Соответствуем 152 ФЗ
Чтобы избежать немалых штрафов за нарушение пунктов 152ФЗ "О персональных данных", проверьте себя на соответствие
✅ Политика обработки персональных данных (ПД)
- Должна быть размещена на сайте и доступна для всех пользователей.
- Включать информацию о целях обработки ПД, правах пользователей, мерах защиты данных.
- Обязательно указывать контакты оператора ПД (юридическое лицо, ИП или физлицо, если применимо).
✅ Форма получения согласия на обработку ПД
- Должна быть отдельная галочка с согласием пользователя перед отправкой данных.
- Нельзя использовать предварительно отмеченные чекбоксы.
- Формулировка согласия должна быть четкой и конкретной.
✅ Защита данных и уведомление пользователей
- Обеспечить шифрование передаваемых данных (например, HTTPS), приобрести SSL-сертификат для домена (есть бесплатные)
- Уведомлять пользователей о возможном сборе данных (например, с использованием файлов cookie).
- Указать способы отзыва согласия на обработку ПД.
✅ Логирование действий с персональными данными
- Фиксировать факты получения согласия, обращения пользователей, удаления данных.
- Обеспечить возможность подтверждения согласия по требованию контролирующих органов.
✅ Хранение и передача данных
- Данные граждан РФ должны храниться на серверах, расположенных в России.
- Если осуществляется передача данных третьим лицам, должно быть отдельное согласие пользователя.
✅ Информирование о правах пользователя
- На запрос пользователя оператор должен предоставить сведения об обработке его ПД.
- Возможность удаления или изменения персональных данных должна быть реализована.
Требования к политике обработки персональных данных
- Полное наименование оператора, его юридический адрес, контактные данные.
- Основание обработки ПД (согласие пользователя, выполнение договора, законное требование и т. д.).
✅ Перечень обрабатываемых данных
- Четко указать, какие именно данные собираются (ФИО, телефон, email, IP-адрес и т. д.).
- Не собирать избыточные данные, не относящиеся к заявленным целям.
- Например: регистрация на сайте, оформление заказа, обратная связь, аналитика.
- Запрещено использовать данные в целях, несовместимых с изначально заявленными.
✅ Порядок передачи данных третьим лицам
- Указать, передаются ли данные третьим лицам (например, сервисам аналитики, платежным системам).
- Если передаются – требуется отдельное согласие пользователя.
- Определить срок хранения данных (например, «до достижения целей обработки, но не более 5 лет»).
- Указать порядок удаления данных по запросу пользователя.
- Информировать пользователей об их правах:
- Запрос на доступ к своим данным.
- Удаление или исправление данных.
- Отзыв согласия на обработку.
- Возможность подачи жалобы в Роскомнадзор.
- Используемые организационные и технические меры защиты ПД.
- Описание политики внутреннего контроля доступа к данным.
✅ Порядок изменения политики обработки ПД
- Указать, как пользователи будут уведомляться о внесении изменений.
- Должна быть возможность ознакомиться с актуальной версией документа.
Дополнительно
📌 Если сайт использует cookie-файлы, необходимо:
- Разместить уведомление о сборе cookie.
- Получить согласие пользователей на их использование.
- Объяснить, какие именно cookie используются и с какой целью.
📌 Если обрабатываются чувствительные данные (например, биометрические, медицинские), необходимо:
- Получить согласие в письменной форме.
- Применять дополнительные меры защиты.
📌 Если сайт собирает данные несовершеннолетних, обработка должна происходить только с согласия родителей или законных представителей.
Подготовить внутренние документы:
✅ Приказ о назначении ответственного за обработку персональных данных
✅ Приказ о проведении внутреннего контроля обработки персональных данных. Протоколы внутренних аудитов или отчёты по контролю обработки персональных данных.
✅ Положение (политика) об обработке персональных данных (разместить на сайте + ссылка на видно место, плюс бумажный документ)
✅ Перечень информационных систем, в которых обрабатываются ПДн
✅ Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом.
✅ Инструкция для сотрудников по работе с персональными данными.
✅ Подписать с сотрудниками согласие на обработку персональных данных и под роспись ознакомить их с внутренними документами по персональным данным.
✅ Регламент по предотвращению и ликвидации утечек персональных данных
✅ Журналы регистрации инцидентов (если были случаи утечек или ошибок, их устранение).
✅ Документы, подтверждающие использование мер безопасности (например, договоры на антивирусное ПО, фаерволы, VPN, инструктажи сотрудников).