Евгения Мотлохова – Юридический иммунитет (страница 3)
Регулярный внутренний аудит поможет убедиться, что выбранная форма продолжает соответствовать вашему бизнесу, и предохранит от ненужных рисков и штрафов. В случае сомнений обращайтесь к специалистам для консультации.
1.3. Персональные данные
Помните весну 2025 года? С марта по май новостная лента и социальные сети были переполнены тревожными заголовками: «Срочно подайте уведомление в Роскомнадзор до 1 июня, иначе конец!». Паника была вызвана, прежде всего, отсутствием информированности о том, что такое персональные данные, от кого и как их надо защищать, а главное, что обязанность подавать уведомление в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) существует больше 15 лет.
Средства массовой информации и авторы коротких видео навели панику из-за повышения штрафов за разные категорий нарушений в сфере законодательства о персональных данных1. Штрафы на сегодняшний день дифференцируются в зависимости от типа нарушения законодательства в сфере персональных данных. Рассмотрим наиболее часто встречающиеся в
Интерес предпринимателей и даже самозанятых к теме законной обработки персональных данных активно растет, поэтому давайте разбираться по порядку с основными понятиями.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному физическому лицу (ФИО, адрес, телефон, фото, биометрия и др.).
Обработка персональных данных – любое действие с данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.
Оператор – лицо, организующее и осуществляющее обработку персональных данных (физическое, юридическое лицо, индивидуальный предприниматель, орган власти).
Субъект персональных данных – физическое лицо, чьи данные обрабатываются.
1. Согласие субъекта персональных данных
Это главный принцип. Согласие должно быть конкретным, информированным, сознательным. При этом субъект вправе отозвать согласие в любой момент.
2. Принятие мер по защите персональных данных
Оператор обязан принять правовые, организационные и технические меры для защиты данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения. Среди таких мер:
• определение угроз безопасности,
• применение организационных и технических мер (шифрование, контроль доступа, антивирусы),
• оценка эффективности мер защиты,
• учет носителей персональных данных,
• обнаружение фактов несанкционированного доступа и принятие мер,
• восстановление данных,
• контроль за принимаемыми мерами и уровнем защищенности.
3. Уведомление Роскомнадзора
Все операторы обязаны уведомить уполномоченный орган (Роскомнадзор) до начала обработки персональных данных. Исключение составляют только те субъекты, которые не используют автоматизированную обработку персональных данных.
Автоматизированная обработка – это операции с персональными данными, выполняемые с использованием средств вычислительной техники, то есть применяются компьютерные системы и программное обеспечение. Она может включать:
• сбор и хранение данных в электронных базах;
• использование специализированных программ (CRM, 1С);
• анализ и обработку данных с помощью алгоритмов, искусственного интеллекта;
• автоматическую синхронизацию и обновление в информационных системах (таблицы, база данных, формируемая после заполнения онлайн форм).
В отличие от этого, неавтоматизированная обработка – это работа с данными вручную, например, ведение бумажных карточек, заполнение форм на бумаге, хранение документов в архивах, что требует непосредственного участия человека при каждой операции (Постановление Правительства РФ от 15.09.2008 №687).
Исходя из того, какой тип обработки данных вы применяете в работе, будет зависеть ваша обязанность по подаче уведомления в Роскомнадзор. Мою инструкцию по его заполнению вы можете увидеть в
4. Исполнение оператором обязанностей по законодательству об обработке персональных данных.
Для конкретного бизнеса исполнение оператором обязанностей по законодательству о защите персональных данных означает вполне конкретные действия. Ведь подача уведомления в Роскомнадзор – это только начало. Вы заявили о себе государству, как оператор, а дальше самое интересное.
Базовый минимум – это обязанность любого субъекта:
• Опубликовать политику обработки персональных данных – это документ, в котором вы честно рассказываете, какие данные собираете, для чего, какие меры защиты применяете.
• Обеспечить доступ к этому документу – люди должны иметь возможность его прочитать, скачать, распечатать. Часто это размещение на сайте или отправка по запросу.
• Назначить ответственное лицо – того, кто координирует всю работу с персональными данными, следит за соблюдением требований, отвечает на вопросы.
Из этого следует вполне логичный вывод: оператор должен подготовить целый комплекс документов, который отражает, как ваша компания или как вы как предприниматель обращаетесь с персональными данными, какие меры защиты применяете. Это не просто рекомендация, это обязательное требование.
У вас должен быть определенный пакет документов, которые доказывают вашу добросовестность перед регулирующими органами и защищают вас от штрафов. Конкретный перечень документов индивидуален для каждого оператора. Для ИП, ведущего блог, требуется один набор; для компании с сотрудниками – другой; для интернет-магазина – третий. Объем требуемых мер зависит от характера и масштаба обрабатываемых данных, количества субъектов данных, видов обработки (автоматизированная или нет), типа данных (обычные или чувствительные), потенциальных рисков для прав и свобод людей.
• Положение в отношении обработки персональных данных,
• Приказ об утверждении в отношении обработки персональных данных,
• Приказ об ответственном за обработку персональных данных,
• Политика в отношении обработки персональных данных (для сайта, чат-бота),
• Согласие на обработку персональных данных для клиентов,
• Согласие на обработку персональных данных для сотрудников,
• Правила рассмотрения запросов субъектов персональных данных,
• Акт оценки потенциального вреда,
• Акт уничтожения персональных данных,
• Формы запросов на отдельные действия с персональными данными,
• Формы отзывов,
• Отзыв согласия на обработку ПД,
• Журналы ознакомления сотрудников, учета съемных носителей, учета обращений, проведения внутренних проверок,
• Приказ о хранении бумажных носителей персональных данных,
• Соглашение о неразглашении персональных данных,
• Правила осуществления внутреннего контроля,
• Перечень к правилам внутренних проверок,
• Акт определения уровня защищенности.
Прошу не пугаться такого обширного перечня. К слову, он может быть еще больше. Как я указала выше, перечень формируется индивидуально. Для того, чтобы его получить, отсканируйте QR-код и ответьте на несколько вопросов моему нейро-ассистенту. Ответным сообщением вы получите свой персональный список документов.
1.4. Аудит команды
Аудит команды – это один из ключевых этапов юридического чек-апа бизнеса. Здесь мы смотрим, насколько корректно устроены отношения с людьми, которые помогают вам работать. У вас есть команда? Отлично, эта глава для вас. Нет сотрудников, только вы? Тогда эта информация пригодится вам в перспективе, когда вы будете развивать бизнес.
Важно понимать: команда – это не только те, кто сидит в одном офисе. Команда – это все люди, которые помогают функционировать вашему бизнесу. Это могут быть:
• сотрудники в офисе или на удаленке,
• фрилансеры, выполняющие разовые проекты,
• стажеры,