Многие компании в процессе работы вынуждены обрабатывать персональные данные. Требуется собирать сведения о клиентах, партнерах, сотрудниках. В России обработка ПД производится по требованиям, прописанным в Федеральном законе 152-ФЗ.
Федеральное законодательство обязательно к исполнению для организаций и граждан, ведущих деятельность с применением ПД. Требования закона распространяются на всех, кто собирает и обрабатывает информацию о физических лицах. При этом личной считается информация, которой достаточно для идентификации человека.
Соответствие 152-ФЗ необходимо при деятельности в интернете, если веб-ресурс:
- имеет форму обратной связи или звонка, предлагает заполнить заявку, оставив свои контактные данные;
- предлагает подписку на рассылку, требует авторизации или регистрации, дает возможность комментировать сообщения;
- имеет продающие элементы – товарная корзина, выбор способа оплаты и доставки.
Если один из вышеперечисленных критериев существует, сайт признается оператором персональных данных.
Контролирующая функция возложена на Роскомнадзор РФ. Он проводит проверки следующих типов:
- Плановые, с уведомлением о проверке за три дня.
- Внеплановые, с уведомлением за сутки. Обычная практика в случае поступления жалоб на оператора ПД.
- Документарные. Для проверки запрашиваются в организации документы, которые передаются в контролирующий орган.
- Выездные. Сотрудники Роскомнадзора приезжают к оператору и производят выемку документов.
Нарушение правил обработки ПД в соответствии с Федеральным законом 152-ФЗ влечет наложение штрафных санкций до 75 тыс. рублей.
Приведение обработки документов в соответствие с законом следует начинать с изучения сути закона, защищающего свободы и права человека и не допускающего передачу ПД третьим лицам без получения согласия от человека.
Параметры оценки работы оператора ПД
Работа оператора регламентирована инструкциями, приказами, правилами и уведомлениями. При оценке отмечают:
- цели сбора ПД;
- соответствие собираемой информации поставленным целям;
- учет сроков хранения;
- способны реализации политики по обработке ПД;
- наличие согласия на обработку ПД.
Чтобы достичь соответствия требованиям закона, требуется оценить ресурсы и возможности компании, уровень технического обеспечения и подготовленности кадров. Допускается делегировать проверку на соответствие законодательству IT-компаниям. Они проводят аудит на выполнение требований 152-ФЗ к области защиты данных, разрабатывают модели угроз и комплекс мер по безопасности.
Оптимально для работы на основе требования ФЗ-152 об обработке персональных данных взять в аренду уже готовую инфраструктуру, оснащенную всеми необходимыми средствами защиты персональной информации. Это означает, что не стоит тревожиться о хостинге, аренде сервера. В ряде случаев все ПД хранятся в защищенном облаке, и по первому требованию проверяющих комплект документов готовится в считанные минуты.
Подробнее: https://integrus.ru/blog/it-decisions/sootvetstvie-152-fz.html
