Соответствие 152-ФЗ организации, сайта, сервера, интернет-магазина

27 сентября 2019

Работа любой организации связана с обработкой персональных данных (ПД). Компании собирают личную информацию о сотрудниках, контрагентах и клиентах. В соответствии с 152-ФЗ обработка персональных данных должна производиться по закрепленным законодателем правилам. За контроль отвечает Роскомнадзор РФ, нарушители несут административную ответственность. В сегодняшней статье подробно расскажем о приведении сайта в соответствии с 152-ФЗ.

Соответствие требованиям 152-ФЗ

Обязательно ли приводить обращение с персональными данными в соответствие с 152-ФЗ?

Исполнение требований Федерального законодательства обязательно для граждан и организаций, которые осуществляют деятельность на территории РФ. 152-ФЗ относит к категории операторов ПД 4 типа субъектов:

  1. Государственные органы;
  2. Органы местного самоуправления;
  3. Юридические лица;
  4. Физические лица.

Под действие закона подпадают организации или лица, которые в силу своей деятельности собирают и обрабатывают сведения, относящиеся к физическим лицам. В законе не указывается какая именно информация считается личной, но юристы сходятся во мнении, что речь идет о данных, которые могут идентифицировать человека: Ф.И.О, дата рождения, контактные данные, в том числе номер телефона, адрес электронной почты и т. д.

Если деятельность ведется исключительно через сайт, например, интернет-магазин, субъект подпадает под действие 152 федерального закона при наличии следующих условий:

  • есть форма для обратной связи, заказа обратного звонка, форма для заполнения заявки с указанием контактных данных;
  • функционирует подписка на рассылку, есть авторизация, регистрация, возможность оставить комментарий;
  • размещены элементы продаж: корзина, оплата, доставка.

Наличие любой из этих форм сбора информации делает сайт оператором ПД.

Кто и как проверяет?

Для выявления нарушений Роскомнадзором РФ проводятся проверки компаний на соответствие 152-ФЗ о персональных данных.Проверки бывают 4 типов:

  1. Плановая. Руководителя предупреждают заранее, за 3 дня до начала высылается уведомление;
  2. Внеплановая. Предупреждение приходит за сутки. Проверка назначается, если на организацию поступают жалобы. Например, людям поступают навязчивые звонки.
  3. Документарная. При назначении такой проверки Роскомнадзор запрашивает с организации необходимые документы, а компании их предоставляют.
  4. Выездная. Сотрудники выезжают на место и изымают для проверки необходимые документы.

Если организация попала в список компаний для проверки, времени на полное приведение в соответствие документов и сайта не будет. За нарушение предусматриваются штрафы, размер которых составляет до 75 000 рублей.

Как привести в соответствие?

Здесь в первую очередь нужно понять суть самого закона. Он защищает права и свободы человека, рекомендует субъектам правильно обращаться с персональными данными и не допускать передачи третьим лицам без согласия человека. Для этого определены правила сбора, хранения и защиты личной информации.

Параметры оценки деятельности оператора по обработке персональных данных:

  • Цель сбора сведений личного характера;
  • Соответствие объема сбора целям;
  • Срок хранения;
  • Реализация политики обработки ПД;
  • Сбор согласий на обработку, передачу и обработку третьими лицами.

Чтобы найти ответы на эти вопросы, проверяющие Роспотребнадзора запросят комплект, состоящий из форм, приказов и правил, инструкций, регламентов и уведомлений  и т. д.

Сделать самостоятельно или обратиться к специалистам? 

Оцените возможности и ресурсы компании, хватит ли штатных единиц и необходимого технического обеспечения для проведения мероприятий? Есть ли время и силы вникать и разбираться? Если нет, делегируйте эти задачи ИТ-компаниям. Так поступает даже крупный международный бизнес.

Самый удобный вариант — арендовать инфраструктуру с полным набором средств для защиты информации в рамках модели iaas для соблюдения требований 152-ФЗ о персональных данных. В таком случае можно не беспокоится о соответствии хостинга, не думать об аренде серверной инфраструктуры в центре обработки данных (ЦОД). Если довериться профессионалам, можно даже не вникать в вопрос, знать, что ПД хранятся в облаке, защищены должным образом и необходимый пакет документов для предъявления проверяющим будет  подготовлен.

Готовы взять решение этих задач на себя. Проведем аудит на соответствие 152-ФЗ, разработаем модели угроз и комплект организационно-распорядительной документации. Подготовим техническое задание, составим проект и внедрим системы защиты персональных данных. Проведем аттестационные испытания, обеспечим сопровождением и консультационной поддержкой. 

Смотрите также:

Зоны ответственности заказчика и поставщика облачного сервиса
Ответственность за передачу персональных данных третьим лицам

Какова позиция законодателя (регулятора) в отношении использования облачных сервисов при хранении, обработке персональных данных. Как выбрать облачного провайдера с точки зрения выполнения норм 152-ФЗ по защите ПНд.

Организация защиты данных на предприятии
Организация работ по защите персональных данных

Организация данных и информации на предприятии - какие мероприятия требуется провести, как составить их план, кого назначить ответственным. Построение эффективной системы защиты информации и персональных данных на предприятии.

Что относится к персональным данным с точки зрения законодателя
Что относится к персональным данным

Что такое персональные данные с точки зрения российского законодательства – как происходит их защита, обработка и хранение. Что относится к ПНд в России с точки зрения Роскомнадзора.