Як підготуватися до перевірки з Роскомнадзора по виконанню закону «Про персональних даних»

Про закон «Про персональних даних» (152-ФЗ) чули в кожній компанії, а от виконати вимоги захотіли і змогли небагато. Сьогодні ми ділимося постом Ігоря Луканіна, керівника сервісу «Контур.Персональні дані».
Крок 1. Запам’ятайте, що таке персональні дані
Це будь-яка інформація, яка відноситься до певного людині: номер мобільного телефону, розмір зарплати, політичні переконання, навіть фотографії в соцмережах і відомості про товари, замовлених в інтернет-магазині минулого тижня.
Крок 2. Переконайтеся, що закон поширюється на компанію
Так вийшло, що закон поширюється на кожну компанію або ВП. Компанії отримують дані працівників при влаштуванні на роботу, компанії сфери послуг збирають дані клієнтів — фізичних осіб.
Як тільки в бланках, файли та сервіси компанії з’являються персональні дані, ця стаття з пізнавальної стає керівництвом до дії. Компанія зберігає персональні дані навіть тоді, коли працівники пишуть у внутрішній соцмережі, що сповідують пастафарианство.
Крок 3. Вивчіть масштаб поразки і видалити непотрібне
Розберіться, дані яких фізичних осіб накопичила компанія. Часто це працівники і співробітники за договорами підряду, здобувачі вакансій і клієнти.
Зрозумійте, які це дані, і буквально випишіть у стовпчик. Працівники: ПІБ, дата народження, розмір зарплати. Клієнти: ПІБ, адресу електронної пошти та домашню адресу.
Вивчіть, в які бланки ці дані потрапляють, на яких комп’ютерах і в яких сервісах компанії вони зберігаються. Персональні дані проникають куди завгодно.
Якщо виявили непотрібне для роботи компанії, сміливо позбавляйтеся. Вже два роки як змінили директ-мейл на SMS-розсилки — видаляйте поштові адреси клієнтів. Кадровики ще зберігають резюме шукачів за останні 15 років — під ніж.
Крок 4. Запитуйте дозвіл
Передавати дані в іншій компанії або робити їх публічними можна лише за згодою фізичної особи. Типові приклади: банк нараховує гроші на картки працівників за зарплатним проектом, а кур’єрська компанія розвозить замовлення клієнтам.
Використовувати спеціальні категорії персональних даних можна тільки з письмової згоди. Це дані про національної належності, політичних і релігійних поглядах та переконаннях, здоров’я та інтимного життя.
Передавати дані закордонним контрагентам — теж тільки з письмової згоди. Можна не робити так, якщо контрагент з однієї з 17 країн, затверджених наказом Роскомнадзора № 274 від 15.03.2013. Ведете туристичний бізнес і відправляєте клієнтів у Хорватії — беріть письмову згоду на передачу даних в готелі та компанії, що організують трансфер.
Розсилати рекламні повідомлення або здійснювати рекламні дзвінки — тільки з попередньої згоди, інакше Роскомнагляд і ФАС засмутяться. Заручіться згодою клієнта, коли збираєте контактні дані на сайті або в паперовій анкеті.
Крок 5. Заведіть пачку локальних нормативних актів
Результати попереднього кроку вносяться у внутрішній нормативний акт — політику щодо обробки персональних даних.
152-ФЗ і Трудовий кодекс вимагають, щоб компанія затвердила політику, ознайомила з нею працівників і щоб клієнти могли це зробити.
Роздрук на інформаційному стенді і сторінка на сайті вирішують проблему.
У разі, якщо в компанію прийде перевірка, перевіряючі захочуть отримати не одну політику. При цьому в законі немає переліку необхідних локальних актів. Виручає кмітливість, «Яндекс» і Google, сервіси-помічники або умілі підрядники.
Крок 6. Придивіться до сайту
Обов’язково опублікуйте на сайті політику стосовно обробки персональних даних, якщо збираєте дані через нього. Якщо ні — теж опублікуйте, це виділить компанію в очах клієнтів і Роскомнадзора, який може перевірити наявність політики на сайті компанії без будь-якого попередження.
При зборі даних через сайт не забудьте послатися на політику і запитати дозвіл клієнтів на використання даних. Проставити галочки у формі на сайті — це теж знак згоди.
Крок 7. Повідомите Роскомнагляд
152-ФЗ радить відправити в Роскомнадзор повідомлення, що компанія використовує персональні дані.
Закон перераховує ряд випадків, коли це не обов’язково, але краще винятками не користуватися.
Коректно застосувати до виключення компанії складно. Не легше довести це контролюючому органу, якщо він не погодиться.
Повідомлення надсилається через сайт Роскомнадзора або портал держпослуг, а потім поштою. У повідомленні вкажіть реквізити компанії та інформацію з політики. Використовуйте інструкцію на сайті Роскомнадзора, вона відповість на деякі запитання щодо заповнення.
Цих кроків вистачить, щоб підготуватися до перевірки або «лист щастя» з Роскомнадзора. Гарантувати успіх в спілкуванні з контролюючим органом не можна, але прийняти розумні заходи варто вже сьогодні або завтра. Так і Роскомнадзор лобіює підвищення штрафів на порядок.