1.1
Осуществляете ли обработку специальных категорий ПДн?
Данные о расовой/национальной принадлежности, политических взглядах, религиозных/философских убеждениях, здоровье, интимной жизни.
Сопровождение бизнеса по 152-ФЗ
Разработка документов и регистрация в Роскомнадзоре
Помогаем компаниям выполнить требования Федерального закона "О персональных данных" и избежать штрафов.
Всё, что нужно бизнесу для соблюдения 152-ФЗ
Регистрация в реестре Роскомнадзора
Полное сопровождение процедуры от подготовки документов до получения официального подтверждения. Оплата наших услуг только после регистрации.
Документы по 152-ФЗ “под ключ”
Разрабатываем пакет внутренних документов:
Политику обработки ПДн, положения, инструкции, приказы, согласия, журналы – всё, что требует закон.
Аудит и рекомендации для вашего сайта
Проверим сайт на соответствие требованиям закона (наличие политики, формы согласия и пр.) и дадим письменные рекомендации, как устранить нарушения.
Консультации и поддержка
Объясним как правильно работать с персональными данными, ответим на вопросы и поможем подготовиться к возможной
проверке.
Предварительная проверка готовности к 152-ФЗ
Определите, насколько ваш бизнес соответствует требованиям закона о персональных данных, и получите рекомендации по устранению нарушений.
0/16 завершено
Раздел 1
Категории обрабатываемых данных и основы законности
1.2
Осуществляете ли обработку биометрических ПДн?
ч. 1 ст. 11 ФЗ-152
Сведения о физиолого-биологических особенностях (изображение лица, запись голоса) для идентификации личности.
1.3
Локализованы ли базы ПДн (собранных через Интернет) в РФ?
ч. 5 ст. 18 ФЗ-152
Если сайт собирает данные граждан РФ — первичное хранение БД должно быть в России.
1.4
Есть ли правовое основание обработки ПДн (согласие/договор/закон)?
п. 1, п. 2 ч. 1 ст. 6 ФЗ-152
Нужно документально подтвердить законность (договор, норма закона или отдельное согласие).
1.5
Опубликована и доступна Политика обработки ПДн?
п. 2 ч. 1, ч. 2 ст. 18.1 ФЗ-152
Публичная Политика + сведения о защите ПДн (обычно на сайте).
1.6
Зарегистрированы ли вы в реестре операторов ПДн (РКН)?
ст. 22 ФЗ-152
Уведомление о начале обработки персональных данных направляется в Роскомнадзор до начала обработки, если не подпадаете под исключения.
Раздел 2
Права субъектов и трансграничная передача
2.1
Осуществляете ли трансграничную передачу ПДн?
ч. 1 ст. 12 ФЗ-152
Передача ПДн в иностранные государства (хостинг/подрядчики/сервисы).
2.2
Есть ли процедуры обработки запросов субъектов ПДн?
п. 3 ч. 2 ст. 18.1 ФЗ-152
Порядок приёма/ответа на запросы о доступе, уточнении, удалении ПДн.
2.3
Используете ли ПДн для прямого маркетинга без предварительного согласия?
ч. 1 ст. 15 ФЗ-152
Звонки/рассылки без явно выраженного согласия субъекта ПДн.
Раздел 3
Организационные меры и безопасность
3.1
Проведена ли оценка вреда (высокая/средняя/низкая)?
п. 5 ч. 1 ст. 18.1 ФЗ-152
Определение степени риска для субъектов при нарушении ФЗ-152.
3.2
Назначено ли ответственное лицо за ПДн?
п. 1 ч. 1 ст. 18.1 ФЗ-152
Приказом закреплён сотрудник, отвечающий за обработку ПДн.
3.3
Проводится ли внутренний контроль/аудит соответствия?
п. 4 ч. 1 ст. 18.1 ФЗ-152
Регулярные проверки соблюдения законодательства и ЛНА.
3.4
Ознакомлены ли работники с требованиями по ПДн?
п. 6 ч. 1 ст. 18.1 ФЗ-152
Обучение/ознакомление под роспись сотрудников, работающих с ПДн.
3.5
Разработана ли Модель угроз ИСПДн?
п. 1 ч. 2 ст. 19 ФЗ-152
Документ с описанием актуальных угроз как основа выбора мер защиты.
3.6
Приняты ли правовые, организационные и технические меры защиты ПДн?
ч. 1 ст. 19 ФЗ-152
СЗПДн в соответствии с требуемым уровнем защищённости.
3.7
Проводится ли контроль требований защиты ПДн не реже 1 раза в 3 года?
п. 17 ПП РФ № 1119
Регулярная проверка/аудит эффективности мер защиты.
Выводы
Результаты самооценки и необходимые действия
Критические нарушения — требуется первоочередное устранение
Специальные требования — зависят от вида деятельности/процессов
Техническая и организационная защита
Прочие замечания и рекомендации
Регистрация в РКН
При ответе «Не знаю» рекомендуется провести аудит и подтвердить выполнение требований документально.
Статистика, говорящая сама за себя
100+
Зарегистрированных клиентов в реестре Роскомнадзора.
19 дней
Средний срок получения подтверждения регистрации.
100%
Успешных регистраций без возвратов и отказов.
Цены на наши услуги
Регистрация в
Роскомнадзоре
Подготавливаем комплект документов и сопровождаем регистрацию оператора персональных данных на портале РКН.
Оплата — только после получения официального подтверждения.
Этапы работы
- Заполнение опросника
Клиент отвечает на вопросы, необходимые для подготовки регистрационных данных. Если возникают трудности, мы помогаем заполнить форму корректно. - Подготовка и подача документов
Мы оформляем уведомление на портале РКН. Если у клиента настроен вход через Госуслуги — помогаем отправить документы онлайн. При отсутствии доступа направляем уведомление в формате PDF для отправки Почтой России. - Отслеживание регистрации
Контролируем процесс рассмотрения уведомления на портале РКН и информируем клиента сразу после внесения организации в официальный реестр.
5 500 руб.
Пакет внутренних
документов
Индивидуальная разработка полного комплекта документов с учётом специфики компании. Включает все обязательные приказы, инструкции, положения, модели угроз, регламенты и формы в соответствии с требованиями 152-ФЗ. Предусмотрены консультации по внедрению. Оплата — в течение 3 рабочих дней после передачи готовых документов, без предоплаты.
Этапы работы
- Заполнение опросника
Клиент заполняет краткую форму с данными о компании, бизнес-процессах и составе персональных данных. При необходимости помогаем корректно указать сведения. - Определение состава и разработка документов
После изучения заполненного опросника мы определяем конечный перечень документов, необходимых именно для вашей организации, и разрабатываем их в соответствии с требованиями 152-ФЗ. - Передача и инструкция по внедрению
Передаём готовые документы в формате DOC для печати и хранения, а также подробную инструкцию по утверждению и применению на практике.
17 000 руб.
Регистрация и документация под ключ
Комплексное сопровождение по 152-ФЗ: регистрация в Роскомнадзоре и подготовка полного пакета внутренних документов с учётом специфики компании. Оплата — 15 000 ₽ за документы в течение 3 рабочих дней после их передачи и 5 000 ₽ за регистрацию — после внесения организации в реестр РКН.
Этапы работы
- Заполнение опросника
Клиент предоставляет базовую информацию о компании и способах обработки персональных данных. Помогаем корректно заполнить форму, чтобы исключить ошибки при регистрации и подготовке документов. - Определение состава документов и регистрация
На основании опросника формируем индивидуальный комплект документов и подготавливаем уведомление для Роскомнадзора. При необходимости обеспечиваем подачу через портал РКН или Почту России. - Передача готового пакета и подтверждение регистрации
Передаём все документы в формате DOC и сопровождаем процесс до получения официального подтверждения о включении организации в реестр операторов персональных данных.
20 000 руб.
Аудит и документы для сайта
Проверяем сайт на соответствие требованиям 152-ФЗ: формы, политика, согласия, обработка заявок. Подготавливаем корректные тексты документов и даём рекомендации по устранению нарушений. Оплата — после предоставления отчёта и готового комплекта документации.
Этапы работы
- Получение исходных данных
Клиент сообщает адрес сайта и краткое описание деятельности. - Проведение аудита
Проверяем сайт на соответствие требованиям 152-ФЗ: корректность размещения политики конфиденциальности, согласий, форм сбора данных. - Отчёт и документы
Готовим отчёт с выявленными несоответствиями и рекомендациями по их устранению. Прилагаем адаптированные под сайт тексты документов (политику, согласие, пользовательское соглашение). - Консультация по внедрению
Поясняем, как разместить документы и реализовать технические изменения для полного соответствия требованиям Роскомнадзора.
6 000 руб.
FAQ – частые вопросы клиентов
Что понимается под термином «оператор персональных данных» и «обработка персональных данных» согласно 152-ФЗ?
Оператором персональных данных признается юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки, состав подлежащих обработке персональных данных и действия (операции), совершаемые с ними. Например, организация является оператором персональных данных в отношении своих сотрудников и иных физических лиц, чьи данные она получает.
Обработка персональных данных – это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными. Это включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Обязан ли оператор персональных данных подавать уведомление в Роскомнадзор, и в какой срок?
Да, оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Уведомление должно быть подано до начала осуществления обработки персональных данных.
Какое требование установлено законодательством Российской Федерации относительно места хранения баз данных персональных данных граждан РФ?
Согласно части 5 статьи 18 152-ФЗ, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", не допускается хранить их, используя базы данных, находящиеся за пределами территории Российской Федерации.
Какие типы мер по обеспечению безопасности персональных данных должен принимать оператор?
В соответствии со статьей 19 152-ФЗ, оператор обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
Безопасность достигается, в частности, путем:
1. Определения угроз безопасности персональных данных.
2. Применения организационных и технических мер, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных.
3. Установления правил доступа к персональным данным и обеспечения регистрации и учета всех действий, совершаемых с ними.
4. Контроля за принимаемыми мерами по обеспечению безопасности.
Состав и содержание этих мер устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации
В каких случаях требуется получать согласие субъекта на обработку его персональных данных, и каким требованиям оно должно соответствовать?
Обработка персональных данных допускается только при наличии согласия субъекта персональных данных (Пункт 1 части 1 статьи 6 152-ФЗ), за исключением случаев, когда обработка необходима для исполнения закона, договора, защиты жизни/здоровья субъекта или в иных законных целях, перечисленных в части 1 статьи 6 152-ФЗ.
Особые требования предъявляются к согласию на обработку в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов (директ-маркетинг), а также в целях политической агитации — такая обработка допускается только при условии предварительного согласия субъекта персональных данных.
Само согласие должно быть:
1. Конкретным, предметным, информированным, сознательным и однозначным.
2. Оформлено отдельно от иной информации и (или) документов, которые подтверждает и (или) подписывает субъект.
В какой срок оператор обязан прекратить обработку персональных данных по требованию субъекта?
Сроки прекращения обработки зависят от основания требования:
1. Общее требование о прекращении обработки: Оператор обязан прекратить обработку в срок, не превышающий десяти рабочих дней с даты получения требования субъекта персональных данных (за исключением случаев, предусмотренных п.п. 2 – 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 152-ФЗ). Этот срок может быть продлен не более чем на пять рабочих дней при направлении мотивированного уведомления.
2. Обработка в целях продвижения товаров (директ-маркетинг) или политической агитации: Оператор обязан прекратить обработку немедленно по требованию субъекта персональных данных (Часть 2 статьи 15 152-ФЗ).
Какая административная ответственность установлена за невыполнение оператором обязанности по уведомлению Роскомнадзора?
За невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных (часть 10 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях) предусмотрены следующие административные штрафы:
• На граждан – в размере от пяти тысяч до десяти тысяч рублей.
• На должностных лиц – от тридцати тысяч до пятидесяти тысяч рублей.
• На юридических лиц – от ста тысяч до трехсот тысяч рублей.
Нарушение законодательства о рекламе и персональных данных также влечет за собой ответственность в соответствии с законодательством Российской Федерации об административных правонарушениях
Какие конкретные обязательства в области внутренней организационной структуры и контроля должен выполнить оператор, являющийся юридическим лицом?
Оператор, являющийся юридическим лицом, обязан принять меры, необходимые и достаточные для обеспечения выполнения требований 152-ФЗ, включая организационные меры.
К таким мерам, в частности, относятся:
1. Назначение ответственного за организацию обработки персональных данных.
2. Издание локальных актов, определяющих политику оператора в отношении обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ и устранение их последствий.
3. Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям законодательства РФ, принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора и локальным актам оператора
Приведите ваш бизнес в полное соответствие с 152-ФЗ
Оставьте заявку — мы проверим, нужны ли вашей компании регистрация и документы по персональным данным, и предложим решение под ключ без штрафов и рисков.
Хотите разобраться в требованиях 152-ФЗ подробнее?
Читайте наши разборы и советы по защите персональных данных в нашем блоге