В условиях глобализации мировой экономики и проникновения Интернета во все сферы жизни особое значение приобретает защита персональных данных. Доверяя государству и бизнесу свою персональную информацию, человек получает более удобный и качественный сервис, а также комфортную коммуникацию. Однако повсеместное и избыточное собирание персональной информации чревато серьезными рисками (незаконная передача персональных данных субъекта третьему лицу, их обработка в противоречии с заявленными целями или с превышением допустимых пределов, хищение и др.). В связи с этим были приняты изменения, направленные на защиту персональных данных потребителей, в т. ч. от их необоснованного сбора, которые вступят в силу в сентябре 2022 года. Рассказываем о новеллах, ведь многие их них коммерсантам нужно учесть в работе уже сейчас. А потребителям будет интересно узнать, на что они могут рассчитывать по новым правилам в случае нарушения их прав, какие возможности для них несут поправки.
Коммерческая ценность
В условиях цифровизации мировой экономики и расширения международного сотрудничества защита персональных данных приобретает особую значимость, поскольку люди ежедневно и неосознанно открывают к ним доступ широкому кругу лиц (например, заполняя анкеты для получения дисконтных карт, бонусов и скидок). Сбор и обработка большого объема персональной информации, характеризующей целые группы людей и их поведенческие особенности, позволяет предприимчивым коммерсантам монетизировать полученные данные, а также делать свои продукты более востребованными за счет извлекаемых конкурентных преимуществ.
Не секрет, что накапливание и анализ больших объемов данных (big data), включая персональную информацию, дает компаниям возможность продавать их на рынке, выстраивать и применять скоринговые модели, анализировать поведение клиентов, их запросы и предпочтения и благодаря этому делать адресные предложения, наращивая выручку. Информация давно превратилась в полноценный товар, пользующийся высоким спросом на рынке со стороны покупателей, работающих в разных сегментах.
Базовые требования к обработке персданных
Порядок получения статуса оператора по обработке персональных данных и его обязанности предусмотрены ст. 1, п. 2 ст. 3, ст. 5–6, 18–22.1 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» 1. Указанный статус должен быть присвоен любым федеральным, региональным и муниципальным органам власти, юридическим и физическим лицам, включая индивидуальных предпринимателей, если они выполняют обработку персональных данных с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, либо без такого использования, если по своему характеру это соответствует автоматической обработке.
Оператор обязан направить уведомление в Роскомнадзор о своем намерении осуществлять обработку персданных. Направлять уведомления не требуется, если обработка персданных осуществляется:
- в соответствии с трудовым законодательством РФ либо на основании договора с субъектом, при этом они не передаются третьим лицам;
- в иных случаях, предусмотренных п. 2 ст. 22 Закона № 152‑ФЗ.
При прекращении обработки оператор также сообщает Роскомнадзору, направляя уведомление.
Оператор должен утвердить документы, связанные с обработкой персданных, назначить ответственное лицо, которое подчиняется непосредственно исполнительному органу оператора, что позволяет обеспечить независимость такого сотрудника от руководителей иных структурных подразделений компании-оператора.
Оператор должен самостоятельно определить состав и содержание организационных, технических и правовых мер для обеспечения защиты персональных данных, осуществлять внутренний контроль и/или аудит, знакомить работников с принятыми правилами работы, оценивать возможный вред, который он может причинить субъектам персональных данных. На своем сайте оператор должен разместить политику обработки персональных данных с указанием в ней всех необходимых параметров, которые представляют интерес для неопределенного круга лиц, использующих его товары или услуги. В таком документе оператор...
