27.09.2019

Соответствие 152-ФЗ организации, сайта, сервера, интернет-магазина

Работа любой организации связана с обработкой персональных данных (ПД). Компании собирают личную информацию о сотрудниках, контрагентах и клиентах. В соответствии с 152-ФЗ обработка персональных данных должна производиться по закрепленным законодателем правилам. За контроль отвечает Роскомнадзор РФ, нарушители несут административную ответственность. В сегодняшней статье подробно расскажем о приведении сайта в соответствии с 152-ФЗ.

Обязательно ли приводить обращение с персональными данными в соответствие с 152-ФЗ? 

Исполнение требований Федерального законодательства обязательно для граждан и организаций, которые осуществляют деятельность на территории РФ. 152-ФЗ относит к категории операторов ПД 4 типа субъектов: 

  1. Государственные органы;
  2. Органы местного самоуправления;
  3. Юридические лица;
  4. Физические лица.

Под действие закона подпадают организации или лица, которые в силу своей деятельности собирают и обрабатывают сведения, относящиеся к физическим лицам. В законе не указывается какая именно информация считается личной, но юристы сходятся во мнении, что речь идет о данных, которые могут идентифицировать человека: Ф.И.О, дата рождения, контактные данные, в том числе номер телефона, адрес электронной почты и т. д.

Если деятельность ведется исключительно через сайт, например, интернет-магазин, субъект подпадает под действие 152 федерального закона при наличии следующих условий: 

  • есть форма для обратной связи, заказа обратного звонка, форма для заполнения заявки с указанием контактных данных;
  • функционирует подписка на рассылку, есть авторизация, регистрация, возможность оставить комментарий;
  • размещены элементы продаж: корзина, оплата, доставка.

Наличие любой из этих форм сбора информации делает сайт оператором ПД. 

Кто и как проверяет? 

Для выявления нарушений Роскомнадзором РФ проводятся проверки компаний на соответствие 152-ФЗ о персональных данных. Проверки бывают 4 типов:

  1. Плановая. Руководителя предупреждают заранее, за 3 дня до начала высылается уведомление;
  2. Внеплановая. Предупреждение приходит за сутки. Проверка назначается, если на организацию поступают жалобы. Например, людям поступают навязчивые звонки.  
  3. Документарная. При назначении такой проверки Роскомнадзор запрашивает с организации необходимые документы, а компании их предоставляют. 
  4. Выездная. Сотрудники выезжают на место и изымают для проверки необходимые документы. 

Если организация попала в список компаний для проверки, времени на полное приведение в соответствие документов и сайта не будет. За нарушение предусматриваются штрафы, размер которых составляет до 75 000 рублей. 

Как привести в соответствие?

Здесь в первую очередь нужно понять суть самого закона. Он защищает права и свободы человека, рекомендует субъектам правильно обращаться с персональными данными и не допускать передачи третьим лицам без согласия человека.  Для этого определены правила сбора, хранения и защиты личной информации. 

Параметры оценки деятельности оператора по обработке персональных данных:

  • Цель сбора сведений личного характера;
  • Соответствие объема сбора целям;
  • Срок хранения;
  • Реализация политики обработки ПД;
  • Сбор согласий на обработку, передачу и обработку третьими лицами.

Чтобы найти ответы на эти вопросы, проверяющие Роспотребнадзора запросят комплект, состоящий из форм, приказов и правил, инструкций, регламентов и уведомлений  и т. д.

Сделать самостоятельно или обратиться к специалистам? 

Оцените возможности и ресурсы компании, хватит ли штатных единиц и необходимого технического обеспечения для проведения мероприятий? Есть ли время и силы вникать и разбираться? Если нет, делегируйте эти задачи ИТ-компаниям. Так поступает даже крупный международный бизнес.

Самый удобный вариант – арендовать инфраструктуру с полным набором средств для защиты информации в рамках модели iaas для соблюдения требований 152-ФЗ о персональных данных. В таком случае можно не беспокоится о соответствии хостинга, не думать об аренде серверной инфраструктуры в центре обработки данных (ЦОД). Если довериться профессионалам, можно даже не вникать в вопрос, знать, что ПД хранятся в облаке, защищены должным образом и необходимый пакет документов для предъявления проверяющим будет  подготовлен. 

Готовы взять решение этих задач на себя. Проведем аудит на соответствие 152-ФЗ, разработаем модели угроз и комплект организационно-распорядительной документации. Подготовим техническое задание, составим проект и внедрим системы защиты персональных данных. Проведем аттестационные испытания, обеспечим сопровождением и консультационной поддержкой. 

Присоединяйтесь к нам,
чтобы получать чек-листы, реальные кейсы, а также
обзоры сервисов раз в 2 недели.
Нас читает уже 1243 руководителей!