда в компаниях случаются утечки данных. Причиной могут быть как хакерские атаки извне, так и человеческий фактор, внутренние конфликты. С 1 марта 2023 года предприниматели должны оценивать вред, который может возникнуть, если будут нарушены правила обработки ПД.
Выделяют три степени потенциального вреда
- Высокая: обработка биометрических данных, данных несовершеннолетних, информация о здоровье, данные обрабатываются иностранным гражданином или база данных находится за пределами страны.
- Средняя: данные предоставляются неограниченному кругу лиц (например, информация размещается на открытых источниках — сайте компании и в соцсетях).
- Низкая: обработку делает сторонний сотрудник, ведение общедоступных источников данных (справочники, адресные книги).
