Обсудить задачу
Вы хотите заняться продвижением своего бизнеса в сети, но не знаете с чего начать? Давайте обсудим вашу задачу! После отправки формы мы перезвоним в течение 30 минут в рабочее время. Засекайте!
С началом 2023 года Роскомнадзор внес существенные изменения в правила обработки персональных данных (ПД), устанавливая новые требования, которые организации и работодатели обязаны соблюдать. Эти изменения имеют большое значение для безопасности данных и защиты прав субъектов ПД. Давайте подробнее рассмотрим, какие изменения произошли и какие обязательства возлагаются на компании.
С 1 марта 2023 года работодатели обязаны запросить разрешение у Роскомнадзора перед передачей персональных данных за границу. Это новое требование направлено на защиту персональных данных при их передаче за пределы России.
Компании и физические лица обязаны обращаться к Роскомнадзору (РКН) с запросом на разрешение и дожидаться ответа в течение 10 дней, если они планируют использовать облачные сервисы из стран, которые не обеспечивают достаточную защиту информации. Даже при наличии дружественных отношений с другой страной, компании все равно должны информировать о каждой передаче данных.
Например, разрешение РКН необходимо получить, если организация импортирует товары из Китая в Россию и передает контактные данные получателей посылок. Также, передача персональных данных, таких как список российских граждан для бронирования номеров в турецком отеле, также будет считаться трансграничной передачей данных.
В эту категорию также попадают все компании, использующие файлы cookies в своей работе или загружающие информацию в американские облачные системы и ведущие базу данных CRM в этих системах. Установка Google Analytics также нарушает закон, так как система отправляет данные с сайта на сервер в США.
Организации, работающие с такими данными (их число составляет около 440 тысяч), должны быть подключены к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), а также информировать органы власти о любых случаях утечки личной информации.
Новое правило требует, чтобы организации оценили возможный вред, который может быть причинен субъектам персональных данных, в случае нарушения законодательства о ПД. Оценка вреда может быть высокой, средней или низкой, и она должна быть документально оформлена в акте оценки вреда.
Организации обязаны уведомлять Роскомнадзор о любых изменениях, связанных с обработкой персональных данных, в новые сроки. Изменения в данных, предоставленных в уведомлении, должны быть сообщены в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения.
Важное изменение касается акта об уничтожении персональных данных. Теперь в акте обязательно должны быть указаны следующие сведения:
Акт должен быть подписан ответственным лицом или членами комиссии, проводившими оценку.
Кроме того, с 1 марта 2023 года вступил в силу Приказ Роскомнадзора от 27.10.2022 № 178, который определяет категории риска ПД. Это помогает компаниям оценить степень риска и потенциальный вред для субъектов ПД при нарушении законодательства о персональных данных.
Все эти требования будут действовать до 1 марта 2029 года.
Уничтожение ПД должно фиксироваться актом, в котором указываются категория уничтожаемых данных, ФИО и должность лиц, проводивших уничтожение, способ и причина уничтожения. Если уничтожение данных производится из информационной системы ПД, то бумажный акт можно заменить выгрузкой журнала регистрации информационных событий.
Цели обработки персональных данных включают анализ правовых актов, которые регулируют деятельность оператора, его фактические цели и деятельность, предусмотренную учредительными документами, а также конкретные бизнес-процессы оператора в отношении определенных категорий персональных данных в информационных системах.
Теперь уничтожение персональных данных обязательно должно быть подтверждено актом. В акте должны быть указаны категория уничтожаемых данных, ФИО и должность лиц, ответственных за уничтожение данных, их подпись, а также указаны способ и причина уничтожения персональных данных и другие необходимые сведения.
Если данные уничтожаются из информационной системы персональных данных, то бумажный акт может быть заменен выгрузкой журнала регистрации информационных событий, то есть лог-файлом.
В случае, если выгрузка из журнала не позволяет указать все требуемые сведения, они должны быть внесены в акт об уничтожении персональных данных. Этот акт должен храниться в течение 3 лет.
Вам нужно сделать так, чтобы сайт соответствовал требованиям 152-ФЗ. Эти требования применимы для всех — физических лиц и компаний. Убедитесь, что вы соблюдаете следующие условия.
Хостинг и база данных с персональными данными должна располагаться на территории России. Об этом прямо говорят данные проверок Роскомнадзора (снова LinkedIn) и закон №242-ФЗ, который обязывает записывать, хранить, обновлять и извлекать персональные данные граждан РФ с использованием баз данных на территории России с 1 сентября 2015 года
Это касается иностранных компаний с юрлицом в России и без него, а также российских компаний, которые пользуются иностранными хостинг-провайдерами, дата-центрами и облачными платформами. Все осложняется тем, что требования Роскомнадзора до конца не ясны, приходится догадываться самим.
Если вы не понимаете, где хранить данные и что делать, обратитесь с запросом в Роскомнадзор или Минкомсвязи. И возможно у вашего хостинг-провайдера есть готовые решения на такой случай.
Под каждой формой сбора данных, включая сбор email, разместить текст «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных». В тексте должна быть ссылка на документ — Пользовательское соглашение, договор или согласие на обработку персональных данных. Текст самого документа можно разместить на отдельной странице.
Вы хотите заняться продвижением своего бизнеса в сети, но не знаете с чего начать? Давайте обсудим вашу задачу! После отправки формы мы перезвоним в течение 30 минут в рабочее время. Засекайте!