• Рабочие часы: 10:00 - 19.00
  • info@globaltrust.ru

Метка: 152-ФЗ

image_pdfimage_print

Приведите Ваш сайт в соответствие с требованиями в области персональных данных

С 2025 года Роскомнадзор предъявляет ряд требований к сайтам, обрабатывающим персональные данные пользователей, несоблюдение которых, с недавних пор, может привести к миллионным штрафам и блокировке ресурса. Восстановление доступа к ресурсу требует значительных усилий и времени, что сказывается на всей деятельности компании.

Не претендуя на полноту изложения, перечислим некоторые из наиболее существенных требований, предъявлямых к сайтам, расскажем как можно самостоятельно и быстро оценить соответствие этим требованиями, и дадим рекомендации по обеспечению соответствия.

Значительное усиление ответственности за нарушения в области персональных данных

В случае нарушения порядка получения и обработки персональных данных, а также их распространение, предусмотрена административная ответственность по ст. 13.11 КоАП РФ. Данной статьей предусмотрено наказание в виде наложения административного штрафа на граждан в размере от двух тысяч до ста тысяч рублей; на должностных лиц – от десяти тысяч до восьмисот тысяч рублей; на юридических лиц – от ста тысяч до восемнадцати миллионов рублей.

Организации, собирающие персональные данные через сайты, обязаны заранее уведомлять Роскомнадзор о начале такой деятельности. Кроме того, все изменения, касающиеся методов обработки данных или состава собираемой информации, также подлежат регистрации. За непредставление в Роскомнадзор уведомлений о начале обработки персональных данных предусмотрены штрафы для ИП и юридических лиц до 300 тысяч рублей (ч. 10 ст. 13.11 КоАП РФ).

Если персональные данные окажутся в открытом доступе из-за халатности компании, ей грозят серьёзные финансовые санкции. Повторные случаи могут повлечь за собой штраф до 3% от годового оборота. Штрафы за непредставление уведомления об утечке персональных данных для ИП и юридических лиц составляют до 3 млн. рублей (ч. 11 ст. 13.11 КоАП РФ).

Обязательность получения явного согласия посетителя сайта на обработку его персональных данных

Посетитель сайта должен чётко подтвердить свое согласие на обработку его персональных данных в соответствии со следующими основными принципами, определенными в 152-ФЗ О персональных данных:

  • Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
  • Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.
  • Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
  • Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора.

Особенно это касается cookie-файлов, которые теперь признаны персональной информацией. Обработка cookie-файлов возможна только с согласия пользователя. Баннеры о cookies должны содержать не просто уведомление, а полноценный выбор — согласие или отказ.

Уведомление о файлах cookie должно содержать ссылку на политику cookie или на общую политику в отношении обработки персональных данных, где имеется раздел про файлы cookie. Это требование установлено требованиями Роскомнадзора, которые в 2025 году фиксируют отсутствие cookie-уведомлений как нарушение закона, особенно при наличии интеграций с Яндекс Метрикой, Google, Facebook (Meta Pixel).

В политике куки (или в политике конфиденциальности и обработки персональных данных) нужно описать, какие cookie-файлы и для каких целей используются на сайте. Ссылки на неё желательно разместить на каждой странице сайта и обязательно — на тех, где происходит сбор пользовательских данных.

Владелец сайта обязан:

  • Информировать пользователей о сборе данных через cookie-файлы, если они не являются критически важными для функционирования сайта (например, для аналитики или персонализированной рекламы).
  • Получить явное согласие пользователя на использование cookie, если они собирают персональные данные или могут передавать их третьим лицам.
  • Описать типы используемых cookie в уведомлении и политике, указать их назначение, срок хранения и другие аспекты.

Запрет на использование иностранных хостингов и сервисов, передающих данные за рубеж

С 1 июля 2025 годазапрещено хранить персональные данные граждан РФ в базах, находящихся за пределами России. Это требование установлено обновлёнными положениями пункта 5 статьи 18 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 года. Данный запрет, однако не носит абсолютного характера.

Любая информация, позволяющая идентифицировать пользователя, должна собираться и храниться на серверах, расположенных на территории Российской Федерации. Использование иностранных облачных хранилищ и аналитических сервисов, которые передают данные за рубеж, считается нарушением закона.

Некоторые нюансы нововведения:

  • Запрет касается первичного сбора данных. Если информация сразу уходит на иностранный сервер, минуя территорию России, — это нарушение.
  • Запрещено использовать, например, сервисы Google Analytics и Google Tag Manager, так как их архитектура предполагает немедленную передачу данных за рубеж.
  • Передавать персональные данные за границу можно только после их локализации в РФ и обязательного уведомления Роскомнадзора.
  • Необходимо иметь законные основания для передачи данных и гарантировать их конфиденциальность.

Размещение сайта на иностранных серверах или облаках приравнивается к трансграничной передаче персональных данных.

С 1 марта 2023 года операторы до начала осуществления деятельности по трансграничной передаче персональных данных обязаны направить в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу персональных данных.

Указанное уведомление будет рассматриваться в порядке, установленном постановлением Правительства Российской Федерации от 16.01.2023 г. № 24 «Об утверждении Правил принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан».

Обязательность опубликования на сайте Политики обработки персональных данных

На всех интернет-ресурсах должна быть размещена подробная Политика обработки персональных данных (Политика конфиденциальности), где чётко прописано, какие данные собираются, для чего они используются, как обрабатываются и где хранятся. Её отсутствие или несоответствие законодательству будет расцениваться как правонарушение. За отсутствие опубликованной политики обработки персональных данных предусмотрены штрафы для юридических лиц до 60 тысяч рублей (ч. 3 ст. 13.11 КоАП РФ).

Роскомнадзор рекомендует включить в Политику следующие структурные компоненты:

  1. Общие положения. В указанном разделе рекомендуется описать назначение Политики, а также включить основные понятия, используемые в ней (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т.д.), перечислить основные права и обязанности оператора и субъекта (ов) персональных данных.
  2. Цели сбора персональных данных. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
  3. Правовые основания обработки персональных данных. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных.
  4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые оператором персональные данные, а также, если применимо, отдельно описать все случаи обработки специальных категорий персональных данных и биометрических персональных данных.
  5. Порядок и условия обработки персональных данных. В данном разделе рекомендуется указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки персональных данных.
  6. Условия передачи персональных данных в адрес третьих лиц. В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи персональных данных в адрес третьих лиц (например, наличие договора поручения на обработку персональных данных), в том числе, находящихся за пределами Российской Федерации (трансграничная передача). При этом рекомендуется указать конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.
  7. Сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона «О персональных данных», а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных».
  8. Условия прекращения обработки персональных данных. Ими может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
  9. Условия и сроки хранения персональных данных. Хранение персональных данных рекомендуется осуществлять в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Рекомендуется указывать иные условия хранения персональных данных, в том числе, при обработке персональных данных без использования средств автоматизации.
  10. Регламент(ы) реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений.

Оценка соответствия сайта требованиям Роскомнадзора

С 2025 года Роскомнадзор усиливает и автоматизирует контроль за сайтами, в том числе и с использованием ИИ инструментов.

Для оценки соответствия Вашего сайта требованиям и рекомендациям Роскомнадзора можно воспользоваться общедоступным сервисом PersDataSec.ru, предоставляемым компанией GlobalTrust.

Там всего за 5 минут можно пройти опрос под названием Самооценка соответствия интернет-сайта требованиям по обработке персональных данных, позволяющий оценить степень соответствия и получить подробные рекомендации по доработке сайта и его содержимого, с учетом требований и рекомендаций Роскомнадзора, не все из которых явным образом прописаны в нормативных документах, однако применяются на практике при проверках сайтов.

Приведение сайта в соответствие с требованиями Роскомнадзора

Для приведения сайта в соответствие с требованиями Роскомнадзора нужно произвести следующие действия:

  1. Провести аудит текущего состояния сайта. Нужно проверить, соблюдает ли сайт требования законодательства: наличие Политики обработки персональных данных в лёгком доступе для ознакомления, корректное использование согласий пользователей, локализацию хранения данных.
  2. Разработать и актуализировать документацию. Необходимо создать или обновить ключевые документы: Политику обработки персональных данных с полным описанием методов сбора и обработки информации, формы согласия пользователей на обработку данных.
  3. Обеспечить техническую безопасность. Нужно установить SSL-сертификаты для защиты передачи данных, внедрить системы мониторинга безопасности для предотвращения взломов и утечек, регулярно обновлять CMS и плагины сайта.
  4. Обучить сотрудников. Персонал должен знать, как собирать, хранить и обрабатывать информацию в соответствии с законом и что может спросить Роскомнадзор при проверке.
  5. Разработать план действий на случай проверки. Нужно подготовить алгоритм взаимодействия с представителями Роскомнадзора: назначить ответственного за взаимодействие с проверяющими, собрать комплект документов, которые могут потребовать инспекторы.

Для профессионального аудита сайта и максимального снижения риска стоит обратиться к специалистам

Два способа обеспечить соответствие организации требованиям информационной безопасности. Опыт GlobalTrust

Проблема обеспечения соответствия в области ИБ

Нормативная база РФ в области защиты информации развивается и в ширь и в глубь, а вместе с ней постоянно ужесточается административная и уголовная ответственность за нарушение установленных требований. Чтобы прочувствовать всю серьезность данного вопроса можно, например, ознакомиться с КоАП РФ Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных, предусматривающей миллионные штрафы для юридических лиц и сотни тысяч рублей для граждан и должностных лиц.

И это только одна из множества карательных статей. Еще серьезней обстоят дела в области регулирования безопасности объектов критической инфраструктуры, государственных информационных систем, платежных и банковских систем.

Если крупные бизнесы еще обладают достаточными ресурсами для реализации программ управления соответствием, то средний и малый бизнес порой оказывается совершенно беспомощным , неожиданно для себя сталкиваясь лицом к лицу с непреодолимыми нормативными требованиями в области ИБ. Будь то плановая или внеплановая проверка со стороны регулятора (Роскомнадзора, ФСТЭК, ФСБ, ЦБ РФ, Минфры), участие в тендере крупных заказчиков, заключении контрактов и т.д. Что делать бизнесу в такой ситуации?

Обширный многолетний опыт компании GlobalTrust в приведении организаций в соответствие с нормативными требованиями подсказывает два основных пути (две стратегии) решения данной проблемы.

Стратегия №1. Комплексный подход к обеспечению соответствия

Первая стратегия предполагает основательный подход к обеспечению соответствия требованиям ИБ, при котором организация обращается к специализированным компаниям, лицензиатам ФСТЭК России, для проведения комплекса мероприятий, призванных разом закрыть все узкие места.

Эти мероприятия начинаются с обследования организации, в ходе которого проводится интервьюирование и анкетирование должностных лиц, анализ внутренней регламентирующей документации, процессов, договоров, изучение состава и структуры корпоративной сети организации, инвентаризации и классификация активов, анализ угроз и многое другое.

По результатам обследования формируется внутренняя нормативная база организации в области ИБ, включающая в себя большой массив взаимосвязанных документов, разработанных с учетом существующих особенностей, возможностей и приоритетов организации.

Также производится проработка технических решений по системе защиты информации в формате техно-рабочего проекта с учетом принятых национальных стандартов в области проектирования защищенных систем. Затем осуществляется поставка, внедрение и сопровождение необходимых средств защиты информации и механизмов контроля.

Достоинства комплексного подхода к обеспечению соответствия

С соответствующими перечнями организационно-технических мероприятий можно ознакомиться, например, на сайте GlobalTrust в разделе Услуги. Такой основательный подход к обеспечению соответствия требованиям ИБ способен дать отличные результаты, при условии, что никто никуда не торопиться, а организация-заказчик способна и готова выделить достаточное количество финансовых средств и прочих ресурсов для решения данной задачи.

Ограничения комплексного подхода к обеспечению соответствия

Но во многих случаях ситуация такова, что нормативных требований много, они выглядят сложными и запутанными, а времени и средств на обеспечение соответствия этим требованиям у организации мало, т.к. на носу проверка регулятора, либо крупный тендер, либо заключение контракта с требовательным к ИБ заказчиком, либо просто надо закрыть данную проблему, отделавшись, при этом, малой кровью. Что делать в этом случае?

Стратегия №2. Начинаем с типовых документов

Существует более экономичная и быстрая стратегия обеспечения соответствия нормативным требованиям в области ИБ, позволяющая (на первых порах) пропустить наиболее трудоемкие этапы, связанные с проведением комплексного обследования организации и технического проектирования системы защиты информации). Основывается она на том соображении, что, поскольку нормативные требования и соответствующие проверки их выполнения носят сугубо формальный характер, то и процесс обеспечения соответствия им также должен носить формальный характер. Другими словами, на любое предписание регулятора в организации должны существовать внутренние документы, охватывающие данное предписания и закрывающие соответствующие вопросы (хотя бы на бумаге).

Это, конечно, не означает, что за этими документами ничего не стоит (не будем впадать в крайности), но в 99% проверяется именно наличие необходимой документации и прочих документальных свидетельств выполнения требований. Никто никогда не захочет разбираться в том, каким образом организация выполняет те или иные требования ИБ, если соответствующие процедуры, методы и средства не документированы (ну, разве что за большие деньги).

Таким образом, второй способ обеспечить соответствие требованиям ИБ заключается в использовании, разработанных в GlobalTrust, типовых организационно-распорядительных документов. Существуют наборы документов для операторов персональных данных, для финансовых организаций, для управления рисками ИБ, а также универсальные комплекты, охватывающие самый широкий круг требований по защите информации.

Достоинства подхода к обеспечению соответствия, основанного на использовании типовых документов

Эти документы с минимальными корректировками и дооформлением подойдут практически любой организации сразу и без существенных изменений, позволив обеспечить «бумажное соответствие» с минимально возможными затратами и в минимально возможный срок. После этого, организация сможет уже не торопясь и в меру своих реальных потребностей перейти к реализации процессов и мер, регламентируемых этими документами.

Ограничения подхода к обеспечению соответствия, основанного на использовании типовых документов

Есть здесь одно но. Приобретать комплекты документов за деньги, конечно, не хочется, т.к. существует общее представление о том, что в интернете можно найти все необходимое бесплатно, либо попросить у друзей. Другое дело приобретать за огромные деньги коммерческое ПО, но к этому уже все привыкли и за ценой никто не постоит, а вот с документацией ситуация иная.

Типовые документы – это комплексная услуга

Это так и выглядит, но только если смотреть на типовые документы как на продукт. Если это просто бумажка, которой вы собираетесь прикрыть причинное место, то разницы где вы ее возьмете особой нет. Но дело в том, что прикрыться просто так не получится. Эти бумажки надо правильно оформить, правильно позиционировать, адаптировать к особенностям организации, согласовать со всеми заинтересованными лицами, быть готовым отвечать на вопросы по содержанию этих бумажек и их взаимосвязям, устранить замечания проверяющих, доработать под свои реальные нужды, а затем еще и поддерживать в актуальном состоянии. Ведь за каждым организационно-распорядительным документом (политикой, положением, регламентом и т.п.) стоит набор весьма значимых для организации процессов, процедур, контролей и защитных мер.

Весь этот комплекс мероприятий по обеспечению соответствия требованиям ИБ (в их бумажной части) уже заложен GlobalTrust в стоимость комплектов типовых документов, включая гарантии соответствия требованиям нормативной базы и устранения возможных несоответствий, актуализацию документов и консультирование по их оформлению, доработке и адаптации, консультационную поддержку согласования и внедрения документов.

Выбор подхода к обеспечению соответствия: классика или agile

Развивая аналогию с ПО, где существует классическая (долгая) схема разработки и более легкая и востребованная на практике agile-стратегия, в области обеспечения соответствия требованиям ИБ организация может выбрать классическую схему – комплексный проект, либо agile-подход – типовые документы по ИБ с их последующей доработкой и внедрением.

Александр Астахов, GlobalTrust

Порядок уничтожения персональных данных, обрабатываемых в информационных системах

В целях обеспечения соответствия процессов обработки персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а также Приказу Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 179 Об утверждении Требований к подтверждению уничтожения персональных данных”, организациям следует определить и зафиксировать во внутренних нормативных документах порядок уничтожения персональных данных, хранящихся в информационной системе персональных данных.

Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Рассмотрим основные положения данного внутреннего нормативного документа оператора персональных данных.

Основания для уничтожения персональных данных

Обрабатываемые в информационных системах персональных данные подлежат уничтожению в следующих случаях:

  • прекращение деятельности оператора
  • истечение срока обработки
  • достижение цели обработки
  • отзыв субъектом согласия на обработку его персональных данных
  • обращение субъекта к оператору с требованием об уничтожении его персональных данных

Данные, не подлежащие уничтожению

При наличии указанных выше оснований, все персональные данные субъекта подлежат уничтожению, за исключением случаев, устанавливаемых законодательством для отдельных категорий персональных данных.

Достижение цели обработки или истечение срока обработки

После увольнения работника организации дальнейшая обработка его персональных данных и персональных данных членов его семьи не производится, учетная запись работника и связанные с ней персональные данные удаляются из базы данных.

Получив уведомление о факте увольнения работника, владелец информационной системы персональных данных направляет администратору этой системы запрос на уничтожение персональных данных соответствующего субъекта, предоставляя администратору в этом запросе данные, позволяющие однозначно идентифицировать субъекта. Такими данными может служить уникальный идентификатор субъекта (совокупность ФИО, номер служебного телефона или адрес служебной электронной почты).

После получения запроса от владельца информационной системы персональных данных, администратором в срок, не превышающий 10 дней, производятся действия по уничтожению данных персональных данных, путем их удаления из баз данных, с составлением Акта уничтожения персональных данных.

Уничтожение персональных данных осуществляется в срок, не превышающий 30 дней, начиная с даты увольнения работника. Контроль соблюдения данного срока осуществляет владелец информационной системы персональных данных.

Отзыв согласия на обработку

В случае отзыва субъектом согласия на обработку персональных данных, ответственный за организацию обработки персональных данных информирует владельца информационной системы персональных данных, который в течение 10 дней рассматривает соответствующее обращение, анализирует его корректность, полноту содержащейся в нем информации, возможность установления личности субъекта, соответствие полученного от субъекта обращения (заявления) требованиям действующего законодательства, после чего принимает решение относительно возможности прекращения обработки персональных данных субъекта и их уничтожения.

В случае принятия владельцем информационной системы персональных данных положительного решения относительно возможности прекращения обработки персональных данных и их удаления из информационной системы, он направляет администратору информационной системы запрос на уничтожение персональных данных соответствующего субъекта, предоставляя администратору в этом запросе данные позволяющие однозначно идентифицировать субъекта. Такими данными может служить уникальный идентификатор субъекта (совокупность ФИО, номер служебного телефона или адрес служебной электронной почты).

После получения запроса на уничтожение персональных данных, администратором информационной системы в срок, не превышающий 10 дней, производятся действия по уничтожению этих данных, путем их удаления из баз данных, с составлением Акта уничтожения персональных данных.

Уничтожение персональных данных осуществляется в срок, не превышающий 30 дней, начиная с даты поступления указанного обращения от субъекта или его законного представителя. Контроль соблюдения данного срока осуществляет владелец информационной системы персональных данных.

Обращение субъекта ПДн с требованием об уничтожении его персональных данных

В случае обращения субъекта персональных данных к оператору с требованием об уничтожении его персональных данных, ответственный за организацию обработки персональных данных в течение 2 рабочих дней информирует об этом владельца информационной системы персональных данных, который в течение 3 рабочих дней рассматривает соответствующее обращение, анализирует его корректность, полноту содержащейся в нем информации, возможность установления личности субъекта, соответствие полученного от субъекта обращения требованиям действующего законодательства, после чего принимает решение относительно возможности прекращения обработки персональных данных субъекта и их уничтожения.

В случае принятия владельцем информационной системы персональных данных положительного решения относительно возможности прекращения обработки персональных данных и их удаления из информационной системы, он направляет администратору информационной системы запрос на уничтожение персональных данных соответствующего субъекта, предоставляя администратору данные позволяющие однозначно идентифицировать субъекта. Такими данными может служить уникальный идентификатор субъекта (совокупность ФИО, номер служебного телефона или адрес служебной электронной почты).

После этого администратором в срок, не превышающий 3 рабочих дней, производятся действия по уничтожению персональных данных, путем их удаления из баз данных, с составлением Акта уничтожения персональных данных.

Уничтожение персональных данных осуществляется в срок, не позднее 10 рабочих дней, начиная с даты поступления указанного требования от субъекта персональных данных или его законного представителя. Контроль соблюдения данного срока осуществляет владелец информационной системы персональных данных.

Уничтожение персональных данных на отчуждаемых электронных носителях

Если для хранения (и передачи) персональных данных используются отчуждаемые электронные носители (USB-накопители, CD-ROM, флэш-память и т.п.), то в организации должен вестись учет этих носителей, а для уничтожения хранящихся на них персональных данных должны использоваться программные шредеры или иные средства гарантированного уничтожения информации, обеспечивающие надежное безвозвратное удаление данных.

Уничтожение персональных данных в базах данных

Подлежащие уничтожению данные хранятся в реляционной базе данных информационной системы.

Уничтожение этих данных, производится штатными средствами информационной системы и/или СУБД, и должно предусматривать удаление соответствующих записей таблиц в продуктивной и тестовой базах данных.

Подтверждение факта уничтожения персональных данных

Во всех приведенных случаях факт уничтожения персональных данных подтверждается комиссией, в состав которой как минимум должны входить владелец и администратор информационной системы.

К акту уничтожения персональных данных должна быть приложена выгрузка из журнала регистрации событий информационной системы, подтверждающая факт уничтожения.

Акты уничтожения персональных данных и выгрузки из журнала регистрации событий подлежат хранению в течение 3 лет с момента уничтожения персональных данных.

Порядок уничтожения персональных данных входит в состав Комплекта типовых документов для операторов персональных данных.

Порядок уведомления Роскомнадзора об инцидентах в области персональных данных

Согласно приказу Роскомнадзора № 187 от 14.11.2022 г. «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных», взаимодействие Роскомнадзора с операторами в случае инцидентов в области персональных данных, с целью получения информации о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, осуществляется в форме направления операторами в Роскомнадзор уведомления о таких фактах.

В связи с этим, все операторы персональных данных должны установить соответствующими внутренними нормативными документами и выполнять предписанный данным приказом порядок уведомления Роскомнадзора об инцидентах в области персональных данных.

Рассмотрим основные положения данного внутреннего нормативного документа оператора персональных данных.

Сроки уведомления Роскомнадзора об инциденте

При возникновении инцидента в области персональных данных Ответственный за организацию обработки персональных данных должен направить в Роскомнадзор соответствующие уведомления:

  • в течение 24 часов: информацию о произошедшем инциденте (первичное уведомление);
  • в течение 72 часов: информацию о результатах внутреннего расследования выявленного инцидента (дополнительное уведомление).

Содержащие первичного уведомления об инциденте

Первичное уведомление об инциденте в области персональных данных должно содержать следующие сведения:

  • о произошедшем инциденте (дату и время выявления инцидента, характеристику персональных данных, количество содержащихся в ней записей;
  • о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных (предварительные причины неправомерного распространения персональных данных, повлекшего нарушение прав субъектов персональных данных);
  • о предполагаемом вреде, нанесенном правам субъектов персональных данных (результаты предварительной оценки вреда);
  • о принятых мерах по устранению последствий соответствующего инцидента (перечень принятых оператором организационных и технических мер по устранению последствий инцидента);
  • о лице, уполномоченном оператором на взаимодействие с Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, по вопросам, связанным с выявленным инцидентом.

данные оператора, направившего уведомление:

  • фамилию, имя и отчество (при наличии) гражданина, индивидуального предпринимателя;
  • полное и сокращенное (при наличии) наименование юридического лица;
  • идентификационный номер налогоплательщика юридического лица, индивидуального предпринимателя, физического лица;
  • адрес регистрации по месту жительства (пребывания) физического лица, индивидуального предпринимателя;
  • адрес юридического лица в пределах места нахождения юридического лица;
  • адрес электронной почты (при наличии) для направления информации;
  • иные сведения и материалы, находящиеся в распоряжении оператора, в том числе об источнике получения информации об инциденте, а также подтверждающие принятие мер по устранению последствий инцидента (при наличии).

В случае если Ответственный за организацию обработки персональных данных на момент направления первичного уведомления располагает сведениями о результатах внутреннего расследования выявленного инцидента, то он вправе указать такие сведения в первичном уведомлении.

Содержание дополнительного уведомления об инциденте

Дополнительное уведомление (о результатах внутреннего расследования выявленного инцидента) должно содержать следующие сведения:

  • о результатах внутреннего расследования выявленного инцидента (информация о причинах, повлекших нарушение прав субъектов персональных данных, и вреде, нанесенном правам субъектов персональных данных, о дополнительно принятых мерах по устранению последствий соответствующего инцидента (при наличии), а также о решении оператора о проведении внутреннего расследования с указанием его реквизитов);
  • о лицах, действия которых стали причиной выявленного инцидента (при наличии) (фамилия, имя, отчество (при наличии) должностного лица оператора с указанием должности (если причиной инцидента стали действия сотрудника оператора), фамилия, имя, отчество (при наличии) физического лица, индивидуального предпринимателя или полное наименование юридического лица, действия которых стали причиной выявленного инцидента, IP-адрес компьютера или устройства, предполагаемое местонахождение таких лиц и (или) устройств (если причиной инцидента стали действия посторонних лиц) и иные сведения о выявленном инциденте, имеющиеся в распоряжении оператора).

Способы направления уведомления об инциденте

Уведомление можно направить двумя способами:

  1. В виде документа на бумажном носителе или в форме электронного документа по адресу Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.
  2. Уведомление в форме электронного документа направляется посредством заполнения специализированной формы, размещенной на Портале персональных данных Роскомнадзора по адресу: pd.rkn.gov.ru, после прохождения процедуры идентификации и аутентификации.

Предоставление в Роскомнадзор недостающих сведений об инциденте

После поступления уведомления в Роскомнадзор оператору по адресу электронной почты, направляются сведения о дате и времени передачи уведомления в информационную систему Роскомнадзор, а также номер и ключ уведомления.

Если оператор направил неполные или некорректные сведения Роскомнадзор не позднее трех рабочих дней со дня получения первичного или дополнительного уведомления направляет запрос оператору о представлении недостающих сведений и пояснений относительно некорректности представленных в уведомлении сведений.

Ответственный за организацию обработки персональных данных должен в течение 3 рабочих дней со дня получения запроса, предоставить актуальную информацию.

Порядок взаимодействия с Роскомнадзором входит в состав Комплекта типовых документов для операторов персональных данных.

Запущен новый сервис самооценки для операторов персональных данных

Новый сервис самооценки, запущенный компанией GlobalTrust на сайте https://PersDataSec.ru/, позволяет представителям операторов персональных данных самостоятельно, не прибегая к помощи специалистов, оценить соответствие своей организации требованиям законодательства и нормативной базы РФ в области персональных данных и защиты информации, включая:

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
  • Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
  • Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
  • Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

Выбирайте подходящих опрос, проставляйте галочки и мгновенно получайте подробный отчет о соответствии, а также сертификат соответствия на экран и на электронную почту. Самооценка занимает не более 10 минут. Сервис работает полностью автоматически. Ручная обработка Ваших анкет не производится.

Сервис бесплатен и очень прост в использовании. Переходите по ссылке, проходите самооценку и получайте сертификат соответствия:

https://PersDataSec.ru/