С 01.09.2022 вступили в силу новые требования к работе с персональными данными.

И это касается всех!

Регистрация в Реестре операторов персональных данных. Если ваша компания для какой-либо цели использует персональные данные физических лиц, то она является оператором персональных данных. Например, вы принимаете людей на работу, оформляете пропуска в офис или заключаете гражданско-правовые договоры – все это подразумевает сбор и обработку персональных данных. Проверьте, есть ли ваша компания в этом Реестре. Если нет, значит вы не уведомили Роскомнадзор о начале обработки персональных данных. Это следует срочно сделать, иначе в соответствии со статьей 19.7 Кодекса об административных правонарушениях РФ вам грозит штраф от 3 000 до 5 000 рублей.
Новая форма согласия на обработку персональных данных. При любом сборе персональных данных вы должны получить согласие от лица, данные которого вы обрабатываете (так называемого субъекта персональных данных). Это может быть регистрация гостя в системе лояльности, прием сотрудника на работу и другие подобные операции, при совершении которых субъект оставляет вам свои данные. К старым требованиям по оформлению таких согласий добавились уточнения: теперь субъект должен также подтвердить понимание цели обработки его данных, иметь возможность выбрать действия, которые будут производиться с этими данными, утвердить перечень этих данных и дать свое однозначное согласие на обработку этих данных. Проверьте все свои формы – письменные и те, что находятся на сайте и в приложениях. Например, на сайте доставки, который можно развернуть из облачного офиса iiko, эти требования соблюдены. Кроме того, вы теперь не можете отказывать в обслуживании лицам, которые не хотят предоставлять свои персональные данные.
Новые требования к оформлению сайтов. Проверьте Политику конфиденциальности, которая опубликована на вашем сайте. Теперь в ней должны быть указаны все возможные цели обработки персональных данных и для каждой из них должны быть прописаны:

  • категории и перечень собираемых персональных данных;
  • способы и сроки их обработки и хранения;
  • порядок уничтожения

Также по новым правилам необходимо, чтобы доступ к политике конфиденциальности был обеспечен на каждой странице сайта с формой сбора данных. На сайте, который можно развернуть из облачного офиса iiko, эти требования также соблюдены.
Использование сервисов, которые могут передавать данные за границу. Проверьте все сервисы, которыми вы пользуетесь, на предмет трансграничной передачи данных. Это могут быть услуги хостинга для системы автоматизации, различные системы лояльности и т.п. Если вы используете iikoCloud и систему лояльности iikoCard, вам не о чем беспокоиться – все данные хранятся в российских дата-центрах. Если же у вас локальная версия iiko (то есть лицензии выкуплены), и вы арендуете под нее виртуальное хранилище данных, или подключены сторонние решения для гостей, проверьте их: все сервера поставщиков таких услуг должны находиться в России. Если выяснилось, что вы сотрудничаете с сервисами, которые передают данные за границу, необходимо до 1 марта 2023 года направить Роскомнадзору специальное уведомление о трансграничной передаче данных. Правила уведомления отличаются в зависимости от того, в какую страну направляются данные. Роскомнадзор может принять решение о запрете такой передачи данных. Важно: эти правила работают и в том случае, если вы осуществляли трансграничную передачу данных до их вступления в силу.
Использование биометрии. Этот пункт касается вас, если вы используете системы распознавания отпечатков пальцев типа BeOpen Biometric, или систему лояльности с распознаванием лиц гостей, или любые другие сервисы, которые фиксируют биометрические данные. Биометрические данные - это сведения о физиологических и биологических особенностях человека, по которым можно установить его личность: отпечаток пальца, рисунок радужной оболочки глаза и т. п. Вы обязаны получить письменные согласия от всех субъектов, чьи данные вы обрабатываете! Соберите их незамедлительно.
Действия в случае утечки данных. При утечке данных вы должны в течение 24 часов уведомить Роскомнадзор, пояснить предполагаемую причину утечки и дать предварительную оценку предполагаемого вреда. Затем необходимо в течение 72 часов провести расследование инцидента и сообщить в Роскомнадзор о его результатах. Кроме того, вы обязаны наладить взаимодействие с ФСБ через ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации). Через эту систему необходимо сообщать о кибератаках, повлекших утечку персональных данных. Порядок взаимодействия с ГосСОПКА определит ФСБ в подзаконном акте, который должен скоро выйти. После принятия этого акта необходимо будет принять регламент взаимодействия с ГосСОПКА, а также выполнить другие требования, указанные в акте.