152-ФЗ: Что делать, когда пришло письмо из прокуратуры о нарушении закона о персональных данных

На текущий момент штраф 5000, а к лету вырастет до 30 000. Но даже 5 можно потратить лучше, чем оплатить штраф за невыполнение закона.

У Вас - Сайт (Интернет-магазин и не только) с формой обратной связи или корзиной и оформлением заказа онлайн. В общем, любая форма с контактами - это зона риска в разрезе 152ФЗ.

Важно понимать, что по закону (рекомендую его прочитать) есть четкий перечень того, что является персональными данными (ПД) и многие ошибочно думают, что указание Ф.И.О. без данных паспорта не попадает под действие закона. Важный момент - косвенные ПД. Исходя из их определения - любое сочетание данных о клиенте попадает под действие закона.

ВАЖНО! Заполнение ФИО и телефона в форме на сайте требует соблюдения 152-ФЗ.

На примере Интернет-магазина, что нужно сделать, чтобы 152-ФЗ выполнялся:

1. Приготовить печатные версии документа с печатями и подписями и хранить папочку рядом с аналогичной папкой для пожарников. Перечень документов:
   1. Приказ о назначении ответственного за организацию обработки персональных данных [Образец приказа 152-ФЗ];
   2. ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ [Образец Должностная инструкция 152-ФЗ];
   3. ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ [Образец политики обработки ПД];
   4. ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ [Образец правил обработки ПД].
2. Указать на сайте реквизиты Вашей организации (ИНН, ОГРН, Адрес);
3. Разместить активную гиперссылку на политику организации в отношении обработки персональных данных;
4. Под формой отправки заказа / формы обратной связи разместить:
   1. Согласие на использование ПД для выполнения запроса;
   2. Согласие на обработку / хранение ПД и уведомление о понимании процедуры отзыва своих ПД;
   3. Сервер вне РФ? Согласие на трансграничную передачу ПД.

Ни к чему совершенно регистрироваться в качестве оператора данных на сайте Роскомнадзора. Проверить свой случай можно по тексту закона, там подробно указано, кому надо. Остальным - НЕ НАДО.

Если всё это есть - бояться нечего и вопросов к Вам не будет. Если же про 152-ФЗ Вы озаботились по факту письма из прокуратуры, то надо:

1. Бросить все дела, и разместить на сайте необходимые данные;
2. Связаться с представителем прокуратуры и уведомить, что по факту нарушений нет (быстрее = лучше, тянуть смысла нет);
3. Подготовить внутренние документы и заверить их печатью / подписью;
4. Учитывая наличия скриншотов (умеют, практикуют) - заранее задуматься об объяснении, почему представитель Роскомнадзора не нашел согласия и политику на сайте (что ссылки доступны из личного кабинета / открывается из корзины и.т.д). Но при этом политику разместить на всех страницах и на всех формах поставить подтверждение согласие и сообщить, что как раз улучшили представление данных на сайте;
5. [Лайфхак] Посмотрите, как указан в запросе адрес сайта. HTTP://сайт.ру ? Возможно, у Вас хороший повод совершить переезд на защищенное соединение HTTPS и получить плюсик к карме у гугл?

Когда погружался в тему, пригодились статьи:

1. https://habrahabr.ru/company/zarlaw/blog/298882/
2. Консультант, текст закона 152-фз
3. И специальные благодарности - Отдел образования администрации Петродворцового района Санкт-Петербурга, у них лучший комплект документов по 152-ФЗ - подойдет даже очень крупной организации.