Корпорация МСП разъясняет: что изменилось для бизнеса в работе с персональными данными с 1 сентября

С 1 сентября 2022 года уточняется порядок работы с персональными данными (ПД). Чтобы предпринимателям было проще понять, что изменилось и что надо предпринять, чтобы соблюсти новые требования, юристы Корпорации МСП подготовили разъяснения по каждому нововведению.

1.              Уточнение формулировок. Согласие на обработку должно быть не только конкретным, информированным и сознательным, но также предметным и однозначным. Это значит, что формулировки должны быть максимально точными и понятными. Проверьте имеющиеся шаблоны «Согласия на обработку ПД»: нет ли там абстракций или двойных толкований.

2.              Биометрия необязательна. Предоставление биометрических ПД не является обязательным, если это прямо не предусмотрено законом. Когда клиент или сотрудник не согласен предоставлять биометрические данные (фотографию, отпечаток пальца), ему нельзя отказать в обслуживании.

3.              Предпринимателям надо внести изменения в политику обработки ПД. Для каждой цели обработки следует указать:

• категории и перечень обрабатываемых данных;

• категории субъектов, данные которых обрабатываются;

• способы, сроки их обработки и хранения;

• порядок уничтожения данных при достижении целей их обработки. 

В документ запрещено включать положения, которые ограничивают права субъектов ПД. Если для сбора данных используется интернет, политика их обработки должна быть опубликована на страницах сайта, где ведется их сбор. Проанализируйте цели сбора ПД и проведите аудит по каждому из них.

4.              Роскомнадзор надо чаще уведомлять об обработке ПД.

Это придется делать в случаях, когда такие данные нужны для:

• исполнения требований трудового законодательства;

• заключения гражданско-правового договора;

• однократного пропуска на территорию компании.

Уведомление можно составить и отправить на бумаге или в электронном виде. Стоит также проверить, есть ли у предпринимателя регистрация в реестре Роскомнадзора. Для подготовки документа можно воспользоваться сервисом «Конструктор документов» на Цифровой платформе МСП.РФ.

5.              Срок ответа на запросы Роскомнадзора по персональным данным сокращен с 30 календарных до 10 рабочих дней.

6.              Время уведомления Роскомнадзора об утечке ПД:

• в течение 24 часов – о причинах инцидента, предполагаемом вреде, принятых мерах по устранению последствий;

• в течение 72 часов – о результатах внутреннего расследования.

7.              Сообщать о киберугрозах. О компьютерных инцидентах, повлекших неправомерную передачу ПД, необходимо оповещать через госсистему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.

8.              Уменьшен срок ответа на запросы субъектов ПД.

Если к предпринимателю, как оператору персональных данных, поступит обращение от субъекта (сотрудника или клиента) по вопросу их обработки, ответ необходимо дать в течение 10 рабочих дней. Причем он требуется в той же форме, в которой пришел запрос (если не было просьбы предоставить информацию иначе).

Напомним, персональные данные – это любая информация, которая прямо или косвенно относится к конкретному человеку (субъекту персональных данных), т.е. речь идет не только о данных клиентов, но и сотрудников.

Такой информацией может быть ФИО, точная дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы. К ним же относится биометрическая информация (например, фотография, запись голоса).

Предприниматель, который работает с ПД, собирает или обрабатывает их, является оператором таких данных и на него распространяются требования, предусмотренные законом.