🎥 Видеоинструкции для операторов персональных данных. Часть 4

Сегодня говорим про сервисы веб-аналитики.

➡️ Что такое метрические программы и почему на них распространяется закон «О персональных данных»?
➡️ Как правильно получить согласие человека на сбор его данных с помощью сервиса веб-аналитики?
➡️ Что отразить в политике конфиденциальности?

Отвечает Алла Федорова, консультант-аналитик Главного радиочастотного центра.

Пропустили прошлые выпуски? Смотрите здесь 👇

➡️ Часть 1. Что такое политика конфиденциальности и где ее разместить
➡️ Часть 2. Чем политика конфиденциальности отличается от пользовательского соглашения
➡️ Часть 3. Как правильно обрабатывать персональные данные пользователей в целях продвижения товаров, работ и услуг

Соблюдайте закон и берегите персональные данные своих пользователей ❤️

Подпишись ➡️ ⚡️⚡️⚡️

Privacy-мнение от Comply

Процедура уничтожения персональных данных. Трагедия в 3-х частях. Финальная часть

Вот уже третью неделю мы обсуждаем процедуру уничтожения ПД. Определили, в каких случаях нужно уничтожать ПД, следуя всем правилам, и что фиксировать в логах.

Пришло время обсудить регулярность уничтожения ПД и, соответственно, составления актов об уничтожении и логирования.

По общему правилу, оператор ПД обязан прекратить обработку и уничтожить ПД в течение 30 дней с даты достижения цели их обработки. Подтверждает уничтожение соответствующий акт и выгрузка из журнала. Соответственно, каждые 30 дней оператору ПД нужно готовить эти документы, что может оказаться весьма обременительным.

Однако при невозможности уничтожения ПД оператор вправе их заблокировать на срок до 6 месяцев, а затем уничтожить (ч. 6 ст. 21 152-ФЗ).

Условия «невозможности» в статье не указаны, а значит оператор ПД может рискнуть самостоятельно их определить. Причины такой «невозможности» могут быть разные. Например, специфика ИТ-инфраструктуры оператора, ограничивающая или исключающая регулярную процедуру уничтожения.

Получается, что вроде бы оператор может поделить год на два полугодия и привязать к ним процедуру уничтожения. Таким образом, все документы с ПД и ПД в ИТ-системах, подлежащие уничтожению в январе 2024 – июне 2024 года, могут быть уничтожены единовременно, например, 28 июня, и все это можно закрепить единым актом об уничтожении.

❗️Проверьте, закреплена ли в вашем регламенте уничтожения или ином ЛНА возможность заблокировать ПД, а также как сформулированы основания для блокирвоки.

Вот такой элегантный способ свести всю бюрократию к двум актам в год. Но процедура блокирования должна все-таки по-настоящему существовать. Например, ПД должны быть перенесены во временную базу с ограничениями доступа и обработки и / или должен проставляться дополнительный признак запрета обработки, т.е. «блокировки».

А еще напомним, что блокирование – это временное прекращение обработки ПД. То есть оператор не может использовать персональные данные в течение этих 6 месяцев в своих целях.

☝️Блокирование перед уничтожением упрощает саму процедуру уничтожения ПД, и точно не является лазейкой для продления срока использования ПД оператором.

Конечно же и само по себе блокирование должно выполняться по определенным правилам. При этом оно не должно быть чрезмерно обременительным, в противном случае не понятно, зачем оно нам…но правила блокировки это уже отдельная история.

🔥Надеемся, серия постов была полезной и поможет вам обуздать рутину уничтожения ПД (смотрите пост раз и пост два).

В следующем посте ответили на самые популярные вопросы наших подписчиков в формате вопрос-ответ ⬇️