Изменения в законе о персональных данных


Рекомендации для компании по соблюдению Федерального закона № 152-ФЗ «О персональных данных»

Чтобы сайт компании соответствовал требованиям закона, необходимо выполнить следующие шаги:

 

1. Получение согласия на обработку персональных данных

 

Явное согласие: Разместите на сайте форму согласия (чек-бокс) для сбора данных.

Согласие должно быть:

Конкретным (указаны цели обработки: например, регистрация, рассылка).

Информированным (пользователь понимает, какие данные собираются и зачем).

Возможность отзыва (ссылка на отзыв согласия в каждом письме или в личном кабинете).

Для специальных категорий данных (здоровье, биометрия и т.д.) и биометрических данных — требуется письменное согласие (например, подписанный документ).

 

2. Публикация политики конфиденциальности

 

Разработайте и разместите на сайте Политику обработки персональных данных, которая включает:

Цели обработки данных.

Перечень собираемых данных (например, ФИО, email, телефон).

Способы обработки и хранения.

Сроки хранения данных.

Права пользователей (доступ, исправление, удаление данных).

Контакты оператора (компании) и ответственного за обработку данных.

Политика должна быть доступна на русском языке и размещена в открытом доступе (например, в футере сайта).

 

3. Обеспечение безопасности данных

 

Технические меры:

Используйте HTTPS для защиты передачи данных.

Регулярно обновляйте ПО и проводите аудит безопасности.

Шифруйте (пароли, платежные реквизиты).

Ограничьте доступ к данным только необходимым сотрудникам.

Организационные меры:

Назначьте ответственного за обработку персональных данных (ст. 22.1).

Разработайте внутренние регламенты по работе с данными.

Обучите сотрудников правилам обработки ПДн.

 

4. Уведомление Роскомнадзора

 

Если компания обрабатывает данные с использованием автоматизации (например, через сайт), подайте уведомление в Роскомнадзор (ст. 22).

Исключения: данные обрабатываются для личных нужд, в рамках трудовых договоров или госуслуг.

 

5. Обработка запросов пользователей

 

Предоставьте пользователям возможность:

Запрашивать доступ к своим данным (ст. 14).

Требовать исправления неточных данных.

Отзывать согласие и удалять данные (ст. 21).

Установите срок ответа на запросы — 10 рабочих дней (может быть продлен до 15 дней).

6. Работа с cookies и аналитикой

Для использования cookies (кроме технически необходимых) запрашивайте согласие через pop-up-баннер.

Укажите в политике конфиденциальности, какие cookies используются и зачем.

 

7. Трансграничная передача данных

 

Если данные передаются за рубеж (например, в облачное хранилище):

Убедитесь, что страна входит в перечень Роскомнадзора с адекватной защитой (ст. 12).

Или получите согласие пользователя на передачу.

 

8. Уничтожение данных

 

Удаляйте данные, когда они больше не нужны для заявленных целей.

Используйте безопасные методы удаления (например, полное стирание, а не простое удаление из базы).

 

9. Документирование процессов

 

Ведите журнал обработки данных с указанием:

Целей обработки.

Категорий данных.

Сроков хранения.

Мер безопасности.

Сохраняйте доказательства получения согласий (логи, скриншоты форм).

 

10. Регулярный аудит

 

Проводите проверки на соответствие закону:

Соответствует ли сбор данных заявленным целям?

Актуальна ли политика конфиденциальности?

Надежны ли меры безопасности?

Исправляйте нарушения в срок до 30 дней.

 

11. Штрафы за нарушения

 

Для юрлиц: до 6 млн рублей (ст. 13.11 КоАП РФ).

Риск блокировки сайта при утечке данных.

 

Соблюдение закона требует комплексного подхода — от технической защиты до прозрачного информирования пользователей. Регулярно обновляйте процессы в соответствии с изменениями законодательства (например, учтите поправки 2022–2024 гг. о трансграничной передаче и инцидентах).

наверх
Идет проверка....
0%