Персональными называют данные, при помощи которых можно идентифицировать конкретного человека. ФИО, адрес проживания, паспортные данные, личный номер телефона, электронная почта — всё это персональные данные (ПД).
С ними имеют дело многие предприниматели, и закон обязывает правильно хранить их и обрабатывать. К обработке относятся: сбор, запись, накопление, хранение, передача, обезличивание, удаление и уничтожение. Речь идет не только о данных клиентов, но и сотрудников. То есть компания становится оператором, и перед ней возникают обязанности по защите ПД. Хранить их можно и в бумажном, и электронном виде. При этом базы данных для хранения ПС граждан России могут находится исключительно в нашей стране.
Как только организация или ИП начинают сбор ПД, они должны уведомить об этом Роскомнадзор. Уведомление можно подать в бумажном виде или в электронном через сайт ведомства или «Госуслуги».
Кроме того, с 1 марта 2023 года вступили в силу ряд изменений, касающихся сбора и обработки ПД. Теперь при уничтожении ПД, необходимо оформить специальный акт и выгрузку из журнала регистрации событий в информационной системе персональных данных.
Также изменения касаются данных, которые оператор передает в другие страны. Например, сотрудник выезжает за границу в командировку или на учебу. Его данные необходимо передать зарубежным партнерам. Компания должна заранее проинформировать об этом Роскомнадзор, который еще может наложить запрет на передачу.
Иногда в компаниях случаются утечки данных. Причиной могут быть как хакерские атаки извне, так и человеческий фактор, внутренние конфликты. С 1 марта 2023 года предприниматели должны оценивать вред, который может возникнуть, если будут нарушены правила обработки ПД.
Выделяют три степени вероятного вреда:
Высокая: обработка биометрических данных, данных несовершеннолетних, информация о здоровье, данные обрабатываются иностранным гражданином или база данных находится за пределами страны;
Средняя: данные предоставляются неограниченному кругу лиц (например, информация размещается на открытых источниках – сайте компании и в соцсетях);
Низкая: обработку делает сторонний сотрудник, ведение общедоступных источников данных (справочники, адресные книги).
Результаты оценки необходимо зафиксировать в акте оценки вреда.