Работа любой организации связана с обработкой персональных данных (ПД). Компании собирают личную информацию о сотрудниках, контрагентах и клиентах. В соответствии с 152-ФЗ обработка персональных данных должна производиться по закрепленным законодателем правилам. За контроль отвечает Роскомнадзор РФ, нарушители несут административную ответственность. В сегодняшней статье подробно расскажем о приведении сайта в соответствии с 152-ФЗ.
Обязательно ли приводить обращение с персональными данными в соответствие с 152-ФЗ?
Исполнение требований Федерального законодательства обязательно для граждан и организаций, которые осуществляют деятельность на территории РФ. 152-ФЗ относит к категории операторов ПД 4 типа субъектов:
- Государственные органы;
- Органы местного самоуправления;
- Юридические лица;
- Физические лица.
Под действие закона подпадают организации или лица, которые в силу своей деятельности собирают и обрабатывают сведения, относящиеся к физическим лицам. В законе не указывается какая именно информация считается личной, но юристы сходятся во мнении, что речь идет о данных, которые могут идентифицировать человека: Ф.И.О, дата рождения, контактные данные, в том числе номер телефона, адрес электронной почты и т. д.
Если деятельность ведется исключительно через сайт, например, интернет-магазин, субъект подпадает под действие 152 федерального закона при наличии следующих условий:
- есть форма для обратной связи, заказа обратного звонка, форма для заполнения заявки с указанием контактных данных;
- функционирует подписка на рассылку, есть авторизация, регистрация, возможность оставить комментарий;
- размещены элементы продаж: корзина, оплата, доставка.
Наличие любой из этих форм сбора информации делает сайт оператором ПД.
Кто и как проверяет?
Для выявления нарушений Роскомнадзором РФ проводятся проверки компаний на соответствие 152-ФЗ о персональных данных.Проверки бывают 4 типов:
- Плановая. Руководителя предупреждают заранее, за 3 дня до начала высылается уведомление;
- Внеплановая. Предупреждение приходит за сутки. Проверка назначается, если на организацию поступают жалобы. Например, людям поступают навязчивые звонки.
- Документарная. При назначении такой проверки Роскомнадзор запрашивает с организации необходимые документы, а компании их предоставляют.
- Выездная. Сотрудники выезжают на место и изымают для проверки необходимые документы.
Если организация попала в список компаний для проверки, времени на полное приведение в соответствие документов и сайта не будет. За нарушение предусматриваются штрафы, размер которых составляет до 75 000 рублей.
Как привести в соответствие?
Здесь в первую очередь нужно понять суть самого закона. Он защищает права и свободы человека, рекомендует субъектам правильно обращаться с персональными данными и не допускать передачи третьим лицам без согласия человека. Для этого определены правила сбора, хранения и защиты личной информации.
Параметры оценки деятельности оператора по обработке персональных данных:
- Цель сбора сведений личного характера;
- Соответствие объема сбора целям;
- Срок хранения;
- Реализация политики обработки ПД;
- Сбор согласий на обработку, передачу и обработку третьими лицами.
Чтобы найти ответы на эти вопросы, проверяющие Роспотребнадзора запросят комплект, состоящий из форм, приказов и правил, инструкций, регламентов и уведомлений и т. д.
Сделать самостоятельно или обратиться к специалистам?
Оцените возможности и ресурсы компании, хватит ли штатных единиц и необходимого технического обеспечения для проведения мероприятий? Есть ли время и силы вникать и разбираться? Если нет, делегируйте эти задачи ИТ-компаниям. Так поступает даже крупный международный бизнес.
Самый удобный вариант – арендовать инфраструктуру с полным набором средств для защиты информации в рамках модели iaas для соблюдения требований 152-ФЗ о персональных данных. В таком случае можно не беспокоится о соответствии хостинга, не думать об аренде серверной инфраструктуры в центре обработки данных (ЦОД). Если довериться профессионалам, можно даже не вникать в вопрос, знать, что ПД хранятся в облаке, защищены должным образом и необходимый пакет документов для предъявления проверяющим будет подготовлен.
Готовы взять решение этих задач на себя. Проведем аудит на соответствие 152-ФЗ, разработаем модели угроз и комплект организационно-распорядительной документации. Подготовим техническое задание, составим проект и внедрим системы защиты персональных данных. Проведем аттестационные испытания, обеспечим сопровождением и консультационной поддержкой.