Как обрабатывать персональные данные с 01.09.2022 года
С 1 сентября 2022 г. изменен порядок работы с персональными данными клиентов, сотрудников, а это значит, что практически каждому предпринимателю надо "поменять" правила работы с получаемыми сведениями.
Что нужно делать?1. Уведомить Роскомнадзор о начале обработки персональных данных (далее – ПД)
Уведомление подается либо на бумаге, либо в электронном виде.
Важно! Тем, кто уже подавал уведомление (а значит включен в реестр операторов персональных данных) следует проверить, как сформулированы цели обработки и категории персональных данных сотрудников.
Теперь необходимо, чтобы было и в Политике обработки персональных данных и в сведениях, направляемых в Роскомнадзор были указаны следующие положения:
- Четко поименованные персональные данные под каждую цель
- Цели обработки ПД (четкие, а не расплывчатые, например:
- - осуществление связи с пользователями сайта, в том числе направление уведомлений, информации, запросов, связанных с оказанием услуг, а также обработка запросов и заявок Пользователей
- - предоставление услуг, указанных на сайте…пользователям сайта)
Категории субъектов ПД (также четко сформированные, например – сотрудники компании, соискатели работы на вакантные должности, пользователи сайта для цели получения услуги (товара), клиенты, пользующие услугами (товарами) – разные категории ПД.
Если есть расхождения, или у вас что- то изменилось – уведомление надо переподать!
P.S. – в большинстве случаев переподать придется, так как раньше на обработку персональных данных сотрудников не требовалось уведомление, а теперь требуется.2 . Откорректировать Политику обработки персональных данных
В политике в отношении обработки ПД нужно определить для каждой цели обработки персональных данных:
- категории и перечень обрабатываемых ПД;
- категории субъектов, ПД которых обрабатываются;
- способы, сроки обработки и хранения ПД;
- порядок уничтожения ПД
Также есть ряд изменений о сроках: сообщение о произошедшем инцинденте должно быть направлено оператором в Роскомнадзор в течение 24 часов, о проведенном расследовании – в течение 72 часов, в течение 10 дней прекратить обработку ПД – если получил отказ в обработке от субъекта ПД
3. Откорректировать поручения на обработку ПД
Обработчики – это лица, которым оператор ПД дал поручение на обработку ПДн.
По новым правилам в поручении на обработку ПДн необходимо указывать:
- перечень ПД, которые будет обрабатывать обработчик;
- перечень действий (операций) с ПД, которые будет осуществлять обработчик;
- цели обработки ПД в рамках поручения;
- обязанность обработчика соблюдать конфиденциальность персональных данных;
- обязанность обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД
граждан РФ с использованием баз данных, находящихся на территории Российской Федерации;
- обязанность обеспечивать меры, предусмотренные ст. 18.1 Закона о ПД;
- обязанность обработчика направлять оператору отчет о соблюдении конфиденциальности и безопасности ПД;
- обязанность обработчика обеспечивать безопасность ПД при их обработке;
- требования к защите ПД, которые предусмотрены ст. 19 Закона о ПД;
- требование об уведомлении оператора об утечках ПД.
5. Изменить текст согласия на обработку ПД.
Оно должно быть получено строго под цели обработки ПД и должно быть предметным и однозначным.
ЗАМЕТИМ, ЧТО СЛОВОСОЧЕТАНИЕ – ПРЕДМЕТНЫМ И ОДНОЗНАЧНЫМ - ОЧЕНЬ ВАЖНЫЕ СЛОВА В СОГЛАСИИ!!!