Персональні дані

Тим самим нам зрозуміло, що держава має на меті, а наша мета — ці штрафи уникнути.

1. Щодо частини 1 статті 13.11 КоАП РФ, то ще з 2006 року статтею 22 Федерального закону «Про персональні дані» було встановлено обов'язок оператора персональних даних на початок обробки повідомити уповноважений орган із захисту прав суб'єктів персональних даних, тобто Роскомнадзор. Зрозуміло, що повинні-то повинні, але фактично мало хто це зробив своєчасно.

Подати таке повідомлення простіше простого, можна заповнити форму на сайті Роскомнагляду, або направити їм таке повідомлення по-старому Поштою України. Оскільки обидва способи окремо якось не особливо вселяють довіру, то я б на вашому місці використовував обидва способи одночасно.

У деяких випадках ви таке повідомлення не зобов'язані подавати і вони вказані в частині 2 статті 22 152-ФЗ.

2. Якщо на вашому інтернет-сайті є форма зворотного зв'язку, то в ній слід розмістити посилання на текст згоди на обробку персональних даних та передбачити наявність галочки, без проставлення якої неможливо надіслати вам повідомлення.

Якщо на вашому інтернет-сайті передбачена реєстрація, ми пропонуємо замінити згоду на угоду користувача, тобто публічну оферту з розділом про обробку персональних даних. Таким чином, користувач, реєструючись на сайті, висловлює акцепт умов користувальницької угоди та згоди на обробку персональних даних.

Виконавши вищезгадані вимоги, ви уникаєте накладення штрафу, передбаченого частиною 2 статті 13.11 КоАП РФ.

3. Щоб уникнути штрафу, передбаченого частиною 3 статті 13.11 КоАП РФ, вам слід, як мовиться в законі, «забезпечити необмежений доступ» відвідувачів сайту до політикищодо обробки персональних даних.

Якщо говорити простіше, вам слід розмістити посилання на політику конфіденційності в так званому підвалі сайту.

4. Щоб вас не притягнули до відповідальності, передбаченої частин 4 і 5 статті 13.11 КоАП РФ, вам просто доведеться відповідати на запити громадян та Роскомнагляду. Просто воно просто, але як би кількість таких запитів не зажадала б найму спеціальної людини, зайнятої виключно відповідями на ці запити.

Ви самостійно визначаєте склад та перелік заходів, необхідних та достатніх для виконання вимог закону. При цьому на запит Роскомнагляду перед початком перевірки ви протягом 30 днів зобов'язані подати останньому документи та локальні акти, що підтверджують дотримання вами правових, організаційних та технічних заходів для захисту персональних даних від неправомірного або випадкового доступу до них, знищення, зміни, блокування, копіювання, надання, розповсюдження, а також інших неправомірних дій щодо персональних даних.

Якщо говорити простіше, то у вас має бути досить великий пакет документів, який на вимогу Роскомнагляду ви йому зобов'язані надати. До речі, Роскомнагляд перевірку може провести не лише згідно з планом перевірки, а й за заявою будь-якого громадянина, у тому числі і представляє інтереси вашого конкурента.

Якщо після прочитання нашого FAQ за персональними даними ви все ж таки дійшли невтішного висновку, що ви чи ваша компанія є оператором персональних даних, то перед вами постає питання «а що робити?».

Варіантів у Вас насправді кілька:

I. Пакет «Старт».

II. Пакет «Базовий».

У базовий пакет входить повний пакет організаційно-розпорядчої документації необхідної для дотримання вимог Федерального Закону № 152 «Про персональні дані», а також подання електронного повідомлення про обробку (про намір здійснювати обробку) персональних даних до Роскомнагляду. Цей пакет не передбачає аналіз сайту та бізнес-процесів, пакет складається на основі опитувального листа. У пакет включаються такі документи:

  • Наказ про організацію роботи з персональними даними;
  • Положення про комісію з організації роботи з персональними даними та внутрішнього контролю відповідності обробки персональних даних вимогам до захисту персональних даних;
  • Форми плану проведення внутрішньої перевірки;
  • Форми акта контролю за відповідністю обробки персональних даних;
  • Склад комісії з обробки персональних даних;
  • Плану заходів щодо приведення у відповідність до вимог законодавства у сфері персональних даних;
  • Наказу про затвердження локальних нормативних актів у сфері захисту персональних даних;
  • Політики організації щодо обробки персональних даних;
  • Інструкції відповідальних за забезпечення безпеки та організацію обробки персональних даних;
  • Інструкції щодо розгляду звернень суб'єктів персональних даних, їх законних представників, запитів уповноваженого органу щодо захисту прав суб'єктів персональних даних;
  • Таблицю дій у відповідь на звернення суб'єктів персональних даних, їх законних представників, запитів уповноваженого органу захисту прав суб'єктів персональних даних;
  • Журнал обліку звернень суб'єктів персональних даних, їх законних представників, запитів уповноваженого органу захисту прав суб'єктів персональних даних;
  • Форми повідомлення суб'єкта проусунення неправомірних дій із його персональними даними;
  • Форми повідомлення суб'єкта про відмову внесення змін до персональних даних суб'єкта;
  • Форми повідомлення органу захисту прав суб'єктів персональних даних;
  • Інструкції щодо порядку знищення та знеособлення персональних даних суб'єктів персональних даних
  • Форму акту знищення персональних даних;
  • Інструкції щодо резервного копіювання персональних даних;
  • Форми аркуша ознайомлення з вимогами законодавства у сфері захисту персональних даних;
  • Форми зобов'язання про нерозголошення персональних даних;
  • Форми доручення на обробку персональних даних;
  • Форми згоди на обробку персональних даних;
  • Наказу про затвердження переліку осіб, які обробляють персональні дані, місць зберігання матеріальних носіїв персональних даних, інструкції з допуску працівників до обробки персональних даних, порядку доступу до приміщень, у яких ведеться обробка персональних даних;
  • Переліку осіб, які опрацьовують персональні дані;
  • Переліку місць зберігання персональних даних;
  • Переліку оброблюваних персональних даних;
  • Інструкції щодо допуску працівників до обробки персональних даних.

III. Пакет «Бізнес».

Бізнес-пакет передбачає розробку пакета організаційно-розпорядчої документації з урахуванням особливостей вашого бізнесу після детального його аналізу. У вартість також включено консультації та правову підтримку на час впровадження розробленого пакету документів у структуру вашого бізнесу та протягом року після впровадження.

IV. Пакет «Максимум».

Максимальний пакет на додаток до бізнес пакету включає консультації та правову підтримку протягом року, атакож у проходженні перевірки Роскомнагляду.