25.04.2017
За последний год требования Роскомнадзора в сфере защиты персональных данных (ПДн) в ходе проверок стали ощутимо выше, да и наказания за нарушения становятся жестче. Одной из болевых точек бизнеса стало усиление проверок в части обработки ПДн на сайтах и в мобильных приложениях организаций. О том, на что необходимо обратить внимание руководителю компании, чтобы выполнить требования регуляторов и избежать штрафов, аудитории журнала «Генеральный директор» рассказал Алексей Залецкий, начальник отдела информационной безопасности АМТЕЛ-СЕРВИС.
Когда проверяют. Проверить вашу компанию могут как планово, в соответствии с планом проверок на год, который публикуется на сайтах регуляторов, так и внепланово – по жалобам граждан. Также с 2016 года Роскомнадзор начал активно проводить мероприятия систематического наблюдения, в рамках которых сайт вашей организации будет периодически проверяться, например, на наличие Политики в отношении обработки персональных данных или размещение личных данных сотрудников без их согласия (ФИО, должность, фотография).
Что проверяют. Документы по обработке ПДн на web-ресурсах компании должны содержать множество сведений, начиная от того, кто является владельцем и администратором каждого web-ресурса, перечня ПДн, обрабатываемых с помощью сайта/приложения, расположения баз данных, описания функционирования сервисов по регистрации пользователей и личного кабинета, сервисов рассылок, заказов и оплаты, и до таких деталей как сбор и обработка данных счетчиками web-аналитики, например, Яндекс-Метрикой или Гугл-Аналитикой, обоснования прав доступа в мобильных приложениях и пр. Для каждого сайта должна быть разработана Политика конфиденциальности при обработке и хранении ПДн, и она должна быть доступна для пользователя данного сайта. С 1 июля 2017 года отсутствие такой Политики обойдется компании в 30 тыс. рублей.
Где живет сайт. Если ваш сайт или приложение собирает персональные данные граждан России, то первичный сбор должен происходить на территории России. Дальнейшая обработка и хранение ПДн может производиться за рубежом, но при строгом соблюдении требований к трансграничной передаче ПДн. Невыполнение данных условий грозит блокировкой вашего web-ресурса в России.
Когда решать задачу. Проекты по разработке пакета документации и обеспечения защиты web-ресурсов, как правило, являются частью комплексных проектов по защите ПДн. Если у компании появляются новые сайты и приложения, или меняется их функционал – необходимо внести все изменения в документацию, разработать и опубликовать Политики конфиденциальности. Нужно понимать: защита персональных данных это непрерывный процесс, а не разовая задача.
Как решить задачу. Каждый web-ресурс уникален и требует индивидуальной проработки описания в документации. Готовых шаблонов, описывающих именно ваш сайт, не существует. Для малой компании с одним сайтом можно попробовать реализовать все самостоятельно, досконально изучив Политики на подобных сайтах, все процессы и функционал собственного сайта. Однако для компаний, ведущих бизнес в интернет, а также владеющих несколькими web-ресурсами, без помощи профессиональной ИТ-компании не обойтись.
Наше предложение. АМТЕЛ-СЕРВИС работает по индивидуальным проектам среднего и крупного масштаба, среди заказчиков подобных проектов – компания ORIFLAME, Университет «Синергия». Проанализировав реализованные за последний год проекты, мы решили оказывать работы, связанные с разработкой документации по web-ресурсам компаний, бесплатно, в рамках комплексных проектов по защите персональных данных. Данное специальное предложение по защите ПДн будет действовать до конца 2017 года. Также мы готовы обеспечить полное сопровождение проверок Роскомнадзора, гарантируя их успешное прохождение.
Подробнее об акции: www.amtelserv.ru/zpdn.