Главное Авторские колонки Вакансии Образование
Выбор редакции:
22 785 23 В избр. Сохранено
Авторизуйтесь
Вход с паролем

152-ФЗ: Что делать, когда пришло письмо из прокуратуры о нарушении закона о персональных данных

В июле вступают новые поправки к закону о персональных данных и штрафы значительно вырастут. Расскажу о том, что делать, когда уже пришло письмо из прокуратуры о проверке соблюдения требований закона о персональных данных (ФЗ 152), и Ваши действия, чтобы вопросов к Вам не было. Бонус: образцы документов
Мнение автора может не совпадать с мнением редакции

На текущий момент штраф 5000, а к лету вырастет до 30 000. Но даже 5 можно потратить лучше, чем оплатить штраф за невыполнение закона.

У Вас - Сайт (Интернет-магазин и не только) с формой обратной связи или корзиной и оформлением заказа онлайн. В общем, любая форма с контактами - это зона риска в разрезе 152ФЗ.

Важно понимать, что по закону (рекомендую его прочитать) есть четкий перечень того, что является персональными данными (ПД) и многие ошибочно думают, что указание Ф.И.О. без данных паспорта не попадает под действие закона. Важный момент - косвенные ПД. Исходя из их определения - любое сочетание данных о клиенте попадает под действие закона.

ВАЖНО! Заполнение ФИО и телефона в форме на сайте требует соблюдения 152-ФЗ.

На примере Интернет-магазина, что нужно сделать, чтобы 152-ФЗ выполнялся:

  1. Приготовить печатные версии документа с печатями и подписями и хранить папочку рядом с аналогичной папкой для пожарников. Перечень документов:
    1. Приказ о назначении ответственного за организацию обработки персональных данных [Образец приказа 152-ФЗ];
    2. ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ [Образец Должностная инструкция 152-ФЗ];
    3. ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ [Образец политики обработки ПД];
    4. ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ [Образец правил обработки ПД].
  2. Указать на сайте реквизиты Вашей организации (ИНН, ОГРН, Адрес);
  3. Разместить активную гиперссылку на политику организации в отношении обработки персональных данных;
  4. Под формой отправки заказа / формы обратной связи разместить:
    1. Согласие на использование ПД для выполнения запроса;
    2. Согласие на обработку / хранение ПД и уведомление о понимании процедуры отзыва своих ПД;
    3. Сервер вне РФ? Согласие на трансграничную передачу ПД.

Ни к чему совершенно регистрироваться в качестве оператора данных на сайте Роскомнадзора. Проверить свой случай можно по тексту закона, там подробно указано, кому надо. Остальным - НЕ НАДО.

Если всё это есть - бояться нечего и вопросов к Вам не будет. Если же про 152-ФЗ Вы озаботились по факту письма из прокуратуры, то надо:

  1. Бросить все дела, и разместить на сайте необходимые данные;
  2. Связаться с представителем прокуратуры и уведомить, что по факту нарушений нет (быстрее = лучше, тянуть смысла нет);
  3. Подготовить внутренние документы и заверить их печатью / подписью;
  4. Учитывая наличия скриншотов (умеют, практикуют) - заранее задуматься об объяснении, почему представитель Роскомнадзора не нашел согласия и политику на сайте (что ссылки доступны из личного кабинета / открывается из корзины и.т.д). Но при этом политику разместить на всех страницах и на всех формах поставить подтверждение согласие и сообщить, что как раз улучшили представление данных на сайте;
  5. [Лайфхак] Посмотрите, как указан в запросе адрес сайта. HTTP://сайт.ру ? Возможно, у Вас хороший повод совершить переезд на защищенное соединение HTTPS и получить плюсик к карме у гугл?

Когда погружался в тему, пригодились статьи:

  1. https://habrahabr.ru/company/zarlaw/blog/298882/
  2. Консультант, текст закона 152-фз
  3. И специальные благодарности - Отдел образования администрации Петродворцового района Санкт-Петербурга, у них лучший комплект документов по 152-ФЗ - подойдет даже очень крупной организации.
+2
В избр. Сохранено
Авторизуйтесь
Вход с паролем
Комментарии
Евгений Леонов
Такой вопрос. Сайт принадлежит физлицу. Но с регистрацией, и кучей всяких форм. Стоит ли тратить силы?

И заодно история. Товарищ работает в приеме макулатуры и вы не поверите, сколько приходит личных дел, списков и т.д. Закон есть, смысла нет :)
Ответить
Flo365
Цветы в круглых коробках и коробочки с цветами
Алексей 14446
Стоит, к тому же не так много и тратить. Форму согласия и политику на сайт. Потому что, как я думаю, с физлицом - абуза в хостинг, реестр, надо это разгребать потом? :)
Ответить
Сиптх Русский
т.е. получается что если сайт на физика то никаки документов в папочку и политик заверенных он сделать не сможет и будет достаточным только отметку о согласии и политику обработки на сайте разместить?
а как насчет Cookie - про них тоже пишут что могут поднаехать?
А как насчет логирования того что пользователь согласился с обработкой?
И как насчет всего этого на этом сайте?
Ответить
152ФЗ.РФ
Виджет защиты сайта по 152ФЗ
Марк Тлен
Про куки можно упомянуть как раз таки в политике или в соглашении. На https://xn--152-1dd8d.xn--p1ai/ на платных тарифах это включено в содержание документов
Ответить
Elena Mochalova
А в законе то и про физиков, сразу после юриков
Ответить
Денис Чернышев
ИПшнику как писать приказы? Самому на себя?
Ответить
Flo365
Цветы в круглых коробках и коробочки с цветами
Алексей 14446
Почему бы и нет? Я в транспортных компаниях от лица директора пишу на себя физ.лицо доверенности на получение грузов.
Ответить
152ФЗ.РФ
Виджет защиты сайта по 152ФЗ
Марк Тлен
Есть простое и быстрое решение этой проблемы https://xn--152-1dd8d.xn--p1ai/
10 минут и у тебя готов виджет, как для яндекс метрики
Ответить
Евгений Курицаев
не работает сайт 502 ошибка
Ответить
Евгений Курицаев
вот тут подобное видел еще https://1ps.ru/cost/dop-more/federal-zakon/ Это оно? или там другое решение?
Ответить
152ФЗ.РФ
Виджет защиты сайта по 152ФЗ
Марк Тлен
Хм. у меня работает
Ответить
SiteSecure
Веб-сервис по защите коммерческих сайтов
Макс Лагутин
Не вводите людей в заблуждение.
1. Несколько согласий не требуется, требуется одно, в котором нужно указать процедуру отзыва. Можно сделать так (https://b-152.ru/themes/b152/web/Soglasie_na_obrabotku_pdn.pdf)
2. Письмо высылает не прокуратура (вы явно не имеете опыта проверок Роскомнадзора), а непосредственно Роскомнадзор.
3. Если сервер с персональными данными не в РФ, то вы уже нарушаете требования ч.5 ст.18 152-ФЗ "О персональных данных (http://www.consultant.ru/document/cons_doc_LAW_61801/cbf4e15b7c330f9372e876cdf2bc928bad7950ef/). Согласие на трансграничную передачу не спасет тех, кому вы в этой статье это не рекомендуете.
4. Неуведомление Роскомнадзора может для регулятора являться причиной для внеплановой проверки.
5. При проведении проверки, Роскомнадзор запрашивает много информации (пруфлинк на перечень запрашиваемых ими документов при проверках - https://b152-my.sharepoint.com/personal/mlagutin_b-152_ru/_layouts/15/WopiFrame.aspx?docid=05814eae2b9194a75ba3fdc5f3b228e7f&;authkey=ARpW82zNX14qnvl2D9SfA1M&action=view)

Пожалуйста, не пишите о том, в чем не разбираетесь.
Ответить
Показать предыдущие комментарии
Flo365
Цветы в круглых коробках и коробочки с цветами
Алексей 14446
п.4. не ясно о чем речь, поэтому отлично было бы расшифровать. п.5. ссылка не работает, но даже если перечень доков по проверке от РКН и другой - я написал именно о тех документах, которая запросила прокуратура.
Спасибо за комментарий.
Ответить
SiteSecure
Веб-сервис по защите коммерческих сайтов
Макс Лагутин
Вы не совсем правы.
Схема следующая
1. Проверка или иные контролирующие мероприятия Роскомнадзора.
2. Акт о проведенной проверке с перечислением нарушений (этот кейс рассматриваем)
3. Передача сведений о правонарушениях из Роскомнадзора в органы Прокуратуры
4. Передача сведений для возбуждения дела об административном правонарушении из Прокуратуры в суд.

А с 1 июля (с завтрашнего дня), Роскомнадзор будет передавать дела напрямую в суд, минуя прокуратуру
Ответить
SiteSecure
Веб-сервис по защите коммерческих сайтов
Макс Лагутин
Вы неверно понимаете закон.

Есть ч.5 ст.18 152-ФЗ, которая требует локализации баз данных с ПДн на территории РФ.
Вы в своей статье написали, что если сервер не в РФ, то нужно согласие на трансграничку.
Но это вы сразу говорите, если сервер не в РФ, то не беда, достаточно согласия. Тем самым вы склоняете людей игнорировать требования ч.5 ст.18 152-ФЗ и нарушать закон
Ответить
Flo365
Цветы в круглых коробках и коробочки с цветами
Алексей 14446
Не вижу в данном тексте противоречий.
Ответить
SiteSecure
Веб-сервис по защите коммерческих сайтов
Макс Лагутин
Вы говорите, что если сайт за рубежом, то нужно согласие на трансграничку.
Но это неверный совет, потому как если сайт за рубежом, то не выполняется требование о локализации, о котором я писал.
И за это Роскомнадзор блочит сайты, вспомните Линкедин
Ответить
Андрей Григорьев
Мне кажется, не все так серьезно. Для подавляющего большинства подойдет шаблон политики обработки персональных данных. Или сгенерировать можно еще лучше, благо сервисов уже много развелось: https://advegital.com/solutions/politika-obrabotki-personalnykh-dannykh-obrazets.html
Так у вас грубых нарушений уже не будет, на первый взгляд все будет ок. А через год проверить и привести в соответствие все еще раз - когда уже будет практика наработана.
Ответить
nivescio 86017
Насколько я понимаю, размещая на сайте политику обработки ПД, вы признаете то, что являетесь оператором ПД а ваш сайт автоматически становится информационной системой обработки ПД. Соответсвенно на вас ложится обязанность не только получить согласие на обработку ПД. НО!!! (самое главное!!!!) так же обеспечить безопасность хранения этих ПД. Определить модель угроз, классифицировать ИС, обеспечить сохранность при передаче по незащищенным каналом связи... а защищенным канал будет только если использовать криптографические методы.. которые прошли сертификацию ФСТЭК.... И получается, что каждый кто размещает на своих форму галку о согласии на обработку ПД подписывается на это. Хотя это может быть просто форма комментария.
Ответить
Flo365
Цветы в круглых коробках и коробочки с цветами
Алексей 14446
Есть ньюансы - а именно - цели сбора ПДн, способ обработки и последующего хранения. Но стать оператором - да, это логично.

Опять же, хранение ПД оператором - это ситуативно, могут хранить а могут и сразу удалять.
Ответить
nivescio 86017
даже пока данные от формы вода до сервера идут, они уже должны быть защищены.... , пусть даже после этого сразу с сервера удаляются... вот в чём вся загводздка. Хотя пока, вроде, это никто не проверяет. Но что делать, когда проверят? :)
Ответить
Выбрать файл
Блог проекта
Расскажите историю о создании или развитии проекта, поиске команды, проблемах и решениях
Написать
Личный блог
Продвигайте свои услуги или личный бренд через интересные кейсы и статьи
Написать

Spark использует cookie-файлы. С их помощью мы улучшаем работу нашего сайта и ваше взаимодействие с ним.