Выпускник факультета «Менеджмент в сфере интернет-технологий», основатель компаний SiteSecure и Б-152 Максим Лагутин описал основные проблемы, допускаемые бизнесом при выполнении законодательства в области персональных данных персональных данных и совсем немного прошелся по HIPPA и GDPR. Материал опубликован в Inc. Russia.

С 1 июля штрафы за нарушения законодательства о персональных данных увеличатся. Ускорится и процедура привлечения нарушителей к ответственности: Роскомнадзор сможет передавать дела в суд и блокировать сайты, минуя прокуратуру. Рассказываем, что нужно сделать компаниям, чтобы не повторить судьбу LinkedIn и не нарваться на штрафы (на всё про всё осталось чуть больше недели).

Кого это касается?

Под действие Федерального закона № 152-ФЗ «О персональных данных» и изменений к нему подпадают все компании, которые собирают, обрабатывают и хранят сведения о гражданах. И неважно, как эти данные оказались у вас — нанимали работников, искали кандидатов на вакантную должность, проводили промо-акции или выписывали пропуска…

Прежде всего, стоит напрячься кредитным организациям, банкам, МФО и коллекторским агентствам — на них, по информации Роскомнадзора приходится более 40% жалоб физических лиц. Следует насторожиться и другим компаниям, использующим в своей работе данные граждан — например, турфирмам, интернет-сервисам, ретейлерам.

Если вы активно применяете инструменты маркетинга (почтовые рассылки, промо-акции, BTL, программы лояльности) — тоже готовьтесь к проверкам Роскомнадзора. И ждите крупных неприятностей, если ваш сайт или информационные системы с персональными данными «хостятся» полностью или частично за пределами РФ — такие интернет-ресурсы и сервисы Роскомнадзор заблокирует безоговорочно.

Что делать?

1. Выясните у руководителей своих отделов, от кого и зачем они получают персональные данные, как их обрабатывают и кому передают. Сведения о гражданах обычно аккумулируются у юристов, бухгалтеров, безопасников, айтишников, кадровиков, логистов, маркетологов и редакторов сайта.

2. Определите, в каких системах (1 °C, CRM, сайт) обрабатываются данные. Эта информация позже пригодится при разработке модели угроз безопасности и технических требований по защите персональных данных.

3. Назначьте ответственных за обработку и защиту персональных данных (юристы, кадровики, айтишники и безопасники). Их задача — «причесать» ваши документы под требования закона, и именно им, в случае проверки, будет не до сна.

4. Составьте внутренние документы, которые установят правила обработки и защиты персональных данных в вашей компании. Это могут быть, например, приказы, положения, инструкции, регламенты, политики конфиденциальности, акты, перечни… Документы должны отражать специфику вашей работы с данными — поэтому их лучше составить самостоятельно, а не «надергать» из интернета (перечень требуемых Роскомнадзором документов обычно выглядит так). Обычно компании возлагают эту работу на юриста или кадровика, но их знаний зачастую недостаточно — нужно подключать айтишников и безопасников или обращаться к консультантам.

5. Получите согласие на обработку персональных данных у своих сотрудников и всех физических лиц, с которыми вы взаимодействуете.

6. Если вы поручаете обработку персональных данных сторонней компании — подпишите с ней соответствующее соглашение.

7. Ознакомьте всех своих сотрудников под подпись с внутренними документами о персональных данных.

8. Подайте в Роскомнадзор уведомление об обработке персональных данных — онлайн-форму можно заполнить на сайте ведомства.

9. Внедрите систему технической защиты персональных данных.

10. Отслеживайте изменения законодательства в сфере персональных данных и, в случае необходимости, обновляйте внутреннюю документацию.

Читать далее…