Уведомление Роскомнадзора — обязательная процедура для операторов персональных данных. Разбираем уведомление при трансграничной передаче подробно.
Обязательные документы оператора
Оператор обязан иметь: Политику конфиденциальности (ст. 18.1), Положение об обработке ПДн, формы согласия, приказ о назначении ответственного, модель угроз (приказ ФСТЭК №21).
Технические меры защиты
SSL-сертификат (HTTPS), шифрование данных в БД, контроль доступа, логирование действий, защита от SQL-инъекций и XSS, двухфакторная аутентификация для администраторов.
Рекомендации по compliance
Проведите аудит всех форм сбора данных на сайте, обновите Политику конфиденциальности, настройте cookie-баннер, подайте уведомление в Роскомнадзор, назначьте ответственного за ПДн.
- убедитесь в наличии SSL-сертификата;
- назначьте ответственного за обработку ПДн;
- обновите политику конфиденциальности на сайте;
Требования к согласию на обработку
Согласие должно быть конкретным, информированным, сознательным и добровольным (ст. 9 152-ФЗ). На практике это означает: чекбокс не отмечен по умолчанию, текст согласия понятен, указаны цели обработки и перечень данных.
- настройте cookie-баннер с возможностью отказа;
- подготовьте модель угроз безопасности;
- проведите аудит текущих процессов обработки ПДн;
- проверьте локализацию хранения данных;
- назначьте ответственного за обработку ПДн;
Проверьте свой сайт
Воспользуйтесь бесплатным аудитом help152.ru, чтобы проверить ваш сайт на соответствие 152-ФЗ и другим требованиям законодательства РФ. Проверка занимает менее 2 минут и выявляет все ключевые нарушения с конкретными рекомендациями по исправлению.