Сегодня о серьёзном. Почему мы не делаем только одно уведомление в Роскомнадзор (которое по перс.данным), а готовим базовый комплект необходимых документов?
Сегодня в очередной раз случился такой диалог:
К (клиент, пока что потенциальный) - Сделайте нам, плиз, уведомление для Роскомнадзора.
Я (так и есть, я) - Это то, которое о начале обработки персональных данных, и вы заявляетесь в качестве оператора, верно?
К - Да, оно самое.
Я - Хорошо. Нам понадобятся ваши положения, приказы и политики для подготовки такого уведомления. Когда сможете их дать?
К - Ну, политика на сайте, посмотрите вот здесь: http..., мы взяли шаблон там, эээ, образец, у нас как у всех. Остального нет.
Я -Ок. Нам в любом случае будут нужны данные для заполнения формы уведомления: категории обрабатываемых персданных, цели, для которых вы их собираете, организационные и технические меры, которые применяете для обеспечения безопасности ПД и кое-что ещё. Давайте я пришлю вам анкетку, сможете заполнить?
К - Чёт вы как-то мудро там всё придумали, я вон нашёл такое уведомление за 5 тыс. (и кидает мне ссылку на сайт коллеги с предложением услуги по подаче уведомления в РКН за 5 тыс. руб.)
Я - Эмм... Так закажите же там, видите как всё просто))
К - Не, я её не знаю, а вас знаю, давно читаю, и N вас очень рекомендовал, а в его рекомендациях я уверен. Сделайте мне вы.
Я - Понимаете, без внутренних документов (политики, приказы, положения) мне неоткуда будет взять информацию для уведомления. Поэтому обычно мы вначале таки делаем эти документы, и итоговая подача уведомления - это как бы "вишенка на торте", я не могу её сделать без бэкграунда в виде ЛНА.
К - Ну все же как-то делают!
Я - Ну значит, я не все)) Потому, наверное, вам нас и порекомендовали, что мы работаем на золотую, а не фикциями занимаемся.
К - Ладно, я подумаю.
Господа, давайте делать ставки: до чего доведут думы господина К? (Пишите мнения в комментариях!)
А я напоминаю, что ещё в 2022 году форма уведомления об обработке (о намерении осуществить обработку) персональных данных претерпела серьёзные изменения:
- с одной стороны, появилось больше автоматизации (например, можно выбрать из больше 20 целей обработки персданных те, что подходят именно вам, появилось больше видов персданных, они кастомизированы по субъектам и т.д.),
- с другой стороны - разделов стало больше, и информации, которую требуется вносить при заполнении формы уведомления, нужно теперь раза в 2,5 больше, чем раньше.
Есть и свои премудрости: знаний статей одного только 152-ФЗ уже давно недостаточно для заполнения формы. Хотя, к примеру, в ней и указано: описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных», - на самом деле эти статьи ссылаются на подзаконные нормативные правовые акты, поэтому нужно изучить хотя бы тот же приказ ФСТЭК, который более предметно раскрывает эти меры...
Итого, предложение от меня и моей команды: мы делаем минимально необходимый комплект документов для ИП или юрлица (серьёзно, вообще без излишней информации, только базовый набор, - ведь предела совершенству нет: в идеале, у каждого оператора должна быть разработана Модель угроз безопасности персданных, а её делают кибербезопасники по цене от 150 тыс. руб., и вестись делопроизводство по каждому "чиху", который происходит с персданными...), и мы понимаем, что глубоко погружаться бизнесу в обработку ПД некогда (надо ж делать деньги, в конце концов!), и уведомление входит в этот комплект. При этом и мы, и вы уверены, что этот документ (уведомление) подготовлен не на пустом месте, и в нём не "от балды" написаны серьёзные вещи, за которые к вам могут прийти и с вас спросить. Делать уведомления "от балды" - недальновидно!
Также мы даём гарантию: 4 месяца (это, на минуточку, треть года!) - на тот случай, если потребуются какие-то изменения в подготовленные нами документы: в связи с профвизитом от Роскомнадзора, внезапной проверкой по жалобе пользователя или ещё по какой-то причине.
Паниковать по персданным не нужно! А вот поставить в план задачу разобраться с этими вопросами горячо рекомендую. Чтобы всё было не "как у всех", а "как надо".
