добровольная сертификация: добровольные стандарты и их юридическое значение.
Оценка воздействия (DPIA)
Проведите оценку воздействия на права субъектов перед запуском новых процессов обработки. Это рекомендуется Роскомнадзором и обязательно по GDPR при высоких рисках.
- убедитесь в наличии SSL;
- обучите сотрудников;
- проверьте наличие согласий во всех формах;
Документация оператора
Обязательные документы: Политика конфиденциальности, Положение об обработке, формы согласия, приказ о назначении DPO, модель угроз, журнал учёта обращений субъектов.
Инциденты безопасности
План реагирования на инциденты должен включать: обнаружение, локализацию, уведомление РКН (72 часа), уведомление субъектов, расследование, устранение, документирование.
Рекомендации по compliance
Проведите аудит форм сбора данных, обновите Политику, настройте cookie-баннер, подайте уведомление в РКН, назначьте DPO, обучите сотрудников.
Технические меры защиты
SSL/TLS, шифрование данных в БД, контроль доступа, логирование, защита от инъекций и XSS, 2FA для администраторов, регулярные бэкапы на территории РФ.
Cookie и трекеры
Cookie-баннер должен информировать о всех типах cookies, предоставлять выбор по категориям и не активировать аналитические скрипты до получения согласия пользователя.
- проверьте локализацию хранения;
- подайте уведомление в Роскомнадзор;
- убедитесь в наличии SSL;
- ведите журнал обращений;
Трансграничная передача
При передаче ПДн за рубеж необходимо убедиться в адекватном уровне защиты в стране-получателе. Список утверждается Роскомнадзором. Для стран не из списка — дополнительные гарантии.
Проверьте свой сайт
Воспользуйтесь бесплатным аудитом help152.ru, чтобы проверить ваш сайт на соответствие 152-ФЗ. Проверка занимает менее 2 минут.