Персональные данные и согласия через ЕСИА.
Пост 4 из 10.
Коротко. Это пока проект закона. Но по российской практике подобные проекты часто становятся нормами с доработками. Готовимся заранее, чтобы не бегать в последний день.
Что планируют изменить?
1️⃣На Госуслугах появится кабинет с фактами обработки ПДн: кто, что, на каком основании.
2️⃣Давать и отзывать согласие можно будет через ЕСИА. Формы и порядок утвердят позже.
3️⃣Появится удобная жалоба через портал: увидел лишнюю обработку и сразу отправил обращение. Для бизнеса - это потенциальная проверка из РКН.
4️⃣Уточнят режимы для специальных категорий данных: здоровье, биометрия, убеждения и так далее. Для них часто нужны особые основания, а не только согласие.
Для кого это и что делать бизнесу?
Ввести в штат должность DPO: ответственный по защите персональных данных в компании.
Внедрить практику DPIA: оценка воздействия обработки на права и свободы граждан. По-простому это чек-лист рисков перед запуском новой обработки ПДн.
Что делать уже сейчас?
1️⃣Инвентаризация баз ПДн.
Составьте список всех мест, где лежат ПДн: CRM, почта, диск, таблицы, телеграм-боты, формы на сайте.
2️⃣Реестр согласий ПДн.
Введите единый учет: откуда пришло согласие, на что именно, когда выдано, как отозвать. Свяжите запись с конкретным лидом или клиентом.
3️⃣Тексты согласий.
Перепишите коротко и понятно: цель, данные, срок, кому передаем, как отозвать. На сайтах и в формах оставьте ссылку на политику. Внутри CRM держите версионирование текстов.
4️⃣Маршруты отзыва согласия.
Настройте процедуры: через обращение в поддержку, через личный кабинет, через ЕСИА когда включат. В CRM делайте кнопку Отозвать согласие и автоматическое уведомление в ответственные отделы.
5️⃣DPIA перед новыми коммуникациями.
Любой новый поток ПДн или интеграция с внешним сервисом проходит короткую оценку рисков. Если затрагиваете чувствительные данные, усиливайте контроль.
6️⃣Жалобы.
Пропишите регламент внутри компании: кто принимает жалобу, кто отвечает, сроки исправления карточек и удаления.
‼️Жизненный цикл согласия на сбор и обработку ПДН.
1️⃣Получили согласие через форму или офлайн и записали в CRM.
2️⃣Показали человеку, где он может посмотреть факты обработки.
3️⃣Используем данные только по заявленной цели и сроку.
4️⃣При отзыве удаляем данные или меняем статус на ограниченную обработку.
5️⃣Храним доказательства: когда дали, когда отозвали, кто обрабатывал.
Мини-шаблон записи в госреестр обработок ПДН.
Цель обработки: например рассылка новостей или доставка товара.
Категории ПДн: ФИО, телефон, адрес, e-mail и т. п.
Основание: согласие, договор, закон.
Срок хранения: 12 месяцев после последнего контакта.
Системы и места хранения: CRM, почта, облако.
Получатели: курьерская служба, банк-эквайер.
Трансграничная передача: да или нет
Меры безопасности: роли, пароли, аудит, шифрование.
Согласие: дата, способ получения, ссылка на текст версии.
Отзыв: дата, канал, что сделали дальше.
Ответственный: ФИО DPO и контакт.
Мини-шаблон проверки регламента обработки ПДн.
Что запускаем: краткое описание процесса или фичи.
Какие данные берем и почему они нужны.
Риски для человека: утечка, лишняя передача, неправильный срок хранения.
Меры защиты: минимизация полей, шифрование, маскирование, ролевая модель.
Итог: можно запускать или нужно доработать и чем именно.
Напомню, что все эти работы удобно вести в CRM Битрикс24, сертифицированной ФСТЭК России для обработки ПДн. В Битрикс24 технически всё предусмотрено для администрирования ПДн в строгом соответствии с законодательством.
Если вам нужен аудит ваших текущих или планируемых бизнес-процессов с точки зрения обработки ПДн, чтобы не получить огромные штрафы, то вы всегда можете обратиться к нас через бота @GroteskSupportBot.
Мы проведем аудит обработки ПДн бесплатно и дадим рекомендации.
Текст и изображение полностью сгенерированы #сприменениемИИ.
