Что нужно сделать, чтобы обработка персональных данных была корректной?

Медиаюрист Светлана Кузеванова объясняет:

Чтобы обработка персональных данных была корректной, вы должны сделать три обязательных шага.

1. Если у вас есть сайт, сделайте его аудит.

При входе на сайт должно быть всплывающее уведомление об использовании метрик с указанием названий программ и указанием на способ согласия с ним.  В политике конфиденциальности использование метрик также необходимо отразить. Если используются иностранные метрики, необходимо уведомить (https://t.me/lawyerkuzevanova/673) РКН о трансграничной передаче.

Все формы обратной связи, через которые собираются данные пользователей, должны сопровождаться согласием. Оно должно быть отдельным от других согласий (например, на получение рассылки) и активным (чек-бокс не должен быть предзаполнен). При получении согласия пользователя важно уведомить об условиях политики конфиденциальности.

Политика конфиденциальности должна быть размещена в видимом месте (обычно в подвале) и активные ссылки на нее необходимо сделать рядом с согласиями.  Не скачивайте абы какие политики в интернете (мол, все равно их никто не читает), делайте индивидуальные и актуальные у юристов. 

2. Подайте уведомление об обработке персональных данных в РКН. Если уже подали, то проверьте корректность.

Уведомление можно подать одним из трех способов, указанных на сайте РКН. (https://pd.rkn.gov.ru/operators-registry/notification/form/?key=f36c9aaf5b30b796d3b95dd19eba30ef). Самый удобный способ подачи – через Госуслуги.

Если уведомление подано до 2023 года, то оно требует корректировки, поскольку форма устарела. В этом случае надо подавать уведомление о внесении изменений. (https://pd.rkn.gov.ru/operators-registry/notification/updateform/)

Чаще всего при подаче уведомлений указывают всего одну цель обработки - бухгалтерский и кадровый учет. Это категорически неверно. Необходимо провести аудит всех процессов работы с данными внутри организации и отразить в уведомлении каждую из целей по отдельности. 

3. Подготовьте пакет документов по обработке данных.

Чаще всего в организации есть политика, подписаны согласия и более ничего.  В лучшем случае из интернета скачаны какие-то образцы десятка документов с не актуальным и не конкретизированным для деятельности организации содержанием. Но чтобы пройти проверку РКН документов должно быть сильно больше.

В том пакете, который для организаций предлагаю я, почти 40 документов. Это оптимальный стандарт, позволяющий успешно пройти проверку РКН. 

Есть ощущение, что 90% организаций в стране не имеют этих документов и не собираются их делать. РКН действительно не проводит масштабных проверок, но формально это нарушение закона. А идти на подобный риск или нет – дело каждого.