В июле вступили в силу поправки к закону о персональных данных и штрафы значительно выросли. Расскажу, что делать, когда уже пришло письмо из прокуратуры о проверке соблюдения требований закона о персональных данных (закон № 152-ФЗ).
Предположим, у вас - сайт (Интернет-магазин и не только) с формой обратной связи или корзиной и оформлением заказа онлайн. В общем, любая форма с контактами - это зона риска в разрезе закона № 152-ФЗ.
Важно понимать, что по закону (рекомендую его прочитать) есть четкий перечень того, что является персональными данными (ПД) и многие ошибочно думают, что указание Ф.И.О. без данных паспорта не попадает под действие закона. Важный момент - косвенные ПД. Исходя из их определения - любое сочетание данных о клиенте попадает под действие закона.
Инструкция, чтобы соблюдались требования по защите персональных данных
На примере Интернет-магазина, что нужно сделать, чтобы закон № 152-ФЗ выполнялся:
1. Приготовить печатные версии документа с печатями и подписями и хранить папочку рядом с аналогичной папкой для пожарников. Перечень документов:
- Приказ о назначении ответственного за организацию обработки персональных данных [Образец приказа 152-ФЗ];
- ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ [Образец Должностная инструкция 152-ФЗ];
- ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ [Образец политики обработки ПД];
- ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ [Образец правил обработки ПД].
2. Указать на сайте реквизиты вашей организации (ИНН, ОГРН, адрес);
3. Разместить активную гиперссылку на политику организации в отношении обработки персональных данных;
4. Под формой отправки заказа / формы обратной связи разместить:
1) Согласие на использование ПД для выполнения запроса;
2) Согласие на обработку / хранение ПД и уведомление о понимании процедуры отзыва своих ПД;
3) Сервер вне РФ? Согласие на трансграничную передачу ПД.
Ни к чему совершенно регистрироваться в качестве оператора данных на сайте Роскомнадзора. Проверить свой случай можно по тексту закона, там подробно указано, кому надо. Остальным – не надо.
Если пришло письмо из прокуратуры
Если всё это есть - бояться нечего. Но если письмо из прокуратуры все же пришло, то надо:
1. Бросить все дела, и разместить на сайте необходимые данные;
2. Связаться с представителем прокуратуры и уведомить, что по факту нарушений нет (быстрее = лучше, тянуть смысла нет);
3. Подготовить внутренние документы и заверить их печатью / подписью;
4. Учитывая наличия скриншотов (умеют, практикуют) - заранее задуматься об объяснении, почему представитель Роскомнадзора не нашел согласия и политику на сайте (что ссылки доступны из личного кабинета / открывается из корзины и.т.д).
Но при этом политику разместить на всех страницах и на всех формах поставить подтверждение согласие и сообщить, что как раз улучшили представление данных на сайте;
5. [Лайфхак] Посмотрите, как указан в запросе адрес сайта. HTTP://сайт.ру?
Возможно, у вас хороший повод совершить переезд на защищенное соединение HTTPS и получить плюсик к карме у Гугл?
Комментарии
1дальше читать не стал.