Регистрация в Реестре операторов персональных данных
Если ваша компания для какой-либо цели использует персональные данные физических лиц, то она является оператором персональных данных. Например, вы принимаете людей на работу, оформляете пропуска в офис или заключаете гражданско-правовые договоры – все это подразумевает сбор и обработку персональных данных. Если ваша компания отсутствует в Реестре или только планирует начать обработку ПД, необходимо подать уведомление в Роскомнадзор через форму. Несоблюдение этого требования влечет административную ответственность по статье 19.7 КоАП РФ:
- для физических лиц — от 5 000 до 10 000 рублей;
- для должностных лиц и ИП — от 30 000 до 50 000 рублей;
- для юридических лиц — от 100 000 до 300 000 рублей.
Форма согласия на обработку персональных данных
При любом сборе персональных данных вы должны получить согласие от лица, данные которого обрабатываете (так называемого субъекта персональных данных). Форма согласия должна соответствовать следующим требованиям:
- содержать конкретные цели обработки персональных данных;
- указывать категории обрабатываемых данных;
- подтверждать осознанность согласие субъекта;
- предоставлять возможность выбора целей и объема обработки.
Требования к оформлению сайтов
Проверьте Политику конфиденциальности, которая опубликована на вашем сайте. Она должна быть размещена на главной странице сайта и доступна с любой страницы, где собираются данные, а также содержать все возможные цели обработки персональных данных и для каждой из них должны быть прописаны:
- категории и перечень собираемых персональных данных;
- способы и сроки их обработки и хранения;
- порядок уничтожения;
- третьи лица (партнеры, сервисы), получающие доступ к данным;
- основания обработки персональных данных (например, исполнение договора, выполнение законных интересов оператора и т.д.);
- способов реализации прав субъектов персональных данных (удаление, ограничение, запрос информации и т.д.).
Трансграничная передача данных
Если вы используете сторонние сервисы, которые могут передавать персональные данные за пределы России, необходимо учитывать следующее:
- перед началом передачи данных в другую страну, оператор обязан уведомить об этом Роскомнадзор в соответствии со статьями 12.1–12.8 152-ФЗ;
- Роскомнадзор может запретить или ограничить такую передачу;
- если страна-получатель включена в перечень государств с адекватной защитой прав субъектов ПДн, передача возможна после направления уведомления, но до получения официального решения.
Использование биометрии
Биометрические данные — это сведения о физиологических и биологических особенностях человека, позволяющие установить его личность (например, отпечатки пальцев, параметры лица, радужная оболочка глаза и т.д.). Этот пункт касается вас, если вы используете системы распознавания отпечатков пальцев типа BeOpen Biometric, или систему лояльности с распознаванием лиц гостей, или любые другие сервисы, которые фиксируют биометрические данные. Для работы с биометрическими данными вам необходимо:
- получить письменное согласие каждого субъекта на обработку биометрических данных;
- разработать и опубликовать в открытом доступе политику обработки биометрии;
- применять специальные меры защиты, такие как шифрование и изолированное хранение;
- не передавать биометрию третьим лицам без повторного согласия субъекта.
Действия в случае утечки данных
При утечке данных вы должны в течение 24 часов уведомить Роскомнадзор, пояснить предполагаемую причину утечки и дать предварительную оценку полученного вреда. Затем необходимо в течение 72 часов провести собственное расследование инцидента и сообщить в Роскомнадзор о его результатах. Штрафы за утечку персональных данных составляют до 100 000 для физлиц и до 3 000 000 для организаций.
Также нужно наладить взаимодействие с ФСБ через ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации). Все уведомления о киберинцидентах, затрагивающих ПДн, должны направляться в ФСБ и Роскомнадзор. Также вы обязаны внедрить систему мониторинга и раннего обнаружения инцидентов, угрожающих безопасности ПДн и создать план реагирования на инциденты. В случае наличия государственных контрактов его нужно согласовать с ФСБ. В случае повторных утечек предусмотрен штраф до 5% годовой выручки по статье 13.11.1 КоАП РФ.
Также нужно наладить взаимодействие с ФСБ через ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации). Все уведомления о киберинцидентах, затрагивающих ПДн, должны направляться в ФСБ и Роскомнадзор. Также вы обязаны внедрить систему мониторинга и раннего обнаружения инцидентов, угрожающих безопасности ПДн и создать план реагирования на инциденты. В случае наличия государственных контрактов его нужно согласовать с ФСБ. В случае повторных утечек предусмотрен штраф до 5% годовой выручки по статье 13.11.1 КоАП РФ.
Прекращение обработки персональных данных
В случае, если вы прекращаете обработку персональных данных клиентов, необходимо уведомить об этом Роскомнадзор в течение 10 рабочих дней.