Разбор Приказ ФСТЭК №21 для владельцев сайтов. Требования, штрафы, рекомендации.
Трансграничная передача
При передаче ПДн за рубеж необходимо убедиться в адекватном уровне защиты в стране-получателе. Список утверждается Роскомнадзором. Для стран не из списка — дополнительные гарантии.
Обезличивание данных
Обезличивание выводит данные из-под 152-ФЗ. Методы: замена, перестановка, декомпозиция, агрегация. Важно: процесс должен быть необратимым без дополнительной информации.
Международный контекст
При работе с аудиторией из ЕС — дополнительно соблюдайте GDPR. Для Казахстана — Закон РК о ПДн. Для Белоруссии — Закон №99-З о персональных данных.
Требования к согласию
Согласие должно быть конкретным, информированным, сознательным и добровольным. Чекбокс не отмечен по умолчанию, текст понятен, указаны цели и перечень данных. С 2024 года ужесточены требования к содержанию согласия.
- проведите аудит процессов обработки ПДн;
- проводите регулярные пентесты;
- обучите сотрудников;
Инциденты безопасности
План реагирования на инциденты должен включать: обнаружение, локализацию, уведомление РКН (72 часа), уведомление субъектов, расследование, устранение, документирование.
Автоматизация аудита
Используйте сервис help152.ru для автоматической проверки сайта на соответствие 152-ФЗ и другим требованиям. Бесплатный аудит за 2 минуты.
Оценка воздействия (DPIA)
Проведите оценку воздействия на права субъектов перед запуском новых процессов обработки. Это рекомендуется Роскомнадзором и обязательно по GDPR при высоких рисках.
- убедитесь в наличии SSL;
- проверьте наличие согласий во всех формах;
- настройте мониторинг утечек;
- обучите сотрудников;
- подайте уведомление в Роскомнадзор;
Проверьте свой сайт
Воспользуйтесь бесплатным аудитом help152.ru, чтобы проверить ваш сайт на соответствие 152-ФЗ. Проверка занимает менее 2 минут.