О чем речь. К персональным данным относят имя, номер телефона, e-mail, паспортные реквизиты, cookie-файлы и другую касающуюся человека информацию, по которой его можно хотя бы косвенно идентифицировать.
Бизнес, который собирает такую информацию о своих сотрудниках, клиентах и контрагентах, становится оператором персданных.
Что произошло. По приказу Роскомнадзора все операторы персональных данных должны будут оценивать вероятный ущерб людям, если бизнес нарушит закон «О персональных данных». Исполнять этот приказ нужно будет с 1 марта 2023 года.
Присваивать категорию потенциального вреда будет ответственный за организацию обработки личных сведений в бизнесе. Эту роль может выполнять бухгалтер, кадровик, директор или другой сотрудник. Он должен оценить возможный вред в зависимости от того, какие именно данные собирает оператор и как он их использует. Оператор получает одну оценку на весь бизнес. Если оператор по-разному собирает и использует данные, то есть разным направлениям бизнеса можно присвоить разные оценки, нужно выбирать самую высокую из них. Степеней возможного вреда может быть три: низкая, средняя и высокая.
Низкая:
- бизнес ведет общедоступный источник персональных данных — справочник или адресную книгу. Информация в них вносится после письменного согласия человека, которого эти данные касаются;
- назначает внештатного специалиста ответственным за обработку персональных данных.
Средняя:
- бизнес распространяет личные данные неограниченному кругу лиц на сайте, в соцсетях и другими способами. Например, история про одного из сотрудников в группе компании;
- обрабатывает данные в целях, которые отличаются от первоначальной цели сбора. Например, взяли электронную почту для верификации, а после — добавили в список рассылки;
- рекламирует продукт, напрямую контактируя с человеком, если бизнес использовал базу персданных другого оператора. Например, бизнес купил базу контактов для холодных звонков у другой компании;
- получил согласие на обработку персданных в интернете с помощью функционала, который не будет идентифицировать пользователя. Например, пользователь согласился предоставить сайту право определить город, в котором находится человек;
- получил согласие на обработку персданных с правом передачи сведений другому оператору персональных данных.
Высокая:
- бизнес обрабатывает биометрические персональные данные — отпечаток пальца, голос человека;
- обрабатывает данные о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни и сведения о судимости;
- обрабатывает личные данные несовершеннолетних, если они нужны для договора с ним. Например, риелтор помогает оформить квартиру на ребенка;
- обезличивает персональные данные, например для проведения исследований;
- поручает иностранному лицу обрабатывать персональные данные граждан России;
- собирает персональную информацию с использованием баз данных, находящихся за пределами РФ.
Ответственный за организацию обработки персданных составляет акт оценки, в котором указывает наименование или имя оператора персданных, дату, свое имя и поставленную оценку. Документ можно составить на бумаге или в цифровом виде с электронной подписью.
Что это значит для бизнеса. Пока эта процедура формальна. Роскомнадзор сможет проверить, какую категорию возможного вреда присвоил себе бизнес. На данный момент, кроме составления акта, делать по новому приказу бизнесу больше ничего не нужно.
Отдельной ответственности за неисполнение этих требований нет. Однако если Роскомнадзор запросит акт о степени вреда, а оператор его не представит, то руководителя компании или ИП могут оштрафовать на 300—500 ₽, малое предприятие — на 1500—2500 ₽, остальные компании — на 3000—5000 ₽.