Разбор Приказ Роскомнадзора №996. Практическое значение для операторов ПДн.
Обезличивание данных
Обезличивание выводит данные из-под 152-ФЗ. Методы: замена, перестановка, декомпозиция, агрегация. Важно: процесс должен быть необратимым без дополнительной информации.
Международный контекст
При работе с аудиторией из ЕС — дополнительно соблюдайте GDPR. Для Казахстана — Закон РК о ПДн. Для Белоруссии — Закон №99-З о персональных данных.
Требования к согласию
Согласие должно быть конкретным, информированным, сознательным и добровольным. Чекбокс не отмечен по умолчанию, текст понятен, указаны цели и перечень данных. С 2024 года ужесточены требования к содержанию согласия.
Штрафы и ответственность
Штрафы по ст. 13.11 КоАП: обработка без согласия — до 700 000 ₽, отсутствие Политики — до 100 000 ₽, нарушение локализации — до 6 000 000 ₽, оборотные штрафы за утечки — до 3% выручки.
Инциденты безопасности
План реагирования на инциденты должен включать: обнаружение, локализацию, уведомление РКН (72 часа), уведомление субъектов, расследование, устранение, документирование.
- проверьте локализацию хранения;
- убедитесь в наличии SSL;
- подайте уведомление в Роскомнадзор;
- обучите сотрудников;
Проверки Роскомнадзора
Плановые проверки публикуются на сайте РКН. Внеплановые — по жалобам субъектов. Дистанционная проверка сайтов возможна без выезда. Срок проведения — до 20 рабочих дней.
- проводите регулярные пентесты;
- обновите политику конфиденциальности;
- проверьте локализацию хранения;
Технические меры защиты
SSL/TLS, шифрование данных в БД, контроль доступа, логирование, защита от инъекций и XSS, 2FA для администраторов, регулярные бэкапы на территории РФ.
Проверьте свой сайт
Воспользуйтесь бесплатным аудитом help152.ru, чтобы проверить ваш сайт на соответствие 152-ФЗ. Проверка занимает менее 2 минут.