Чек-лист обработки персональных данных: как подготовиться к новым правилам по 152-ФЗ

Новые правила работы действуют для владельцев сайтов, которые размещают на своих ресурсах формы обратной связи, используют системы аналитики, собирают номера телефонов, адреса электронной почты и другую информацию посетителей, обрабатывают персональные данные. Иногда владельцы сайтов могут и не подозревать, что сервисы Google, которыми они пользуются, пересылают данные на зарубежные сервера.

С 1 сентября 2022 года и с 1 марта 2023 года вступили в силу поправки в Федеральный закон от 27.07.2006 № 152 «О персональных данных». Появились новые требования к обработке персональных данных и трансграничной передаче, то есть отправке персональных данных на территорию иностранного государства. Если владелец сайта не будет соблюдать новые требования, его могут оштрафовать.

Мы подготовили чек-лист, который поможет организовать работу по новым правилам и не получать штрафов.

Чек-лист обработки персональных данных: как подготовиться к новым правилам по 152-ФЗ

Что проверяет Роскомнадзор на сайте компании?

В настоящее время проведение проверок со стороны Роскомнадзора (РКН) приостановлено до 2030 года. Тем не менее не следует снижать бдительность и пренебрегать требованиями информационной безопасности. Роскомнадзор всё ещё имеет право выборочно проверять сайты компаний. Особенное внимание уделяют тем организациям, которые оказывают услуги физлицам.

Что проверяет РКН

1. 1. Хостинг сайта — данная проверка осуществляется с помощью сервиса Whois, который определяет страну размещения.
2. 2. Наличие на сайте сбора данных cookie и использование сайтами сервисов веб-аналитики Яндекс.Метрика и Google Analytics.
3. 3. Наличие на сайте форм сбора персональных данных (ПДн) и ссылок на согласие на обработку ПДн под каждой такой формой. Обратите внимание: именно на согласие, а не на политику по обработке ПДн.
4. 4. Наличие на сайте информации о политике по обработке ПДн.

Где нарушения выявляются чаще всего

1 место — Условия обработки ПДн и согласие субъекта ПДн на обработку (п.1 ч.1 ст.6 152-ФЗ и ч.1 ст.9 152-ФЗ)

2 место — Доступ к документу, определяющему политику компании в отношении обработки персональных данных (ч.2 ст.18.1 152-ФЗ)

3 место — Наличие cookie-баннеров

Отдельное место в списке нарушений отведено подаче уведомлений в РКН. Ведомство проверяет наличие компании в реестре операторов, используя ИНН организации. Если компании нет в реестре, инспекторы фиксируют нарушение и выдают организации соответствующее предписание.

После проверки на почту компании отправляют предписание об устранении нарушений в течение 10 дней. Если нарушитель не выполнит указанные в предписании меры, он заплатит штраф в размере от 10 тысяч рублей и выше. Чтобы избежать штрафа, рекомендуем заранее ознакомиться с требованиями закона.

Для создания документов, которые проверяет РКН, вы можете воспользоваться нашим сервисом 152DOC. Он поможет вам описать политику обработки персональных данных, составить согласие на обработку ПДн и все необходимые регламенты и приказы. Сервис 152DOC станет вашим надёжным партнёром и обеспечит соблюдение законодательства.

Чек-лист для владельцев сайтов

Рекомендуем ознакомиться с чек-листом для владельцев сайтов, который поможет установить необходимый порядок обработки персональных данных на сайте и избежать штрафов от РКН. Передача данных на заграничные ресурсы и хранение там информации приведут к штрафу в размере от 30 тысяч рублей до нескольких миллионов. Воспользовавшись нашим чек-листом, вы сможете обеспечить соответствие вашего сайта требованиям закона и минимизировать риски возможных штрафов.

1. 1. Установите, какой тип персональных данных собирает ваш сайт (ФИО, номер телефона, адрес и прочее). Если есть возможность собирать как можно меньше данных или не собирать их вообще — это лучший вариант!
2. 2. Проверьте, размещена ли на сайте политика обработки персональных данных и обновите её содержание в соответствии с требованиями Федерального Закона № 152-ФЗ «О персональных данных». С 1 марта 2023 года требования к этому документу изменились, так что обязательно обновите политику обработки ПДн — сделать это можно с помощью нашего сервиса 152DOC.
3. 3. Добавьте ссылку на политику обработки персональных данных в нижнюю часть сайта (футер). Это публичный документ, доступ к которому должен быть у любого желающего. Отсутствие этого документа может повлечь штраф.
4. 4. Убедитесь, что у каждой формы сбора персональных данных на сайте есть флажок с информационным текстом, указывающим, что пользователь соглашается на обработку ПДн. В тексте должна быть ссылка на пользовательское соглашение или на согласие на обработку персональных данных.
5. 5. Разместите на сайте уведомление об использовании cookie-файлов.
6. 6. Создайте регламент обработки запросов пользователей и проведите обучение сотрудников, ответственных за обработку персональных данных.
7. 7. В случае если вы владелец интернет-магазина, убедитесь, что оферта и формы не содержат «избыточных» персональных данных. Собирайте только те данные, которые указаны в политике по обработке персональных данных. Всё, что решите собирать сверх меры, может стать источником дополнительных рисков.
8. 8. Если вы юридическое лицо (или ИП), то необходимо разработать внутреннюю документацию по защите персональных данных, заключить с сотрудниками соглашение на обработку ПДн и принять все нужные меры по защите информации. Необходимые документы можно разработать с помощью нашего сервиса 152DOC.
9. 9. Подайте уведомление об обработке персональных данных в реестр операторов, если вы ещё этого не сделали. Если уведомление было подано до февраля 2023 года, необходимо предоставить корректировочное уведомление.
10. 10. Если вы собираетесь передавать персональные данные за границу, необходимо подать соответствующее уведомление в Роскомнадзор.
11. 11. Рекомендуется проверить настройки Google Analytics, чтобы предотвратить загрузку данных, которые могут использоваться для идентификации конкретных пользователей. Поставьте перед разработчиками задачу провести проверку соответствующих настроек и внести необходимые изменения. Роскомнадзор настоятельно рекомендует отказаться от сервиса Google Analytics в связи с тем, что данные передаются на зарубежные сервера.

Подписывайтесь на блог ГК «Астрал» и будьте в курсе всех новостей!