⚠️Новое в сфере защиты персональных данных.
30 мая 2025 года вступают в силу поправки к ФЗ «О персональных данных». Также приняты ряд нормативно-правовых актов, дополняющих регулирование.
С чего начать❓
Подать уведомление в Роскомнадзор о том, что Вы или Ваша компания является оператором по обработке персональных данных.
Подавалось или нет такого рода уведомление можно проверить тут.
Само уведомление можно подать тремя способами:
✅в бумажном виде
✅в электронном виде при наличии эцп
✅в электронном виде при помощи гос. услуг
Форма подачи здесь.
Какие документы должны быть у Вас.
📌Правила и политика обработки ПД, включая сроки хранения и порядок уничтожения данных.
📌Политика конфиденциальности для посетителей сайта.
📌Согласие на обработку персональных данных (ПД), в том числе для несовершеннолетних
📌Согласие на распространение и передачу ПД третьим лицам.
📌Приказы:
✅о создании комиссии по уничтожению персональных данных
✅об утверждении перечня должностей работников, доступ которых к персональным данным, обрабатываемым в ИСПДн, необходим для выполнения трудовых обязанностей
✅об утверждении политики оператора в отношении обработки персональных данных
✅об утверждении списка помещений, предназначенных для обработки персональных данных
✅о назначении ответственного за организацию обработки персональных данных
Соответственно для назначенных сотрудников должна быть:
📌инструкция администратора информационной безопасности
📌инструкция ответственного за организацию обработки персональных данных
📌инструкция по работе с машинными носителями, содержащими персональные данные
📌Акты:
✅о выявлении нарушений в сфере защиты персональных данных
✅об уничтожении машинных носителей персональных данных
✅определения необходимого уровня защищенности информационной системы персональных данных
✅оценки вреда, который может быть причинен субъекту персональных данных
📌Журналы:
✅сдачи и приема под охрану помещений
✅учета лиц, допущенных к работе с персональными данными в информационных системах
✅учета машинных носителей персональных данных
✅учета мероприятий по контролю выполнения требований по обеспечению безопасности ПДн при их обработке в ИСПДн
✅учета нештатных ситуаций, фактов вскрытия и опечатывания АРМ выполнения профилактических работ
✅учета обращений субъектов Пдн
✅учета процедур резервного копирования
✅учета средств защиты информации
✅учета прохождения первичного инструктажа работниками, допущенными к работе с персональными данными
📌Обязательство о неразглашении персональных данных работников
📌Отзыв согласия на обработку персональных данных
📌Отказ от согласия на обработку персональных данных
📌Правила рассмотрения обращений субъектов персональных данных
При прекращении обработки перс данных или изменениях необходимо подавать в Роскомнадзор:
📌Уведомление о прекращении обработки персональных данных
📌Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных
Что должно быть на сайте:⁉️
✏️Актуальная Политика по обработке и Политика конфиденциальности.
✏️Необходимо оповещать пользователей об обработке ПДн и давать возможность подтвердить свое согласие.
✏️Уведомлять пользователей об использовании cookie-файлов при первом посещении сайта. Оптимально: разместите баннер-предупреждение, с кнопкой «Согласен» или с текстом: «Используя настоящий сайт, вы предоставляете согласие на обработку ваших персональных данных с помощью сервисов веб-аналитики».
✏️Данные пользователей сайта должны храниться и обрабатываться на территории России. Если данные хранятся за пределами России, это является трансграничной передачей данных. Например, например, использование Google является трансграничной передачей данных.
✏️Необходимо оперативно реагировать на запросы пользователей, касающиеся обработки их ПДн.
