Чтобы законно работать с персональными данными (ПД) клиентов, сотрудников и партнёров, нужно соблюдать несколько ключевых правил. Ниже — самое важное, изложенное простым языком.
1. Сообщите Роскомнадзору, что работаете с ПД.
Что сделать: до начала работы с ПД подайте уведомление в Роскомнадзор по форме из приказа № 180 (от 28.10.2022).
Как подать:
· на бумаге;
· через сайт Роскомнадзора;
· в программе 1С.
Что указать:
· цели обработки ПД;
· какие данные будете собирать;
· сроки обработки.
Важно:
· уведомление подаётся один раз;
· если изменились цели или объём данных — отправьте новое уведомление в течение 15 дней после изменений;
· при прекращении работы с ПД уведомите Роскомнадзор в течение 10 рабочих дней (форма в приложении № 3 к приказу № 180).
2. Получите согласие человека на обработку его ПД.
Когда нужно: почти всегда, кроме исключений (например, исполнение договора, статистические цели с обезличиванием).
Как оформить: в любой форме, которая подтверждает получение согласия (подпись, галочка на сайте и т. п.).
Требования к согласию:
· конкретное (для чего именно нужны данные);
· информированное (человек понимает, что разрешает);
· сознательное (без принуждения);
· однозначное (нет двусмысленностей).
Пример: если собираете данные для трудоустройства, указывайте только то, что требуется по ТК РФ (паспорт, СНИЛС и т. д.).
3. Получите отдельное согласие на передачу ПД третьим лицам.
Когда нужно: если планируете передавать данные другим организациям или публиковать их.
Что указать в согласии:
· кому передаёте данные;
· где они будут использоваться (сайты и т. п.);
· какие ограничения на распространение.
4. Защищайте данные.
Что обязательно:
· назначьте ответственного за обработку ПД;
· разработайте и опубликуйте Политику обработки ПД (на сайте или в открытом доступе);
· используйте технические меры защиты (антивирусы, шифрование);
· ограничьте доступ сотрудников к ПД;
· обучайте персонал правилам работы с ПД;
· удаляйте лишние или незаконно полученные данные.
Важно: данные должны храниться на серверах в РФ.
5. Обрабатывайте ПД только по заявленным целям.
Правило: собирайте ровно столько данных, сколько нужно для целей из вашего уведомления в Роскомнадзор.
Пример: для трудоустройства нельзя требовать биометрию или сведения о религиозных взглядах — это избыточно.
6. Отвечайте на запросы людей.
Что вы обязаны:
· бесплатно давать человеку информацию о том, как обрабатываете его ПД;
· исправлять неверные данные в течение 7 дней после запроса;
· удалять незаконно полученные данные в течение 7 дней после требования.
По запросу человек может узнать:
· зачем и как вы обрабатываете его данные;
· кто имеет к ним доступ;
· сколько времени вы их храните;
· как они защищены.
7. Прекращайте обработку ПД по требованию человека.
Когда: если человек отозвал своё согласие.
Срок: 30 дней с момента отзыва.
Исключения (можно продолжать обработку):
· выполнение требований закона;
· исполнение договора с человеком;
· защита жизни и здоровья;
· журналистская или творческая деятельность.
Чек‑лист для бизнеса:
1. Уведомьте Роскомнадзор до начала работы с ПД.
2. Получите согласия на обработку и передачу данных.
3. Защитите данные технически и организационно.
4. Соблюдайте цели обработки (не собирайте лишнее).
5. Отвечайте на запросы людей в сроки.
6. Прекращайте обработку по требованию.
7. Сообщите Роскомнадзору, если перестали работать с ПД.