Для тех, кто в танке, и еще не озаботился вопросом о правильном хранении и сборе Персональных данных, делюсь подробной инструкцией и документами, которые снимут у вас основную головную боль. Мы провели обсуждения с несколькими юристами, коллегами, получили платные консультацию.
Делюсь с вами этим бесплатно. Просто пойдите и сделайте как написано
Персональные данные — это любая информация, которая прямо или косвенно относится к конкретному физическому лицу: ФИО, адрес проживания, информация об образовании и трудоустройстве, контактный телефон и электронная почта, раса, пол, группа крови, рост, цвет глаз и пр. В базовом виде, если вы собираете ФИО+телефон или +почта, то вы уже собираете ПД.
Именно поэтому, операторами персональных данных являются все работодатели, которые собирают ПД с помощью автоматизированных систем. То есть даже те, у кого нет сайтов, но есть 1С или CRM, в которой вы храните данные работников или контрагентов, т.к. 1С и CRM — это автоматизированные системы. А если вы храните ПД в Экселе или в блокноте, то вы не пользуетесь автоматизированными системами для сбора ПД, и вам подавать заявление в РКН не надо — можно расслабиться.
⚠️ Нельзя расслабляться, если вы храните ПД в Google-таблицах, т.к. вы нарушаете закон о трансграничной передаче ПД, и вам грозит штраф от 1 до 6 млн рублей. Срочно переходите в эксель.
Есть 3 этапа, которые нужно пройти:
Первым делом нужно подать заявку в РКН, указав основные Цели сбора ПД и адреса ЦОД (дата-центров), где у вас хранятся данные пользователей (а их может быть много! Ниже приведу наш пример)
Привести в порядок сайт: формы, сообщение о сборе кукис, политику конфиденциальности и согласие на обработку ПД. Если у вас есть лендинги, квизы или другие сайты, приводить в порядок нужно их все.
Подготовить все внутренние документы организации, которые требует собрать Роскомнадзор.
Первые два этапа нужно сделать как можно скорее. Третий - в спокойном режиме.
Далее подробно по каждому этапу.
Этап №1. Подача заявки в РКН
Подача заявления начинается тут: https://pd.rkn.gov.ru/operators-registry/notification/
Инструкций по заполнению сейчас в сети уже довольно много. Справится любой бухгалтер.
🔗 Скачать пример нашей заявки, сгенерированной в ЛК РКН
На что нужно обратить внимание:
1️⃣ Регион обработки: лучше указать "вся РФ". Но если есть офлайн-филиалы в регионах, то перечислите регионы в отдельности.
2️⃣ Цели обработки ПД:
Если у вас нет сайта, чат-бота, квиза и прочих ресурсов, на которых с помощью форм обратной связи вы собираете ПД, а только 1С, то укажите только 2 основные цели: 1) Кадровый учет и 2) Исполнение договора
Если в вашем случае больше вариантов, то выберите все подходящие вам цели (их около 30).
Перечень Целей в заявке должен быть строго таким же, как вы указываете в тексте "Политика обработки персональных данных" (РКН это проверит)
3️⃣ Места нахождения баз данных (ЦОД):
Указывается полный адрес ЦОДа: город, улица, дом, номер офиса или квартиры, где стоит сервер, на котором вы храните данные пользователей.
Если у вас ЦОД в аренде (или вы пользуетесь облачным сервисом рассылки, хостинг сайта или Яндекс.Диск), то нужно указать наименование юрлица организации, ИНН, ОГРН и адрес (тут не обязательно указывать адрес конкретного ЦОД, достаточно указать юридический адрес сервиса, его можно найти на сайте или спросить в техподдержке сервиса).
Если вы простой ИП-шник без сайта, рассылки, чат-бота, crm, но есть 1С, то хотя бы один ЦОД вы все-равно должны указать, т.к. с помощью 1С вы уже осуществляете автоматическую обработку данных сотрудников и/или контрагентов. Укажите адрес, где у вас находится 1С. Если это облачная 1С, укажите их юр.адрес.
Например, у нас оказалось 7 ЦОДов: 1) Сайт агентства 4rome.ru — собственный арендованный сервер в РФ 2) 2 лендинга ppc.4rome.ru и zavod.4rome.ru — сервера сервиса “Тильда” 3) CRM — собственный арендованный сервер в РФ 4) Рассылки — сервера сервиса Юнисендер 5) Колтрекинг — сервера сервиса UIS 6) Яндекс.Метрика — сервера Яндекс 7) Заявки через лид-формы — сервера сервиса "Марквиз"
4️⃣ Трансграничная передача ПД
Лучше бы, чтобы у вас ее не было.
Если у вас есть сервисы, которые передают данные сразу за границу (минуя РФ-сервера), например google-analytics, и вы не уведомили об этом РКН, то вам грозит штраф от 1 до 6 млн. рублей.
Если вы уведомите РКН, что у вас есть трансграничная передача данных, то штрафа не будет (пока!), но скорее всего они к вам придут для проверки, что у вас все правильно выстроено и лишние данные не утекают за границу (Проверят все документы, процессы, будут задавать много вопросов. Оно вам надо?)
Этап №2. Приводим все сайты в порядок
Привести в порядок нужно все свои сайты, лендинги и средства коммуникации: рассылки, чат-боты, сервисы для сбора заявок и пр. Везде, где вы собираете персональные данные.
1️⃣ Удалить с сайта Google Analytics, ГУГЛ-формы и Google Tag Manager (GTM) и все другие иностранные сервисы.
💰Рискуете заплатить штраф более 1 миллиона за трансграничную передачу данных.
⚠️Google Search Console можно продолжать использовать, т.к. в ней не собираются ПД и кукис.
2️⃣ Если решили оставить Google Analytics, или у вас на сайте какой-то другой иностранный сервис собирает данные, который вам не хочется удалять, то в заявлении в РКН нужно указать, что Осуществляется трансграничная передача данных (но лучше от этого избавится - см. пункт №1)
3️⃣ Разместите в подвале вашего сайта ссылку на документы "Политика обработки Персональных данных" и "Согласие на обработку персональных данных"
При размещении Политики и Согласия — проверяйте, правильно ли внутри нее указаны ссылки на документы. Политика ссылается на Согласие, а Согласие на Политику
В тексте Согласия и Политики должны быть формулировки текстов, которые вы напишете на сайте рядом с галочками в лид-формах. Тексты должны быть одинаковыми везде
Пример наших документов. Пользуйтесь!
🔗 Политика обработки персональных данных
🔗 Согласие на обработку персональных данных
Если у вас на сайте нет лид-форм, либо есть только ссылки перехода в соц.сети по кнопкам «написать нам» или «связаться», то вы на этом сайте не обрабатываете персональные данные и Политику обработки данных размещать НЕ нужно.
4️⃣ Оформление лид-форм на сайтах.
Рядом с каждой формой, где собирается ПД (мейл/телефон + ФИО) поставьте 2 галочки: “Согласие на обработку ПД” и “Согласие на рассылку.” 💰Цена вопроса — 500 000 за каждую жалобу на неправомерную рассылку
Рекомендуемые варианты текстов перед лид-формами:
🔲 «Я даю согласие на обработку персональных данных на условиях Политики обработки персональных данных» 🔲 Я согласен получать рекламные и информационные материалы
Если это не форма, а чат-бот, то вместо галочки под кнопкой подтверждения напишите:
«Нажимая на кнопку “Название кнопки”, я даю согласие на обработку персональных данных на условиях Политики обработки персональных данных»
⚠️ Слово «согласие» и слова «политика обработки» кликабельны и ведут на соответствующие тексты.
Если на сайте есть возможность оплаты и/или регистрация пользователей то вместо Согласия вы размещаете Оферту или Пользовательское соглашение. В этом случае, текст первой галочки должен быть другим:
🔲 «Я принимаю условия Оферты, а также даю согласие на обработку персональных данных на условиях Политики обработки персональных данных»
а в чат-боте:
«Нажимая на кнопку “Название кнопки”, я принимаю условия Оферты, а также даю согласие на обработку персональных данных на условиях Политики обработки персональных данных»
⚠️ Слово «оферта» и слова «политика обработки» кликабельны и ведут на соответствующие тексты.
Для форм вида "Подписка на новости", где берется только телефон и/или email для рассылок и звонков (без сбора ФИО) может быть только одна галочка:
🔲 Я согласен получать рекламные и информационные материалы
⚠️НО! Если для рассылок берется еще и имя, то должно быть 2 галочки: "Согласие на обработку" и "Согласие на рассылку".
5️⃣ Согласие на сбор cookies (куки)
Если на сайте установлена Яндекс.метрика, какие-то счетчики и сайт собирает cookies (куки), то рекомендуем делать незаметные всплывающие окна на сайте с текстом:
“Мы используем файлы cookie, чтобы улучшить работу сайта”
и дальше это окно либо пропадает само, либо можно добавить кнопки «согласен» / «понятно»
6️⃣ Нужно раз в полгода или в год делать аудиты своих сайтов и способов коммуникации (чат-боты, лендинги, квизы, рассылки) на соответствие законодательству о защите персональных данных каждый год. У вас могут появиться новые сайты, новые формы, новые маркетинговые сервисы. Может измениться телефон или ответственное лицо за ПД и пр.
После проведение аудита, нужно подавать уточненные отчеты в РКН. Сделайте эту процедуру рутинной, чтобы в РКН данные были обновлены, и они видели, что вы следите за этим. Так вероятность того, что они к вам придут очень низкая.
Этап №3. Внутренние процессы и документы
Если к вам придет РКН с проверкой, то он запросит у вас большое количество документов. Именно поэтому важно срочно правильно подать заявку и привести в порядок свои средства коммуникации и сайты, чтобы у РКН не возникло желания вас проверять.
Что нужно подготовить обязательно:
1️⃣ Если вы имеете доступ к данным контрагентов вашего клиента — телефоны, потребности, имена, email (актуально для маркетинговых агентств), и используете их во внутренних отчетах, рекламных кампаниях, доработках сайта, автоворонках, то вам стоит в ближайшее время подписать дополнительные соглашения (Поручения на передачу ПД) со всеми клиентами, которые вам такие данные передают.
Если этого не сделать, при проверке вы рискуете неправомерным использованием данных, а ваш заказчик — утечки персональных данных 💰Цена вопроса — несколько миллионов рублей
2️⃣ Входящие звонки в компанию
Если вы их записываете, то нужно обязательно озвучивать звонящему, что "продолжая разговор вы даёте согласие на обработку персональных данных". Запись такого разговора нужно хранить как зеницу ока.
3️⃣ Чек-лист документов, которые вам нужно иметь для предоставления в РКН
Все эти документы организация может подготовить самостоятельно, используя базовые шаблоны кадровых систем или даже ChatGPT.
⚠️ Обязательно нужно учитывать специфику своей деятельности, а не слепо копировать шаблоны.
Базовый пакет документов. Его РКН требует при проверке со всех
Политика обработки персональных данных
Приказ о назначении лиц, ответственных за организацию обработки ПДн и обеспечение безопасности ПДн
Приказ о мерах по обеспечению исполнения требований законодательства РФ о персональных данных
Положение об обработке и обеспечении безопасности персональных данных (внутренний ЛНА)
Инструкция ответственного за организацию обработки персональных данных Заказчика
Инструкция ответственного за обеспечение безопасности персональных данных Заказчика
Инструкция по реализации процедур, направленных на выявление и предотвращение нарушений обработки ПДн
Регламент реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов
Журнал регистрации запросов и обращений субъектов ПДн
Перечень процессов обработки ПДн
Перечень мест хранения ПДн
Перечень процессов передачи ПДн третьим лицам
Перечень информационных систем персональных данных (ИСПДн)
Акт оценки возможного вреда субъектам персональных данных
Порядок уничтожения ПДн, формы актов об уничтожении ПДн
Порядок обезличивания ПДн
Дополнительные документы для организаций с сотрудниками
Перечень работников и других лиц, имеющих доступ к ПДн
Согласие на обработку персональных данных работников
Согласие на обработку персональных данных, разрешенных субъектом для распространения по работникам и контрагентам
Инструкция работника, допущенного к обработке персональных данных Заказчика
Дополнительные документы, если у вас есть свои ИТ-системы
Приказ о системе разграничения доступа к ИСПДн
Методика определения актуальных угроз безопасности ИСПДн
Методика определения уровня защищенности ИСПДн
Методика по выбору и обеспечению мер защиты ИСПДн
Модель угроз безопасности ПДн в ИСПДн
Приказ о назначении комиссии по защите персональных данных
Положение о комиссии по защите персональных данных, технические регламенты и инструкции
Регламент работы подразделения по защите информации
Инструкции пользователей АРМ (автоматизированное рабочее место)
Регламент реагирования на угрозы
Акт оценки информационных систем по классам защищённости
Уточненный адаптированный базовый набор мер защиты ИСПДн
Инструкция администратора ИСПДн
Журнал учёта инцидентов безопасности в ИСПДн
