Comment se préparer à un contrôle de Roskomnadzor sur l'application de la loi "Sur les données personnelles"

2024 Auteur: Malcolm Clapton | [email protected]. Dernière modifié: 2023-12-17 03:55

Toutes les entreprises ont entendu parler de la loi « sur les données personnelles » (152-FZ), mais peu ont voulu et ont pu remplir les exigences. Aujourd'hui, nous partageons un post d'Igor Lukanin, chef du service "".

Étape 1. Rappelez-vous ce que sont les données personnelles

Il s'agit de toute information relative à une personne en particulier: numéro de téléphone portable, salaire, opinion politique, voire des photos sur les réseaux sociaux et des informations sur les marchandises commandées sur une boutique en ligne la semaine dernière.

Étape 2. Assurez-vous que la loi s'applique à l'entreprise

Il se trouve que la loi s'applique à toute entreprise ou entrepreneur individuel. Les entreprises collectent les données des employés lorsqu'elles postulent à un emploi, les sociétés de services collectent les données des clients individuels.

Dès que des données personnelles apparaissent dans les formulaires, fichiers et services de l'entreprise, cet article devient un guide d'action à partir d'un cognitif. L'entreprise stocke des données personnelles même lorsque les employés écrivent sur le réseau social interne qu'ils professent le pastafarisme.

Étape 3. Examinez l'échelle de la lésion et retirez les

Comprendre les données des individus que l'entreprise a accumulés. Il s'agit souvent d'employés et d'employés contractuels, de demandeurs d'emploi et de clients.

Comprenez ce que sont ces données et notez-les littéralement dans une colonne. Salariés: nom complet, date de naissance, salaire. Clients: nom, adresse e-mail et adresse personnelle.

Étudiez sous quelles formes ces données entrent, sur quels ordinateurs et dans quels services de l'entreprise elles sont stockées. Les données personnelles vont partout.

Si vous trouvez quelque chose qui est inutile pour le travail de l'entreprise, n'hésitez pas à vous en débarrasser. Cela fait deux ans que nous avons changé le publipostage en envoi par SMS - supprimez les adresses e-mail des clients. Les agents du personnel gardent toujours le curriculum vitae des candidats des 15 dernières années - sous le couteau.

Étape 4. Demander la permission

Vous pouvez transférer des données à une autre entreprise ou les rendre publiques uniquement avec le consentement d'un individu. Exemples typiques: la banque crédite de l'argent sur les cartes des employés sur un projet salarial, et une entreprise de messagerie livre les commandes aux clients.

Vous ne pouvez utiliser des catégories spéciales de données personnelles qu'avec un consentement écrit. Il s'agit de données sur la nationalité, les opinions et croyances politiques et religieuses, la santé et la vie intime.

Transférer des données à des contreparties étrangères - également uniquement avec un consentement écrit. Vous n'êtes pas obligé de le faire si la contrepartie est originaire de l'un des 17 pays approuvés par l'arrêté Roskomnadzor n° 274 du 2013-03-15. Vous dirigez une entreprise touristique et envoyez des clients en Croatie - prenez un consentement écrit pour le transfert de données aux hôtels et aux entreprises organisant le transfert.

Envoyer des messages publicitaires ou passer des appels publicitaires - uniquement avec le consentement préalable, sinon Roskomnadzor et le FAS seront contrariés. Obtenez le consentement du client lors de la collecte des informations de contact en ligne ou sous forme papier.

Étape 5. Obtenez un tas de réglementations locales

Les résultats de l'étape précédente sont consignés dans un règlement interne - une politique concernant le traitement des données personnelles.

152-FZ et le Code du travail exigent que l'entreprise approuve la politique, la familiarise avec les employés et que les clients puissent également le faire.

Une impression sur le stand d'information et une page sur le site Internet résolvent le problème.

Dans le cas où un audit vient à l'entreprise, les auditeurs voudront recevoir plus d'une politique. Dans le même temps, la loi ne contient pas de liste des actes locaux requis. Savvy, Yandex et Google, des services d'assistance ou des entrepreneurs qualifiés vous aident.

Étape 6. Examinez le site de plus près

Assurez-vous de publier une politique sur le traitement des données personnelles sur le site si vous collectez des données par son intermédiaire. Sinon, publiez-le également, cela permettra à l'entreprise de se démarquer aux yeux des clients et de Roskomnadzor, qui peut vérifier la présence d'une politique sur le site Web de l'entreprise sans aucun avertissement.

Lors de la collecte de données via le site, assurez-vous de vous référer à la politique et de demander la permission au client d'utiliser les données. Cocher le formulaire sur le site est aussi un signe de consentement.

Étape 7. Notifier Roskomnadzor

152-FZ conseille d'envoyer une notification à Roskomnadzor que la société utilise des données personnelles.

La loi énumère un certain nombre de cas où ce n'est pas nécessaire, mais il vaut mieux ne pas utiliser d'exceptions.

Il est difficile d'appliquer correctement les exceptions à une entreprise. Il n'est pas plus facile de le prouver à l'autorité de contrôle si elle n'est pas d'accord.

La notification est envoyée via le site Web de Roskomnadzor ou le portail des services de l'État, puis par courrier. Dans la notification, incluez les détails de l'entreprise et les informations de la politique. Utilisez les instructions sur le site Web de Roskomnadzor, il répondra à quelques questions sur le remplissage.

Ces étapes suffiront à préparer un chèque ou une "lettre de bonheur" de Roskomnadzor. Il est impossible de garantir le succès dans les relations avec l'organisme de réglementation, mais cela vaut la peine de prendre des mesures raisonnables aujourd'hui … ou demain. Et Roskomnadzor fait pression pour une augmentation d'un ordre de grandeur des amendes.