Организация обработки и защиты персональных данных

Организации, работающие с ПДн, обязаны строго соблюдать требования закона № 152-ФЗ «О персональных данных» и сопутствующих актов. Ниже мы рассмотрим аспекты нормативного регулирования, этапы обработки, технические требования к сайтам и особенности трансграничной передачи личной информации пользователей.

Законные основания обработки ПДн

Процедура возможна исключительно при наличии обоснованных правовых оснований, предусмотренных статьёй 6 Федерального закона № 152-ФЗ:

• получение добровольного согласия от субъекта;
• необходимость обработки для выполнения условий договора;
• исполнение требований действующего законодательства;
• обеспечение защиты жизненно важных интересов субъекта, если невозможно получить его согласие;
• исполнение судебных решений или предписаний государственных органов.

Перед началом работы с ПДн необходимо чётко определить цель обработки и обосновать правомерность для каждой категории информации. Использование личной информации без согласия пользователей допускается исключительно в случаях, прямо обозначенных законом.

Для эффективной организации работы назначается ответственный сотрудник, издаётся приказ и разрабатывается инструкция по его функциям.

Порядок уведомления Роскомнадзора

Согласно статье 22 ФЗ-152, оператор обязан проинформировать органы исполнительной власти о начале обработки ПДн:

• через электронную форму на официальном сайте ведомства с применением усиленной квалифицированной электронной подписи;
• посредством портала Госуслуг, используя авторизацию через ЕСИА (без необходимости электронной подписи);
• направив заполненное и подписанное уведомление в бумажном виде в РКН.

После проверки уведомления организация включается в соответствующий реестр операторов персональных данных.

Для упрощения процедуры подачи уведомлений и снижения рисков получения штрафов рекомендуется по возможности заменять иностранные сервисы российскими аналогами (таким как Яндекс.Метрика, Roistat, VK WorkSpace, Битрикс24 и др.).

Документальное оформление и политика обработки

Организация должна подготовить и утвердить комплект актов, определяющих порядок обработки ПДн. Помимо прочего, необходимо обеспечить размещение политики обработки на официальном сайте, как правило, в футере.

Пользователи интернет-ресурса должны получать чёткое уведомление о сборе информации при заполнении любых форм, а выражение согласия на обработку должно быть явным — без использования заранее отмеченных полей или скрытых согласий.

Технические требования к сайтам

Обязательным требованием является наличие у сайта действующего SSL-сертификата безопасности, который обеспечивает шифрование передаваемых данных между пользователем и сервером, предотвращая их перехват и несанкционированный доступ. Срок действия сертификата должен охватывать текущую дату.

В рамках технического аудита перед запуском ресурса или внедрением новых сервисов рекомендуется:

• создать отдельную страницу на сайте, где пользователи смогут ознакомиться с правилами обработки;
• реализовать механизмы информирования о сборе и использовании данных — например, посредством явного получения согласия при заполнении форм;
• адаптировать все формы и интерфейсные элементы сайта так, чтобы они полностью соответствовали требованиям законодательства.

Кроме того, важно серьезно подойти к вопросу выбора сервисов для обработки, особенно когда речь идет о зарубежных платформах. Применение Google Analytics, Google reCAPTCHA, Facebook Pixel, hCaptcha, PayPal, Cloudflare, Amazon Web Services (AWS), iCloud и подобных инструментов автоматически предполагает передачу данных за пределы Российской Федерации, что классифицируется как трансграничная передача персональных данных.

«Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.»

(п. 11 ст. 3 Федерального закона № 152-ФЗ «О персональных данных»)

В таких ситуациях оператор обязан подать отдельное уведомление в РКН о намерении осуществлять их трансграничную передачу.

Штрафы за нарушения процедуры

При несоблюдении установленных законодательством правил к юридическим лицам могут быть применены меры административного воздействия:

• Нарушение установленного порядка передачи данных за пределы РФ влечёт наложение штрафа от 1 до 6 миллионов рублей.

  Если аналогичное нарушение совершается повторно либо оператор не предоставляет РКН необходимое уведомление, размер штрафа увеличивается: от 6 до 18 миллионов.

• За отсутствие уведомления предусмотрено административное взыскание в размере от 100 до 300 тысяч рублей.
• В случае неисполнения предписания РКН юридическое лицо может быть оштрафовано на сумму до 500 тысяч рублей.

При использовании зарубежных сервисов важно учитывать особенности трансграничной передачи данных, регулируемые статьей 12 закона № 152-ФЗ. Чтобы упростить процедуру подачи заявлений, вы можете рассмотреть возможность перехода на российские аналоги.