Главное Авторские колонки Вакансии Образование
arrow-right Created with Sketch. Алексей 14446 22 848 23 В избр. Сохранено
Авторизуйтесь
Вход с паролем

152-ФЗ: Что делать, когда пришло письмо из прокуратуры о нарушении закона о персональных данных

В июле вступают новые поправки к закону о персональных данных и штрафы значительно вырастут. Расскажу о том, что делать, когда уже пришло письмо из прокуратуры о проверке соблюдения требований закона о персональных данных (ФЗ 152), и Ваши действия, чтобы вопросов к Вам не было. Бонус: образцы документов
Мнение автора может не совпадать с мнением редакции

На текущий момент штраф 5000, а к лету вырастет до 30 000. Но даже 5 можно потратить лучше, чем оплатить штраф за невыполнение закона.

У Вас - Сайт (Интернет-магазин и не только) с формой обратной связи или корзиной и оформлением заказа онлайн. В общем, любая форма с контактами - это зона риска в разрезе 152ФЗ.

Важно понимать, что по закону (рекомендую его прочитать) есть четкий перечень того, что является персональными данными (ПД) и многие ошибочно думают, что указание Ф.И.О. без данных паспорта не попадает под действие закона. Важный момент - косвенные ПД. Исходя из их определения - любое сочетание данных о клиенте попадает под действие закона.

ВАЖНО! Заполнение ФИО и телефона в форме на сайте требует соблюдения 152-ФЗ.

На примере Интернет-магазина, что нужно сделать, чтобы 152-ФЗ выполнялся:

  1. Приготовить печатные версии документа с печатями и подписями и хранить папочку рядом с аналогичной папкой для пожарников. Перечень документов:
    1. Приказ о назначении ответственного за организацию обработки персональных данных [Образец приказа 152-ФЗ];
    2. ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ [Образец Должностная инструкция 152-ФЗ];
    3. ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ [Образец политики обработки ПД];
    4. ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ [Образец правил обработки ПД].
  2. Указать на сайте реквизиты Вашей организации (ИНН, ОГРН, Адрес);
  3. Разместить активную гиперссылку на политику организации в отношении обработки персональных данных;
  4. Под формой отправки заказа / формы обратной связи разместить:
    1. Согласие на использование ПД для выполнения запроса;
    2. Согласие на обработку / хранение ПД и уведомление о понимании процедуры отзыва своих ПД;
    3. Сервер вне РФ? Согласие на трансграничную передачу ПД.

Ни к чему совершенно регистрироваться в качестве оператора данных на сайте Роскомнадзора. Проверить свой случай можно по тексту закона, там подробно указано, кому надо. Остальным - НЕ НАДО.

Если всё это есть - бояться нечего и вопросов к Вам не будет. Если же про 152-ФЗ Вы озаботились по факту письма из прокуратуры, то надо:

  1. Бросить все дела, и разместить на сайте необходимые данные;
  2. Связаться с представителем прокуратуры и уведомить, что по факту нарушений нет (быстрее = лучше, тянуть смысла нет);
  3. Подготовить внутренние документы и заверить их печатью / подписью;
  4. Учитывая наличия скриншотов (умеют, практикуют) - заранее задуматься об объяснении, почему представитель Роскомнадзора не нашел согласия и политику на сайте (что ссылки доступны из личного кабинета / открывается из корзины и.т.д). Но при этом политику разместить на всех страницах и на всех формах поставить подтверждение согласие и сообщить, что как раз улучшили представление данных на сайте;
  5. [Лайфхак] Посмотрите, как указан в запросе адрес сайта. HTTP://сайт.ру ? Возможно, у Вас хороший повод совершить переезд на защищенное соединение HTTPS и получить плюсик к карме у гугл?

Когда погружался в тему, пригодились статьи:

  1. https://habrahabr.ru/company/zarlaw/blog/298882/
  2. Консультант, текст закона 152-фз
  3. И специальные благодарности - Отдел образования администрации Петродворцового района Санкт-Петербурга, у них лучший комплект документов по 152-ФЗ - подойдет даже очень крупной организации.
0
В избр. Сохранено
Авторизуйтесь
Вход с паролем