Как бизнесу соблюдать закон о персональных данных

ОПЕРАТОР ПЕРСОНАЛЬНЫХ ДАННЫХ (согласно закону РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных») — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

 

Ключевая информация по основным аспектам закона:


  • Субъекты персональных данных — это все люди: наши соседи, родственники, клиенты, конкуренты, мы с вами.

  • Персональные данные — любая информация, относящаяся к определённому или определяемому на основе такой информации физическому лицу (субъекту персональных данных). Персональные данные относятся к конфиденциальной информации и охраняются законом.

  • Закон о ПДн № 152-ФЗ обязывает оператора персональных данных предоставить информацию об обработке ПДн, запрашиваемую субъектом или регулятором.

  • Закон о ПДн № 152-ФЗ обязывает оператора персональных данных предоставить субъекту персональных данных информацию:

  1. наименование, либо фамилию, имя, отчество и адрес оператора или его представителя;

  2. цель обработки персональных данных и её правовое основание;

  3. перечень персональных данных предполагаемых пользователей персональных данных установленные настоящим Федеральным законом права субъекта персональных данных;

  4. источник получения персональных данных.


worker-watching-his-laptop-map-world.jpg

Как бизнес обязан соблюдать закон о персональных данных

  • определить и назначить ответственного за организацию обработки персональных данных;

  • определить перечень информационных систем персональных данных (ИСПДн), хранение и меры защиты ИСПДн;

  • разработать и утвердить соблюдение политики обработки и защиты ПДн;

  • подать уведомление в Роскомнадзор (в течение 30 дней с момента направления уведомления данные об операторе отобразятся в Реестре операторов персональных данных на сайте Роскомнадзора);

  • собрать (и собирать в случае новых взаимоотношений) согласие на обработку персональных данных;

  • опубликовать и соблюсти политику обработки персональных данных на веб-ресурсах компании;

  • привести обработку персональных данных в порядок и полное соответствие с нормами № 152-ФЗ;

  • осуществлять ликвидацию неактуальных персональных данных.


Важные моменты:

  •    храните документы не менее 3 лет после прекращения обработки ПДн;

  •    оперативно реагируйте на изменения законодательства;

  •    при утечке данных немедленно уведомите Роскомнадзор;

  •    обеспечьте возможность отзыва согласия на обработку.


В соответствии с положениями закона существуют определённые случаи, когда обработка ПДн может осуществляться без предварительного согласия субъекта, указанные в п. 2–11 ч. 1 ст. 6 № 152-ФЗ.



Изменение процессов обработки персональных данных

В случае внесения изменений в процессы обработки и защиты персональных данных оператору необходимо направить в Роскомнадзор уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных.



Трансграничная передача ПДн

Каждый бизнес (даже если форма собственности ИП) в России должен учитывать, что любой сервис, серверные мощности которого размещены за пределами Российской Федерации, и на котором содержатся персональные данные граждан России, является сервисом, осуществляющим трансграничную передачу ПДн граждан России. Оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своём намерении осуществлять трансграничную передачу персональных данных.



Использование cookies-файлов

Cookies — это специальные текстовые файлы, размещаемые на электронных устройствах пользователя с целью сохранения истории его взаимодействия с веб-сайтом. Компаниям требуется разместить на каждой веб-странице, использующей сбор cookies, информационное сообщение о необходимости получения согласия посетителя. В уведомлении о согласии требуется разместить ссылку на документ с перечнем собираемых данной страницей cookie-файлов.

Важно помнить, что все организации, работающие с персональными данными в России, обязаны соблюдать требования № 152-ФЗ независимо от масштаба их деятельности и количества обрабатываемых данных. Несоблюдение требований закона может привести к серьёзным последствиям, включая крупные штрафы и уголовную ответственность.


Защита и обработка персональных данных представляет собой комплексный подход и порядок к хранению с обеспечением безопасности личной информации граждан, что является обязательной составляющей деятельности всех организаций и ИП в России и регламентируется Федеральным законом № 152-ФЗ.