Как привести сайт в соответствие требованиям Закона «О персональных данных»?
В последние несколько лет вопрос о персональных данных стал очень актуален.
Что относится к персональным данным? Персональные данные— это любая информация, прямо или косвенно относящаяся кфизическому лицу (субъекту персональных данных), ипозволяющая его определить: ФИО; место, дата рождения, место постоянной или временной регистрации; фотография или видеозапись человека, которые могут его идентифицировать; сведения одетях, родственниках, семейном положении; сведения озаработной плате; оценка навыков, личностных качеств; индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья); информация осудимостях или ихотсутствии; номер телефона, адрес электронной почты, иные идентификаторы всоциальных сетях или мессенджерах; паспортные данные, СНИЛС, ИНН; биометрические данные.
Некоторые изэтих данных, сами посебе, без связки сдругими данными, персональными являться не будут. Например, номер телефона сам посебе неявляется персональными данными, но вместе с указанием ФИО владельца— является. Адрес электронной почты вформате ivanov_ivan_1977@mail.ru тоже относится кперсональным данным, как иФИО спривязкой кИНН, номеру телефона или месту регистрации.
Классификация персональных данных: Персональные данные подразделяют на: Общедоступные— те, надоступ ккоторым дано согласие субъекта персональных данных, анете, которые можно найти вобщем доступе винтернете. Специальные— информация орасе, национальности ирелигии; политических ифилософских взглядах, здоровье, подробностях личной жизни, судимостях. Биометрические— информация офизиологических ибиологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии. Иные — к ним относится все остальные данные: электронная почта или геолокация, информация опринадлежности копределенной социальной группе, стаж работы ипр. Определяемся с понятиями
Оператор персональных данных— лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Обработка персональных данных— любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием или без автоматизированных средств: Сбор; Запись; Систематизация; Накопление; Хранение; Уточнение (обновление, изменение); Использование; Передача (распространение, предоставление, доступ); Обезличивание; Блокирование; Удаление; Уничтожение.
В свою очередь, обработка может осуществляться тремя путями: Автоматизированная — с помощью средств вычислительной техники. Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты и т.д. Смешанная — обработка человеком при участии средств вычислительной техники. Например, когда бухгалтер вбивает в программу данные из бумажного носителя. Неавтоматизированная — без использования средств вычислительной техники. После того, как персональные данные обработаны, они отправляются на хранение в архив. Это может быть отдельное специализированное помещение, если речь о бумажных документах, или электронное хранилище (например, облачное). В любом случае нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (по закону). Чтобы поиск не превратился в квест, необходимо правильно организовать архив — как обычный, так и электронный. С чего начать? Если вы еще не занимаетесь сбором и (или) обработкой персональных данных: Подготовьте политику обработки персональных данных для сайта и форму согласия на обработку персональных данных. При подготовке обратите внимание на соответствие их содержания требованиям Федерального закона «О персональных данных» от 27.07.2006 №152-ФЗ. Проверьте свой сайт на наличие ошибок. Подготовьте положение об организации обработки персональных данных. Локальный акт, который поможет соблюдать основные обязанности: сроки реагирования, порядок доступа, алгоритм действий при компрометации персональных данных и др.
Чтобы собирать, хранить и обрабатывать персональные данные, нужно соблюдать требования Закона №152-ФЗ. Краткий чек-лист: Зарегистрироваться в Роскомнадзоре, как оператор персональных данных (обязательно не для всех, ниже вы узнаете об исключениях). Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать с них лишние данные. Отвечать на обращения субъектов и предоставлять им всю информацию. Собирать и хранить информацию только для достижения определенных целей, и на определенный срок. Хранить и защищать персональные данные по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным. Уточнять, блокировать или уничтожать персональные данные по заявлению субъектов или когда достигли целей их сбора.
Всем ли нужна регистрация в Роскомонадзор? Кому не нужно регистрироваться как оператору персональных данных: сбор персональных данных осуществляется для установления трудовых отношений; персональные данные собираются для заключения договора без последующей передачи ираспространения третьим лицам и для исполнения договора; обработка персональных данных изоткрытого доступа; сбор ФИО граждан без телефона и e-mail; сбор персональных данных для однократного пропуска гражданина натерриторию оператора, собирающего данные, или ваналогичных случаях; сбор, обработка ихранение персональных данных осуществляется набумажных носителях без использования средств автоматизации. Хранить свой бумажный архив, включая кадровые документы иперсональные данные можновне офиса. Так можно избежать ихутраты инесанкционированного доступа кинформации.
Вовсех остальных случаях— регистрация в Роскомнадзор обязательна. Что стоит проверить, если вы уже занимаетесь сбором и/или обработкой персональных данных? Доведение политики обработки персональных данных на вашем сайте до пользователей: Опубликована ли на вашем сайте политика обработки ПД? Доступен ли документ в «подвале» вашего сайта? Соответствует ли опубликованная политика установленным законом требованиям к содержанию (п. 2 ч. 1 ст. 18.1 Закона «О персональных данных»)?
Согласие на обработку персональных данных для пользователей: Указаны ли в форме согласия конкретные категории обрабатываемых данных? Установлен ли срок обработки (либо порядок его определения)? Указан ли перечень лиц, которым оператор ПД передаёт данные?
Порядок трансграничной передачи и (или) локализации персональных данных: Фигурирует ли на сайте информация об использовании иностранных сервисов: Google Analytics, Microsoft Azure, Amazon Web Services и др.? Если вы хотите продолжить использовать такие сервисы, уведомили ли вы Роскомнадзор о трансграничной передаче персональных данных? Если вы храните данные на серверах, физически расположенных за пределами РФ, соблюдаются ли требования о локализации персональных данных граждан РФ? Если данные все же «утекли» Необходимо уведомить Роскомнадзор о компрометации персональных данных: в течение 24 часов с момента утечки: об инциденте, о предполагаемых причинах и вреде, о мерах по устранению инцидента, контактное лицо для связи; в течение 72 часов о результатах внутреннего расследования. Также необходимо подготовить ответ на запросы субъектов персональных данных и Роскомнадзора — 10 рабочих дней на ответ + 5 рабочих дней при направлении мотивированного письма.
Мой бизнес
В последние несколько лет вопрос о персональных данных стал очень актуален.
Что относится к персональным данным? Персональные данные— это любая информация, прямо или косвенно относящаяся кфизическому лицу (субъекту персональных данных), ипозволяющая его определить: ФИО; место, дата рождения, место постоянной или временной регистрации; фотография или видеозапись человека, которые могут его идентифицировать; сведения одетях, родственниках, семейном положении; сведения озаработной плате; оценка навыков, личностных качеств; индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья); информация осудимостях или ихотсутствии; номер телефона, адрес электронной почты, иные идентификаторы всоциальных сетях или мессенджерах; паспортные данные, СНИЛС, ИНН; биометрические данные.
Некоторые изэтих данных, сами посебе, без связки сдругими данными, персональными являться не будут. Например, номер телефона сам посебе неявляется персональными данными, но вместе с указанием ФИО владельца— является. Адрес электронной почты вформате ivanov_ivan_1977@mail.ru тоже относится кперсональным данным, как иФИО спривязкой кИНН, номеру телефона или месту регистрации.
Классификация персональных данных: Персональные данные подразделяют на: Общедоступные— те, надоступ ккоторым дано согласие субъекта персональных данных, анете, которые можно найти вобщем доступе винтернете. Специальные— информация орасе, национальности ирелигии; политических ифилософских взглядах, здоровье, подробностях личной жизни, судимостях. Биометрические— информация офизиологических ибиологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии. Иные — к ним относится все остальные данные: электронная почта или геолокация, информация опринадлежности копределенной социальной группе, стаж работы ипр. Определяемся с понятиями
Оператор персональных данных— лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Обработка персональных данных— любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием или без автоматизированных средств: Сбор; Запись; Систематизация; Накопление; Хранение; Уточнение (обновление, изменение); Использование; Передача (распространение, предоставление, доступ); Обезличивание; Блокирование; Удаление; Уничтожение.
В свою очередь, обработка может осуществляться тремя путями: Автоматизированная — с помощью средств вычислительной техники. Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты и т.д. Смешанная — обработка человеком при участии средств вычислительной техники. Например, когда бухгалтер вбивает в программу данные из бумажного носителя. Неавтоматизированная — без использования средств вычислительной техники. После того, как персональные данные обработаны, они отправляются на хранение в архив. Это может быть отдельное специализированное помещение, если речь о бумажных документах, или электронное хранилище (например, облачное). В любом случае нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (по закону). Чтобы поиск не превратился в квест, необходимо правильно организовать архив — как обычный, так и электронный. С чего начать? Если вы еще не занимаетесь сбором и (или) обработкой персональных данных: Подготовьте политику обработки персональных данных для сайта и форму согласия на обработку персональных данных. При подготовке обратите внимание на соответствие их содержания требованиям Федерального закона «О персональных данных» от 27.07.2006 №152-ФЗ. Проверьте свой сайт на наличие ошибок. Подготовьте положение об организации обработки персональных данных. Локальный акт, который поможет соблюдать основные обязанности: сроки реагирования, порядок доступа, алгоритм действий при компрометации персональных данных и др.
Чтобы собирать, хранить и обрабатывать персональные данные, нужно соблюдать требования Закона №152-ФЗ. Краткий чек-лист: Зарегистрироваться в Роскомнадзоре, как оператор персональных данных (обязательно не для всех, ниже вы узнаете об исключениях). Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать с них лишние данные. Отвечать на обращения субъектов и предоставлять им всю информацию. Собирать и хранить информацию только для достижения определенных целей, и на определенный срок. Хранить и защищать персональные данные по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным. Уточнять, блокировать или уничтожать персональные данные по заявлению субъектов или когда достигли целей их сбора.
Всем ли нужна регистрация в Роскомонадзор? Кому не нужно регистрироваться как оператору персональных данных: сбор персональных данных осуществляется для установления трудовых отношений; персональные данные собираются для заключения договора без последующей передачи ираспространения третьим лицам и для исполнения договора; обработка персональных данных изоткрытого доступа; сбор ФИО граждан без телефона и e-mail; сбор персональных данных для однократного пропуска гражданина натерриторию оператора, собирающего данные, или ваналогичных случаях; сбор, обработка ихранение персональных данных осуществляется набумажных носителях без использования средств автоматизации. Хранить свой бумажный архив, включая кадровые документы иперсональные данные можновне офиса. Так можно избежать ихутраты инесанкционированного доступа кинформации.
Вовсех остальных случаях— регистрация в Роскомнадзор обязательна. Что стоит проверить, если вы уже занимаетесь сбором и/или обработкой персональных данных? Доведение политики обработки персональных данных на вашем сайте до пользователей: Опубликована ли на вашем сайте политика обработки ПД? Доступен ли документ в «подвале» вашего сайта? Соответствует ли опубликованная политика установленным законом требованиям к содержанию (п. 2 ч. 1 ст. 18.1 Закона «О персональных данных»)?
Согласие на обработку персональных данных для пользователей: Указаны ли в форме согласия конкретные категории обрабатываемых данных? Установлен ли срок обработки (либо порядок его определения)? Указан ли перечень лиц, которым оператор ПД передаёт данные?
Порядок трансграничной передачи и (или) локализации персональных данных: Фигурирует ли на сайте информация об использовании иностранных сервисов: Google Analytics, Microsoft Azure, Amazon Web Services и др.? Если вы хотите продолжить использовать такие сервисы, уведомили ли вы Роскомнадзор о трансграничной передаче персональных данных? Если вы храните данные на серверах, физически расположенных за пределами РФ, соблюдаются ли требования о локализации персональных данных граждан РФ? Если данные все же «утекли» Необходимо уведомить Роскомнадзор о компрометации персональных данных: в течение 24 часов с момента утечки: об инциденте, о предполагаемых причинах и вреде, о мерах по устранению инцидента, контактное лицо для связи; в течение 72 часов о результатах внутреннего расследования. Также необходимо подготовить ответ на запросы субъектов персональных данных и Роскомнадзора — 10 рабочих дней на ответ + 5 рабочих дней при направлении мотивированного письма.
Мой бизнес
