Разбор статьи 15 152-ФЗ: маркетинговая обработка. Практика применения.
Обезличивание данных
Обезличивание выводит данные из-под 152-ФЗ. Методы: замена, перестановка, декомпозиция, агрегация. Важно: процесс должен быть необратимым без дополнительной информации.
Рекомендации по compliance
Проведите аудит форм сбора данных, обновите Политику, настройте cookie-баннер, подайте уведомление в РКН, назначьте DPO, обучите сотрудников.
Оценка воздействия (DPIA)
Проведите оценку воздействия на права субъектов перед запуском новых процессов обработки. Это рекомендуется Роскомнадзором и обязательно по GDPR при высоких рисках.
Документация оператора
Обязательные документы: Политика конфиденциальности, Положение об обработке, формы согласия, приказ о назначении DPO, модель угроз, журнал учёта обращений субъектов.
- проверьте наличие согласий во всех формах;
- подготовьте модель угроз;
- ведите журнал обращений;
- убедитесь в наличии SSL;
Международный контекст
При работе с аудиторией из ЕС — дополнительно соблюдайте GDPR. Для Казахстана — Закон РК о ПДн. Для Белоруссии — Закон №99-З о персональных данных.
- проверьте наличие согласий во всех формах;
- настройте мониторинг утечек;
- назначьте ответственного за ПДн;
- проведите аудит процессов обработки ПДн;
Инциденты безопасности
План реагирования на инциденты должен включать: обнаружение, локализацию, уведомление РКН (72 часа), уведомление субъектов, расследование, устранение, документирование.
Реестр операторов
Проверьте наличие вашей организации в реестре операторов ПДн на сайте Роскомнадзора. Отсутствие уведомления — самостоятельное правонарушение по ст. 19.7 КоАП.
Проверьте свой сайт
Воспользуйтесь бесплатным аудитом help152.ru, чтобы проверить ваш сайт на соответствие 152-ФЗ. Проверка занимает менее 2 минут.