Роскомнадзор (РКН) пристально следит за безопасностью персональных данных россиян. Не остались без внимания и владельцы сайтов, размещающие на своих ресурсах формы обратной связи, использующие системы аналитики, собирающие номера телефонов, адреса электронной почты и другую информацию о своих посетителях.
За последние несколько лет в закон «О персональных данных (152‑ФЗ)» были внесены значительные поправки. Озвучены новые требования к Политике обработки персональных данных и правилам трансграничной передачи — отправке персональных данных на территорию иностранного государства. Несоблюдение этих требований может грозить владельцам сайтов многомиллионными штрафами, а количество штрафов на данный момент насчитывает более 10 видов.
В этой статье мы расскажем, чтo проверяет Роскомнадзор и какие нарушения выявляются, а также дадим рекомендации по выполнению требований контролирующих органов.
4 частых нарушения в ходе проверок РКН
Ошибка #1. Компания не зарегистрирована как оператор персональных данных. Это означает, чтo организация не подавала соответствующее заявление в Роскомнадзор. Проверка происходит по ИНН.
Ошибка #2. Не соблюдены условия обработки персональных данных и отсутствует согласие субъекта на их обработку. Требования опубликованы в п.1 ч.1 ст.6 152‑ФЗ и ч.1 ст.9 152‑ФЗ.
Ошибка #3. Не предоставлен доступ к документу, определяющему Политику компании в отношении обработки персональных данных, согласно ч.2 ст.18.1 152‑ФЗ.
Ошибка #4. На сайте компании размещены cookie‑баннеры без соответствующего уведомления пользователей о сборе персональных данных, целей их сбора и места их передачи.
Что входит в Политику по обработке персональных данных?
Политика по обработке персональных данных — это документ, регулирующий работу с персональными данными и включающий в себя ключевые положения, цели и правовые основания, а также принципы и условия для их обработки:
- В разделе с общими положениями рекомендуется описывать назначение Политики и основные понятия, используемые в ней. Кроме этого, необходимо перечислить основные права и обязанности как оператора, так и субъекта персональных данных.
- Цели сбора персональных данных должны быть четко определены, законны и прописаны в Политике. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
- Правовым основанием обработки персональных данных является совокупность актов, в соответствии с которыми оператор осуществляет обработку персональных данных. К ним могут относится Устав, Федеральные законы и т. д.
- Объем и категории обрабатываемых персональных данных должны соответствовать заявленным целям обработки персональных данных и не должны быть избыточными по отношению к ним.
В разделе с принципами и условиями обработки персональных данных рекомендуется указывать перечень действий, совершаемых оператором. Не забудьте указать способы обработки и сроки хранения данных, случаи взаимодействия с третьими лицами, а также условия передачи персональных данных в их адрес.
Безопасность персональных данных
Для обеспечения безопасности персональных данных важнo:
- выделить и назначить ответственных;
- разработать локальные нормативные акты;
- принять иные меры, подходящие под цели организации.
Если обработка персональных данных осуществляется без использования средств автоматизации — необходимо указывать место хранения, способы уничтожения и расписать принцип работы с материальными носителями.
Важным является соблюдение регламента реагирования на запросы субъектов персональных данных по поводу актуализации, исправления, удаления и уничтожения персональных данных. Нужно указать сроки реагирования на такие запросы либо разместить ссылку на статью 18.1 Федерального закона «О персональных данных».
Рекомендуется включить в Политику регламенты реагирования на запросы и обращения субъектов персональных данных по поводу неточности данных, неправомерности их обработки, отзыва согласия и доступа к своим данным.
Проверьте свой сайт уже сейчас
Мы подготовили чек‑лист для владельцев сайтов, который может помочь правильно подойти к сбору и обработке персональных данных пользователей и выполнить требования Роскомнадзора.
- Подготовьтесь:
- Определите от кого и какие данные вы будете собирать на вашем сайте: ФИО, номер телефона, адрес и прочее — не собирайте избыточные данные.
- Назначьте ответственного за разработку внутренней документации по защите персональных данных.
- Используйте конструктор локально‑нормативных актов в области защиты информации 152DOC для 1С для разработки внутренней документации по защите персональных данных и эксплуатации средств криптографической защиты информации в соответствии с законодательством РФ.
- Проверьте:
- Территорию размещения сайта, используя сервис Whois.
- Оферты и формы обратной связи — они не должны содержать «избыточных» персональных данных.
- Настройки Google Analytics для предотвращения возможностей загрузки данных, которые могут идентифицировать конкретных пользователей, или вовсе откажитесь от использования данного сервиса.
- Наличие уведомлений посетителей сайта об использовании cookie‑файлов.
- Разместите необходимую информацию на сайте:
- Актуальную Политику обработки персональных данных, соответствующую требованиям 152‑ФЗ, которая содержит в себе регламент обработки запросов пользователей.
- Уведомление об использовании cookie‑файлов на сайте.
- Оповестите Роскомнадзор:
- Подайте уведомление об обработке персональных данных, чтoбы зарегистрировать компанию как оператора персональных данных. Если уведомление было подано до февраля 2023 года — предоставьте корректировочное уведомление.
- Подайте уведомление о трансграничной передаче данных, чтoбы передавать и обрабатывать персональные данные за пределами РФ, если это актуально для вашей компании.
Соблюдение требований Роскомнадзора и актуализированный сайт способны помочь владельцам сайтов не только избежать проблем с контролирующими органами, но и расположить к себе посетителей, которые не будут беспокоиться за сохранность своих персональных данных.
31 августа для самостоятельного использования партнерами в сети 1С выпущен специальный тариф в сервисе 152DOC для 1С — «Расширенный Партнерский». Используйте в работе конструктор технической документации в области защиты информации и рекомендуйте его своим клиентам. Сервис помогает разработать документы по защите персональных данных и эксплуатации средств криптографической защиты информации в соответствии с законодательством РФ.
Подписывайтесь на рассылку новостей от дистрибьютора «1С‑Рарус» и получайте полезные материалы по импортозамещению.
По вопросам приобретения продуктов обращайтесь в отдел продаж системного программного обеспечения:
- эл. почта: soft@rarus.ru;
- тел.: +7 (495) 642-78-78;
- или в ваше региональное представительство компании «1С‑Рарус».