С 1 июля вступят в силу изменения в п. 5 ст. 18 Федерального закона № 152 «О персональных данных». Они ужесточат требования к хранению данных внутри страны, фактически обязывая операторов отказаться от зарубежных серверов в пользу отечественных.
Что такое персональные данные: ФИО, телефон, почта и т. д., всё, что может идентифицировать пользователя.
Кто такой оператор персональных данных: владелец сайта, на котором есть формы, счетчики и другие скрипты, собирающие данные посетителей.
Если вы владеете сайтом и на сайте есть:
- счетчик статистики,
- формы обратной связи,
- SRM (Supplier Relationship Management (управление отношениями с поставщиками)) — это система управления взаимоотношениями с клиентами, контрагентами,
вы являетесь оператором баз данных!
Как избежать рисков и штрафов:
Первое:
Удалите Google Forms (онлайн-формы), Google Analytics (сервис веб-аналитики) и всё, что может собирать статистику за пределами Российской Федерации, CRM (управление клиентами), счетчики, заграничные облачные сервисы и т. д.
Второе:
При заходе на сайт оповещайте, что ваш сайт использует cookie (данные о пользователе) для хранения данных. Всплывающее сообщение при заходе на сайт примерно с таким содержанием: «Продолжая использовать сайт, посетитель дает согласие на работу с этими файлами».
Третье:
На всех формах обратной связи надо сделать чекбокс (галочка, что отправитель согласен на обработку персональных данных) перед отправкой заполненной формы с сайта.
Четвертое:
Подготовить политику конфиденциальности на своем сайте под новые правила.
Пятое:
На кого зарегистрирован домен? На физлицо или на компанию? В пятом шаге вы заполняете данные того, на кого зарегистрирован домен.
Заходим на сайт - https://pd.rkn.gov.ru/operators-registry/operators-list/, вбиваем свой (организации) ИНН и узнаем, есть ли вы в списке операторов, осуществляющих обработку персональных данных, если видим:
Заполните форму уведомления об обработке (о намерении осуществлять обработку) персональных данных (ссылка на форму): https://pd.rkn.gov.ru/operators-registry/notification/form/
Как сформировать уведомление и направить в электронном виде с использованием средств аутентификации ЕСИА (читайте пункты в Росреестре, выбирайте под себя при необходимости):
Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных»:
- издание оператором документов, определяющих политику оператора в отношении обработки персональных данных;
- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных законодательству;
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Средства обеспечения безопасности:
- использование антивирусных средств защиты информации (перечислите программы, которые используются);
- идентификация и проверка подлинности пользователя при входе в информационную систему по паролю условно-постоянного действия
Использование шифровальных (криптографических) средств:
Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ:
Если у вас Хостинг «Бегет», заполняем так:
ООО «Бегет»
1077847645590
7801451618
Сведения об обеспечении безопасности персональных данных:
- обеспечена сохранность носителей персональных данных;
- используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Отправляем, ждем, меня внесли через 5 дней после отправки:
