Часть 1: Введение и Первоначальные шаги
Введение: Зачем это нужно и для кого эта инструкция?
Эта инструкция предназначена для индивидуальных предпринимателей (ИП) и небольших компаний в сфере творческого бизнеса (например, видеопроизводство, фотосъемка, организация мероприятий, трансляций), которые собирают и используют персональные данные (ПДн) клиентов, подрядчиков, соискателей, участников съемок или посетителей своих веб-сайтов.
Федеральный закон № 152-ФЗ «О персональных данных» требует от всех, кто обрабатывает ПДн (такие лица называются «операторами»), соблюдения ряда правил и выполнения определенных обязанностей. Несоблюдение этих требований может повлечь за собой серьезные штрафы.
Эта инструкция поможет вам:
- Понять, являетесь ли вы оператором ПДн.
- Определить, какие шаги необходимо предпринять для соответствия закону.
- Подготовить необходимые документы.
- Правильно уведомить Роскомнадзор (РКН) о своей деятельности по обработке ПДн.
Важно: Данная инструкция основана на конкретном опыте и предоставленных шаблонах. Всегда сверяйтесь с актуальной версией законодательства и при необходимости обращайтесь за консультацией к юристам, специализирующимся на защите персональных данных, для адаптации под вашу уникальную ситуацию.
ШАГ 1: Предварительный анализ и оценка текущей ситуации
Важность: Высокая.
Обязательность: Да, для понимания объема работ
Прежде чем приступать к оформлению документов, важно понять, с какими данными вы работаете и для каких целей.
- Определите, являетесь ли вы оператором ПДн.
Комментарий: Если вы собираете, храните или любым образом используете данные, по которым можно идентифицировать конкретного человека (ФИО, телефон, email, фото, видео с человеком, паспортные данные, адрес и т.д.), то вы – оператор ПДн. Для бизнеса в сфере видеопроизводства и трансляций это практически всегда так.
- Определите категории субъектов ПДн, чьи данные вы обрабатываете.
Примеры для видеопроизводства/трансляций:Клиенты/Заказчики: Физические лица или представители юридических лиц, заказывающие ваши услуги.
Подрядчики/Исполнители: Фрилансеры, другие ИП или компании, которых вы привлекаете (операторы, монтажеры, дизайнеры, ведущие и т.д.).
Соискатели: Люди, которые откликаются на ваши вакансии или предложения о сотрудничестве.
Участники мероприятий, съемок, трансляций: Люди, которых вы снимаете (гости на свадьбе, участники конференции, актеры в ролике и т.д.).
Посетители вашего сайта: Если у вас есть сайт с формами обратной связи, подпиской на рассылку или вы используете аналитику (например, cookie).
Комментарий: Четкое понимание категорий субъектов поможет правильно определить цели обработки и необходимые документы. В вашей Политике (источник [1.3 в тексте Политики пользователя], раздел 4.1) эти категории уже определены. - Определите цели обработки ПДн для каждой категории субъектов.
Примеры (согласно вашей Политике, раздел 2.2):Клиенты: Заключение и исполнение договоров на видеопроизводство/трансляции, расчеты, взаимодействие и информирование по услугам, маркетинг (с отдельного согласия).
Подрядчики: Заключение и исполнение договоров ГПХ, расчеты.
Соискатели: Рассмотрение кандидатур для сотрудничества.
Участники съемок: Создание видеоконтента/проведение трансляций в соответствии с договором с клиентом или целями оператора (на основании согласия или иных законных оснований).
Посетители сайта: Обработка запросов через формы связи, аналитика работы сайта (с согласия на cookie).
Комментарий: Цели должны быть конкретными, законными и заранее определенными. - Определите перечень ПДн, которые вы обрабатываете для каждой категории субъектов и каждой цели.Принцип минимизации: Собирайте только те данные, которые действительно необходимы для заявленных целей.
Пример для Клиентов (согласно вашей Политике, раздел 4.2.1, и Согласию ): "Фамилия, имя, отчество, дата и место рождения, социальное, адреса регистрации, места жительства, электронной почты, номер телефона, ИНН, гражданство, СНИЛС, данные документа удостоверяющего личность, данные водительского удостоверения, фото, видео изображения (в том числе в рамках создаваемого видеоконтента или проводимых трансляций), сведения о заказываемых/полученных услугах, а также иные персональные данные, необходимые для заключения и исполнения договора и предоставленные Клиентом или его представителем". Аналогичные перечни нужны для других категорий субъектов.
Особое внимание на фото и видео: Ваша деятельность напрямую связана с созданием фото и видео. Убедитесь, что получение и использование изображений людей всегда имеет законное основание (договор с клиентом, который гарантирует наличие согласий от участников, или прямые согласия от участников). В вашей Политике (раздел 4.5) указано, что обработка биометрических ПДн не производится, но фото и видеоизображения обрабатываются. Это тонкий момент: если фото/видео используются для установления личности, они могут стать биометрией. В контексте видеопроизводства чаще всего это не так, но важно понимать разницу. - Определите, где и как вы храните ПДн.Пример: Яндекс.Диск, электронная почта, бумажные документы (если есть).
Критически важно (об этом ниже): Базы данных с ПДн граждан РФ должны находиться на территории РФ.
Результат Шага 1: У вас должен быть примерный список: кто, какие данные, для чего, где хранятся. Это основа для всех последующих действий.
ШАГ 2: Устранение критических проблем и подготовка правовой базы
Важность: Критическая.
Обязательность: Да
На этом этапе нужно решить основные проблемы, которые могут сразу привести к нарушениям.
- Обеспечьте локализацию баз данных ПДн граждан РФ.Требование: Ч. 5 ст. 18 Закона «О персональных данных» обязывает оператора обеспечить запись, систематизацию, накопление, хранение, уточнение, извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории России.
Действия: Если вы использовали иностранные сервисы для основного хранения ПДн (например, Notion, Google Drive как основную базу клиентов из РФ), перенесите данные на российские аналоги (например, облачные сервисы Яндекса, VK и др., имеющие серверы в РФ). В вашем случае вы перешли на сервисы Яндекса.
Комментарий: Это одно из самых частых нарушений, за которое штрафуют. - Обеспечьте безопасность каналов сбора и передачи данных.
Действия:Откажитесь от использования незащищенных или не предназначенных для систематической обработки ПДн каналов (например, личные аккаунты в публичных мессенджерах для передачи файлов с ПДн клиентов). Вы прекратили использование Telegram для этих целей.
Для сбора данных с сайта используйте защищенные соединения (HTTPS) и формы, интегрированные с вашими базами данных в РФ (например, Яндекс.Формы).
Обеспечьте безопасность электронной почты (сложные пароли, двухфакторная аутентификация).
Комментарий: Безопасность – это не только требование закона, но и ваша репутация. - Подготовьте договоры и соглашения с третьими лицами.
Если вы привлекаете подрядчиков (фрилансеров, другие ИП/компании), которые по вашему заданию будут иметь доступ к ПДн ваших клиентов или других субъектов: - Обязательно: Заключите с ними Поручение на обработку персональных данных. Это может быть отдельный документ или раздел в основном договоре ГПХ.
Содержание Поручения (согласно ст. 6 152-ФЗ и вашим документам, например, "ПОД ИП - Зюзин (brocast.team) Договор шаблон 2025.docx" и "ПОД Согласие обработчик ПД.docx"):Цели обработки ПДн подрядчиком (например, "обеспечение выполнения работ/оказания услуг по Договору, взаимодействие с клиентами Заказчика по вопросам, связанным с исполнением Договора, продвижения товаров, услуг, работ на рынке" ).
Перечень ПДн, передаваемых на обработку подрядчику (например, "фамилия, имя, отчество, дата и место рождения, социальное, имущественное и семейное положения, адреса регистрации, места жительства, электронной почты, номер телефона, ИНН, гражданство, СНИЛС, данные документа удостоверяющего личность, данные водительского удостоверения, реквизиты банковского счет и банковской карты, сведения о трудовой деятельности, фото, видео изображения" – адаптируйте под реальные данные, передаваемые конкретному подрядчику).
Перечень действий подрядчика с ПДн ("сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных" ).
Обязанность подрядчика соблюдать конфиденциальность и обеспечивать безопасность ПДн.
Обязанность подрядчика использовать базы данных на территории РФ.
Ваше право проверять подрядчика.
Ответственность сторон.
Документы: У вас есть шаблоны "ПОД ИП - Зюзин (brocast.team) Договор шаблон 2025.docx" и "ПОД Согласие обработчик ПД.docx" – используйте их для оформления отношений с подрядчиками.
Комментарий: Без такого поручения передача ПДн подрядчику для обработки от вашего имени будет незаконной. Ответственность перед субъектом ПДн все равно несет оператор (т.е. вы).
В договорах с Клиентами (Заказчиками):Включите раздел об обработке их персональных данных (или ПДн их представителей).
Содержание (согласно вашему шаблону "ЗАК Шаблон Договора ИП Зюзин 2025 (1).docx"):Подтверждение согласия клиента на обработку ПДн для исполнения договора.
Цели обработки (исполнение договора, расчеты и т.д.).
Ссылка на вашу Политику обработки ПДн и/или на отдельное Согласие на обработку ПДн.
Краткое указание на категории обрабатываемых ПДн или ссылка на их подробный перечень в Политике/Согласии (например, "Конкретный перечень обрабатываемых персональных данных, на которые Клиент дает согласие, определен в Политике и/или отдельном Согласии на обработку персональных данных и включает: фамилия, имя, отчество, дата и место рождения, социальное, имущественное и семейное положения, адреса регистрации, места жительства, электронной почты, номер телефона, ИНН, гражданство, СНИЛС, данные документа удостоверяющего личность, данные водительского удостоверения, реквизиты банковского счет и банковской карты, сведения о трудовой деятельности, фото, видео изображения" ).
Ссылка на то, что маркетинговые коммуникации осуществляются только при наличии отдельного согласия.
Документ: Используйте ваш "ЗАК Шаблон Договора ИП Зюзин 2025 (1).docx".
Комментарий: Это обеспечивает прозрачность и является одним из правовых оснований для обработки.
Результат Шага 2: Устранены основные риски, подготовлена договорная база для законной обработки ПДн с участием третьих лиц.
Часть 2: Информирование субъектов и официальное оформление
На этом этапе мы создаем документы, которые будут видеть ваши клиенты и другие субъекты, а также формализуем вашу деятельность как оператора ПДн.
ШАГ 3: Разработка форм согласий и уведомлений для субъектов ПДн
(Важность: Высокая. Обязательность: Да)
Для законной обработки персональных данных в большинстве случаев требуется согласие субъекта. Согласие должно быть конкретным, информированным и сознательным.
- Для Клиентов (Заказчиков): Отдельный документ «Согласие на обработку персональных данных и получение маркетинговых коммуникаций».Комментарий: Этот документ является ключевым для выстраивания прозрачных отношений с клиентами. Особенно важно, что согласие на получение маркетинговых (рекламных) материалов должно быть явным и отдельным от согласия на обработку данных для исполнения основного договора. Клиент должен иметь возможность отказаться от маркетинга, не теряя при этом возможности получить основную услугу.
Основные элементы содержания (на основе вашего документа "ЗАК Согласие на обработку ПД.docx"):Сведения об Операторе: Полные данные ИП Зюзин Олег Олегович (ОГРНИП, ИНН, адрес).
Сведения о Субъекте персональных данных (Клиенте): Поля для ФИО, паспортных данных, адреса, контактов клиента.
Цели обработки ПДн: Четко разделить цели для исполнения договора (например, "Заключение, исполнение, изменение и прекращение договора на оказание услуг...", "Осуществление расчетов по Договору", "Обеспечение обратной связи..." ) и цели для маркетинга ("Предоставление мне информации об услугах Оператора... направление мне новостных и маркетинговых рассылок (рекламы) Оператора" ).
Перечень обрабатываемых ПДн: Должен быть исчерпывающим для заявленных целей. Используйте ваш утвержденный перечень: "Фамилия, имя, отчество, дата и место рождения, социальное, имущественное и семейное положения, адреса регистрации, места жительства, электронной почты, номер телефона, ИНН, гражданство, СНИЛС, данные документа удостоверяющего личность, данные водительского удостоверения, реквизиты банковского счет и банковской карты, сведения о трудовой деятельности, фото, видео изображения и иные". И указание: "Объем обрабатываемых данных должен быть минимально необходимым для достижения указанных целей".
Перечень действий с ПДн: "сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ, в том числе третьим лицам, привлекаемым Оператором для исполнения Договора...), обезличивание, блокирование, удаление, уничтожение персональных данных".
Срок действия согласия и порядок отзыва: Указать конкретный срок или условие (например, "до момента достижения целей обработки... либо до момента отзыва мною настоящего согласия" ) и простой способ отзыва (например, по электронной почте ).
Отдельный блок для согласия на маркетинговые коммуникации: С возможностью выбора "СОГЛАСЕН(НА)" / "НЕ СОГЛАСЕН(НА)".
Подтверждения от субъекта: Об ознакомлении с законодательством, Политикой Оператора, достоверности данных и уведомление об обработке данных в РФ.
Документ: Используйте ваш шаблон "ЗАК Согласие на обработку ПД.docx".
Практический совет: Подписывайте это согласие с каждым новым клиентом (физическим лицом или представителем юр.лица, если обрабатываются его личные ПДн) до начала обработки его данных. Храните подписанные согласия. - Для вашего веб-сайта (например, https://brocast.team, если там есть формы сбора данных):
Текст для чекбоксов под формами (обратной связи, заказа услуги и т.п.)
Пример для обязательного чекбокса (для основной цели формы):
☐ Я даю свое согласие ИП Зюзину Олегу Олеговичу (ОГРНИП 315774600144120) на обработку моих персональных данных ([перечислить собираемые в форме данные, например: имя, номер телефона, email]), в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", в целях [указать цель, например: обработки моей заявки/моего вопроса]. Срок обработки: до момента отзыва согласия или до достижения целей обработки. Я ознакомлен(а) с Политикой обработки персональных данных, размещенной по адресу https://brocast.team, и понимаю свои права, включая право на отзыв данного согласия.
Пример для опционального чекбокса (для маркетинга):
☐ Я даю свое согласие ИП Зюзину Олегу Олеговичу (ОГРНИП 315774600144120) на получение информационных и маркетинговых сообщений (включая рекламу) о ваших услугах, акциях и специальных предложениях по указанным мной контактным данным. Я понимаю, что могу в любой момент отозвать это согласие.
Комментарий: Первый чекбокс (обязательный) делает законным сам факт обработки данных из формы. Второй (опциональный) – для маркетинга. Обязательно должна быть активная ссылка на вашу Политику.
- Для Участников съемок/мероприятий (если их ПДн обрабатываются, и они не являются вашими Клиентами):Комментарий: Ваша Политика (раздел 4.2.4) предусматривает обработку данных таких участников ("Фамилия, имя, отчество (если сообщаются), фото и видеоизображения, голос...") для создания видеопродукции.
Действия:Если вы работаете по договору с Клиентом (например, юридическим лицом, которое организует мероприятие), то в договоре с этим Клиентом должно быть четко прописано, что Клиент сам несет ответственность за получение всех необходимых согласий от участников на съемку, обработку их изображений и других ПДн вами как исполнителем. Клиент должен гарантировать вам наличие таких "очищенных" прав.
Если вы сами напрямую взаимодействуете с участниками (например, при съемке собственного проекта или если клиент поручает вам сбор согласий), вам потребуется получить от них письменное согласие. Форма такого согласия должна быть адаптирована: цели (участие в съемке, использование изображения в конкретном проекте), перечень ПДн (ФИО, изображение, голос), срок, права и т.д.
Практический совет: Для съемок публичных мероприятий или в общедоступных местах действуют особые правила (ст. 152.1 ГК РФ), но получение согласия – всегда наиболее надежный путь, особенно если планируется дальнейшее широкое использование материалов.
ШАГ 4: Разработка и публикация Политики обработки персональных данных
(Важность: Критическая. Обязательность: Да)
Политика – это ваш основной документ, который информирует всех заинтересованных лиц о том, как вы обращаетесь с персональными данными.
- Содержание Политики:Комментарий: Вы уже разработали и утвердили Политику (Приказ № 152 от 19 мая 2025 г., версия 1.0). Она должна содержать все необходимые разделы, которые мы ранее обсуждали: общие положения со сведениями об операторе, принципы и цели обработки ПДн, правовые основания, объем и категории ПДн и субъектов, порядок и условия обработки, меры по обеспечению безопасности, права субъектов ПДн, ответственность и заключительные положения.
Важно, чтобы информация в Политике соответствовала вашим реальным процессам. - Утверждение и публикация:
Действия:Политика утверждается приказом Индивидуального предпринимателя. (Вы это сделали).
Политика должна быть опубликована в открытом доступе. Вы разместили ее по адресу: https://brocast.team. Это правильно. Если у кого-то нет сайта, можно предоставлять Политику по запросу.
Комментарий: Обеспечение неограниченного доступа к Политике – прямое требование закона.
ШАГ 5: Уведомление Роскомнадзора (РКН) об обработке персональных данных
(Важность: Высокая. Обязательность: Да, за некоторыми исключениями, но для большинства видов деятельности ИП в творческой сфере – обязательно)
Операторы ПДн обязаны уведомить уполномоченный орган (Роскомнадзор) о своем намерении осуществлять обработку ПДн до начала такой обработки.
- Подготовка и подача уведомления:
Действия:Уведомление подается в электронном виде через специальную форму на Портале персональных данных Роскомнадзора (pd.rkn.gov.ru). Также можно заполнить форму, распечатать, подписать и направить почтой или предоставить лично в территориальное управление РКН.
Внимательно заполняйте все поля уведомления. Информация должна быть точной и соответствовать вашей Политике и реальным процессам.
Ключевые поля для заполнения (мы готовили для них формулировки):"Цели обработки персональных данных" (например, из раздела 2.2 вашей Политики).
"Категории персональных данных" и "Категории субъектов" (из раздела 4 вашей Политики).
"Правовое основание обработки" (из раздела 3 вашей Политики).
"Перечень действий с персональными данными" (из раздела 5.2 вашей Политики).
"Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных»": Здесь вы должны перечислить принятые правовые, организационные и технические меры (см. предыдущие рекомендации и раздел 6 вашей Политики).
"Сведения об обеспечении безопасности персональных данных..." (включая "средства обеспечения безопасности"): Указать используемые антивирусы, межсетевые экраны, средства защиты облачных провайдеров и т.д.
"Сведения о месте нахождения базы данных информации": Указать Российскую Федерацию и конкретные используемые сервисы (например, ООО «ЯНДЕКС»).
После заполнения и отправки уведомления отслеживайте его статус на портале РКН. Вас должны включить в Реестр операторов, осуществляющих обработку персональных данных.
Комментарий: Хотя существуют исключения, когда уведомление не требуется (ст. 22 ч. 2 152-ФЗ), они довольно узкие. Для большинства предпринимателей, особенно работающих с данными клиентов онлайн и использующих подрядчиков, подача уведомления обязательна или, как минимум, крайне желательна для минимизации рисков. Вы указали, что заявление подали – это правильный шаг.
Результат Шагов 3-5: Вы проинформировали субъектов ПДн об обработке их данных, получили необходимые согласия, публично заявили о своих принципах работы с ПДн через Политику и уведомили государство о своей деятельности в лице РКН. Это основа вашего официального статуса как добросовестного оператора ПДн.
Часть 3: Внутренняя организация и текущее соответствие
После того как внешние формальности улажены (Политика опубликована, уведомление в РКН подано, согласия и договоры оформлены), необходимо выстроить и поддерживать внутренние процессы, а также реализовать заявленные меры безопасности.
ШАГ 6: Издание внутренних приказов для формализации процессов
(Важность: Высокая. Обязательность: Да)
Внутренние приказы необходимы для документального подтверждения выполнения требований законодательства и назначения ответственных (даже если это вы сами как ИП).
- Приказ о назначении ответственного за организацию обработки персональных данных.Комментарий: Согласно ст. 22.1 Закона «О персональных данных», оператор обязан назначить лицо, ответственное за организацию обработки ПДн. Для ИП без наемных работников этим лицом является сам индивидуальный предприниматель. Приказ формально закрепляет эту ответственность. В вашей Политике уже указано, что такое лицо назначено (ИП Зюзин О.О.).
Документ: Используйте шаблон приказа, который мы подготовили. (См. предыдущие сообщения с шаблоном Приказа "О назначении ответственного..."). - Приказ об утверждении Политики в отношении обработки персональных данных.Комментарий: Вы указали, что ваша Политика утверждена Приказом № 152 от «19» мая 2025 г.. Если этот приказ существует как отдельный документ, отлично. Если утверждение было только грифом на самой Политике, рекомендуется все же издать отдельный приказ для большей формализации и удобства внутреннего делопроизводства.
Документ: Если необходимо, используйте шаблон приказа "Об утверждении Политики..." (см. предыдущие сообщения), указав в нем номер 152 и дату 19 мая 2025 г. - Приказ об утверждении перечня лиц, имеющих доступ к персональным данным.Комментарий: Необходимо определить круг лиц, которым для выполнения их обязанностей предоставлен доступ к ПДн. Для ИП это, в первую очередь, сам предприниматель. Если вы привлекаете подрядчиков, которые получают прямой и регулярный доступ к вашим информационным системам, где хранятся ПДн (а не просто получают данные по поручению и обрабатывают их в своих системах), их также можно включить в этот перечень с указанием оснований (договор, поручение).
Документ: Используйте шаблон приказа "Об утверждении перечня лиц..." (см. предыдущие сообщения). - Приказ об утверждении мест хранения материальных носителей персональных данных.Комментарий: Даже если вы стремитесь к полному электронному документообороту, могут возникать ситуации с бумажными документами (подписанные договоры, согласия, анкеты и т.д.). Необходимо определить защищенные места их хранения. В вашей Политике указано, что ПДн хранятся в электронном виде и на материальных носителях при необходимости.
Документ: Используйте шаблон приказа "Об утверждении мест хранения..." (см. предыдущие сообщения), адаптировав его под ваши реальные условия (например, указав конкретный запираемый шкаф или сейф). - (Рекомендуется) Другие внутренние документы:Положение об обработке персональных данных: Может более детально, чем Политика (которая ориентирована и на внешних субъектов), описывать внутренние процедуры: порядок доступа, правила работы с ИСПДн, процедуры уничтожения ПДн, порядок реагирования на запросы и инциденты. Утверждается также приказом.
Акт оценки вреда, который может быть причинен субъектам ПДн: Оператор обязан проводить такую оценку (п. 5 ч. 1 ст. 18.1 Закона «О персональных данных»). Это документ, где вы анализируете потенциальные риски для субъектов в случае утечки или иной неправомерной обработки их данных и как эти риски соотносятся с принимаемыми мерами защиты.
Журналы учета:Журнал учета обращений субъектов персональных данных.
Журнал учета мероприятий по контролю (например, ваших самопроверок).
Журнал учета инцидентов информационной безопасности.
Журнал учета машинных носителей ПДн (если используются флешки, внешние диски с ПДн).
Эти журналы можно вести в электронном виде.
Результат Шага 6: У вас есть комплект внутренних приказов, которые формализуют вашу систему управления персональными данными. Это важно как для самодисциплины, так и для демонстрации соответствия требованиям при возможных проверках.
ШАГ 7: Реализация заявленных мер по обеспечению безопасности ПДн
(Важность: Критическая. Обязательность: Да)
Все меры, которые вы описали в Политике и в уведомлении для Роскомнадзора, должны быть реально внедрены.
- Технические меры:Защита ИСПДн: Поскольку вы используете облачные сервисы Яндекса для хранения ПДн, убедитесь, что вы используете все доступные средства защиты, предоставляемые провайдером (например, сложные пароли к аккаунтам, двухфакторную аутентификацию, настройки прав доступа к файлам и папкам).
Антивирусная защита: На всех компьютерах и устройствах, с которых осуществляется доступ к ПДн, должно быть установлено и регулярно обновляться лицензионное антивирусное ПО.
Парольная политика: Используйте сложные, уникальные пароли для доступа ко всем системам, сервисам, электронной почте. Обеспечьте их конфиденциальное хранение. Рекомендуется периодическая смена паролей.
Безопасность сети: Если вы работаете из дома или офиса, убедитесь в безопасности вашей Wi-Fi сети (защищенный доступ, сложный пароль).
Резервное копирование: Настройте регулярное резервное копирование важных данных, содержащих ПДн (Яндекс.Диск и другие облачные сервисы часто имеют встроенные функции версионности или резервного копирования, но стоит проверить их настройки и достаточность).
Контроль физического доступа: Ограничьте физический доступ посторонних лиц к вашим рабочим устройствам и местам хранения материальных носителей ПДн. - Организационные меры:Разграничение доступа: Доступ к конкретным ПДн должен предоставляться только тем лицам (вам и, возможно, вашим подрядчикам в рамках их поручений), которым он действительно необходим для выполнения их задач.
Конфиденциальность: Все лица, имеющие доступ к ПДн, должны быть осведомлены о необходимости соблюдения их конфиденциальности (это должно быть отражено в договорах с подрядчиками).
Порядок работы с запросами субъектов: Определите для себя четкий порядок действий при получении запроса от субъекта ПДн (как его зарегистрировать, как подготовить ответ, в какие сроки направить).
Порядок действий при инцидентах: Продумайте базовый порядок действий в случае утечки ПДн или иного инцидента безопасности (кого информировать, как минимизировать ущерб).
Ознакомление подрядчиков: Убедитесь, что ваши подрядчики, обрабатывающие ПДн по вашему поручению, ознакомлены с требованиями законодательства и вашими внутренними документами (Политикой, условиями договора-поручения).
Результат Шага 7: Вы не просто задекларировали, а реально обеспечиваете защиту персональных данных, с которыми работаете.
ШАГ 8: Организация текущей работы и поддержание соответствия
(Важность: Высокая. Обязательность: Да, для постоянного соответствия)
Соблюдение требований 152-ФЗ – это не разовое мероприятие, а постоянный процесс.
1. Работа с запросами субъектов ПДн:
- Прием и обработка: Будьте готовы принимать запросы от клиентов, подрядчиков и других субъектов относительно их ПДн (ознакомление, уточнение, удаление, отзыв согласия и т.д.) по каналам, указанным в вашей Политике (email: oleg@brocast.team, irina@brocast.team; почтовый адрес: 117525, г. Москва, ул. Чертановская, д. 25, корп. 1, кв. 26).
- Сроки ответа: Соблюдайте установленные законом сроки для ответа на запросы (например, 10 рабочих дней для предоставления информации о наличии ПДн и возможности ознакомления, 30 дней для предоставления полных сведений по запросу, если иной срок не установлен законом). Ваша Политика упоминает 30 дней.
- Документирование: Ведите Журнал учета обращений субъектов ПДн, где фиксируйте дату поступления запроса, суть, дату и содержание ответа.
2. Актуализация документов и сведений:
- Политика и другие ЛНА: Регулярно (например, раз в год или при существенных изменениях в вашей деятельности или законодательстве) пересматривайте и при необходимости обновляйте Политику, согласия, договоры и внутренние приказы.
- Уведомление РКН: Если у вас изменятся цели обработки, перечень ПДн, местонахождение баз данных или иные сведения, указанные в уведомлении, необходимо направить в РКН информационное письмо об изменениях.
3. Внутренний контроль:
Периодически проводите самопроверку (внутренний аудит) на предмет соответствия ваших процессов обработки ПДн требованиям законодательства и вашим собственным локальным актам. Фиксируйте результаты в Журнале учета мероприятий по контролю.
4. Реагирование на инциденты безопасности:В случае выявления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов ПДн, вы обязаны уведомить Роскомнадзор в установленные сроки (24 часа – первичное уведомление, 72 часа – результаты внутреннего расследования), а также принять меры по минимизации вреда.
5. Хранение документов:Обеспечьте надежное хранение всех документов, связанных с обработкой ПДн: подписанных согласий, договоров с клиентами и подрядчиками (с пунктами о ПДн или поручениями), приказов, журналов, копии уведомления в РКН и переписки с ведомством, запросов субъектов и ответов на них. Сроки хранения определяются законодательством (например, согласия хранятся не менее 3 лет после прекращения их действия, если более длительный срок не установлен иными НПА или целями обработки).
Результат Шага 8: Вы поддерживаете вашу систему защиты персональных данных в актуальном и рабочем состоянии, готовы реагировать на запросы и инциденты, тем самым минимизируя риски нарушений и штрафов.
Заключение для коллег:
Уважаемые коллеги! Процесс приведения деятельности в соответствие с Федеральным законом «О персональных данных» может показаться сложным, но он абсолютно необходим для законной и ответственной работы. Начав с анализа своих процессов и последовательно выполняя описанные шаги, вы сможете выстроить надежную систему защиты персональных данных.
Не забывайте, что законодательство может меняться, поэтому важно следить за актуальной информацией и при необходимости адаптировать свои документы и процессы. Инвестиции времени и усилий в обеспечение соответствия 152-ФЗ – это инвестиции в стабильность и репутацию вашего бизнеса.
Удачи!