г. Волгоград(8442) 26-86-84

Что нужно знать предпринимателю о защите персональных данных?

Что нужно знать предпринимателю о защите персональных данных?

Основные понятия:

1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

4) автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

5) распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

6) предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

7) блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

8) уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

9) обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

10) информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

11) трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

12) Компания – организация или индивидуальный предприниматель — работодатель, оператор персональных данных;

13) информация — сведения (сообщения, данные) независимо от формы их представления;

14) документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

Сведения о персональных данных относятся к числу конфиденциальных (составляющих охраняемую законом тайну Компании). Режим конфиденциальности в отношении персональных данных снимается:
в случае их обезличивания;
по истечении 75 лет срока их хранения;
в других случаях, предусмотренных федеральными законами.

Компания не имеет права получать и обрабатывать персональные данные субъекта о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ Компания вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.

Обработка персональных данных субъектов возможна только с их согласия либо без их согласия в следующих случаях:
персональные данные являются общедоступными;
персональные данные относятся к состоянию здоровья субъекта, и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта невозможно;
по требованию полномочных государственных органов — в случаях, предусмотренных федеральным законом.

Компания вправе обрабатывать персональные данные субъектов только с их письменного согласия.
Письменное согласие субъекта на обработку своих персональных данных должно включать в себя:
фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
цель обработки персональных данных;
перечень персональных данных, на обработку которых дается согласие субъекта персональных данных.

Согласие субъекта не требуется в следующих случаях:
обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия Компании;
обработка персональных данных в целях исполнения договора;
обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение его согласия невозможно.

Субъект представляет Компании достоверные сведения о себе.
В соответствии со ст. 86 ТК РФ в целях обеспечения прав и свобод человека и гражданина руководитель Компании и его законные, полномочные представители при обработке персональных данных субъекта должны выполнять следующие общие требования:
Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
Защита персональных данных субъекта от неправомерного их использования, утраты обеспечивается Компанией за счет ее средств в порядке, установленном федеральным законом.
Во всех случаях отказ субъекта от своих прав на сохранение и защиту тайны недействителен.
При передаче персональных данных субъекта Компания должна соблюдать следующие требования:
Не сообщать персональные данные третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральным законом.
Не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия. Обработка персональных данных субъектов в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
Предупредить лиц, получивших персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные субъекта, обязаны соблюдать режим секретности (конфиденциальности). Данный Регламент не распространяется на обмен персональными данными субъектов в порядке, установленном федеральными законами.
Разрешать доступ к персональным данным субъектам только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
Не запрашивать информацию о состоянии здоровья субъекта, за исключением тех сведений, которые относятся к вопросу о возможности выполнения субъектом своих обязанностей.
Передавать персональные данные субъекта его законным, полномочным представителям в порядке, установленном законом и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
Персональные данные субъектов обрабатываются и хранятся по адресу местонахождения Компании.
Персональные данные компании могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).
Право доступа к персональным данным субъектов имеют:
руководитель Компании;
работники отдела кадров;
работники бухгалтерии;
руководители структурных подразделений.

Хранение персональных данных субъектов осуществляется на электронных, а также при необходимости на бумажных носителях.
Документы персонального характера хранятся в сейфах подразделений, ответственных за ведение и хранение таких документов.
Помещения, в которых хранятся персональные данные субъектов, оборудуются запирающими устройствами. Доступ к ЭВМ, на которых осуществляется обработка персональных данных, находится под защитой паролей.

Субъект имеет право:
Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные.
Требовать от Компании уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для Компании персональных данных.
Получать от Компании:
сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
перечень обрабатываемых персональных данных и источник их получения;
сроки обработки персональных данных, в том числе сроки их хранения;
сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Компании при обработке и защите его персональных данных.
Копировать и делать выписки персональных данных субъекта разрешается исключительно в служебных целях с письменного разрешения руководителя Компании.

Основные нарушения:
— отсутствуют сведения о назначении ответственного за организацию обработки ПДн (п. 1 ч. 1 ст. 18.1 Закона о ПДн);
— отсутствуют документы, определяющие политику организации в отношении обработки ПДн, и локальные акты по вопросам их обработки (п. 2 ч. 1 ст. 18.1 Закона о ПДн);
— отсутствует документ, определяющий оценку вреда, который может быть причинен субъектам ПДн в случае нарушения Закона о ПДн, а также соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о ПДн (п. 5 ч. 1 ст. 18.1 Закона о ПДн);
— не представлены сведения об ознакомлении работников оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе требованиями к защите ПДн документами, определяющими политику оператора в отношении обработки ПДн, и (или) об обучении указанных работников (п. 6 ч. 1 ст. 18.1 Закона о ПДн);
— нарушено требование по информированию лиц, осуществляющих обработку ПДн без использования средств автоматизации (п. 6 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 N 687, далее — Положение);
— не утвержден перечень лиц, осуществляющих обработку и имеющих доступ к ПДн (п. 13 Положения).

Какая ответственность?

Статья 13.11 КоАП РФ:
1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, —
влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от тридцати тысяч до пятидесяти тысяч рублей.
2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, —
влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от пятнадцати тысяч до семидесяти пяти тысяч рублей.
3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных —
влечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц — от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от пятнадцати тысяч до тридцати тысяч рублей.
4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, —
влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц — от четырех тысяч до шести тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц — от двадцати тысяч до сорока тысяч рублей.
5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, —
влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц — от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от двадцати пяти тысяч до сорока пяти тысяч рублей.
6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния —
влечет наложение административного штрафа на граждан в размере от семисот до двух тысяч рублей; на должностных лиц — от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от двадцати пяти тысяч до пятидесяти тысяч рублей.
7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных —
влечет предупреждение или наложение административного штрафа на должностных лиц в размере от трех тысяч до шести тысяч рублей.

Статья 5.39 КоАП РФ:
Неправомерный отказ в предоставлении гражданину, в том числе адвокату в связи с поступившим от него адвокатским запросом, и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации —

влечет наложение административного штрафа на должностных лиц в размере от одной тысячи до трех тысяч рублей.

Статья 5.27 КоАП РФ:
1. Нарушение трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права, —

влечет предупреждение или наложение административного штрафа на должностных лиц в размере от одной тысячи до пяти тысяч рублей; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, — от одной тысячи до пяти тысяч рублей; на юридических лиц — от тридцати тысяч до пятидесяти тысяч рублей.

2. Совершение административного правонарушения, предусмотренного частью 1 настоящей статьи, лицом, ранее подвергнутым административному наказанию за аналогичное административное правонарушение, —

влечет наложение административного штрафа на должностных лиц в размере от десяти тысяч до двадцати тысяч рублей или дисквалификацию на срок от одного года до трех лет; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от пятидесяти тысяч до семидесяти тысяч рублей.

Ст. 137 УК РФ:
1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации —
наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок до трехсот шестидесяти часов, либо исправительными работами на срок до одного года, либо принудительными работами на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

2. Те же деяния, совершенные лицом с использованием своего служебного положения, —
наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

3. Незаконное распространение в публичном выступлении, публично демонстрирующемся произведении, средствах массовой информации или информационно-телекоммуникационных сетях информации, указывающей на личность несовершеннолетнего потерпевшего, не достигшего шестнадцатилетнего возраста, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий, повлекшее причинение вреда здоровью несовершеннолетнего, или психическое расстройство несовершеннолетнего, или иные тяжкие последствия, —
наказывается штрафом в размере от ста пятидесяти тысяч до трехсот пятидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период от восемнадцати месяцев до трех лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от трех до пяти лет, либо принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до шести лет или без такового, либо арестом на срок до шести месяцев, либо лишением свободы на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до шести лет.

Что нужно сделать?

  1. Что нужно сделать как работодателю.
  2. Назначьте ответственного сотрудника (или отдел) для организации и начала работы, связанной с персональными данными;
  3. Составьте список всех информационных ресурсов и баз данных на вашем предприятии, которые содержат персональные данные (личные дела работников, справочная база данных по сотрудникам с телефонами и адресами и т. д.);
  4. Установите, на основании чего были созданы ресурсы и информационные базы, содержащие персональные данные (требования закона, производственная  необходимость, пр.);
  5. Составьте перечень персональных данных (общие — Ф. И. О., дата и место рождения, адрес, гражданство, паспортные данные, образование, ИНН; специальные — состояние здоровья, наличие судимости, имущественное положение и т. д.)
  6. Зафиксируйте источники получения персональных данных (работники, третьи лица, публичные источники)
  7. Установите способы обработки персональных данных (на бумажном или электронном носителях), а также возможность (или невозможность) их передачи по внутренней сети организации и по сети Интернет;
  8. Определите сроки хранения и сроки обработки данных (по каждому информационному ресурсу)
  9. Составьте список лиц, имеющих доступ к персональным данным (как сотрудников своей компании, так и сторонних, например, в случае передачи персональных данных для их обработки третьим лицам по договору, согласно которому расчетом заработной платы занимается аутсорсинговая компания);
  10. Пропишите порядок движения персональных данных в организации — между отделами и сотрудниками (в каких случаях осуществляется, каким образом и
  11. Зафиксируйте условия хранения персональных данных (отдельное помещение, доступ по электронным картам, сигнализация, сейф и пр.);
  12. Продумайте меры по обеспечению безопасности персональных данных (особый режим, «тонкие» места, где возможна утечка или кража данных, как они могут быть обнаружены, меры ответственности за нарушения, взаимодействие с проверяющими и другими госорганами по передаче персональных данных и т. д.);
  13. Установите ответственных сотрудников (это может быть и одно лицо), которые отвечают за сохранность персональных данных по каждому информационному ресурсу, существующему в организации;
  14. Составьте перечень необходимых документов для обеспечения безопасности персональных данных (положение о персональных данных, согласие работника на их обработку, приказы, документы по обеспечению доступа и т. д.).

Примерный перечень документов, необходимых для работодателя.

  1. Список лиц, допущенных к работе с ПДн (должность, Ф.И.О., основания для доступа, пределы доступа).
  2. Положение о работе с ПДн.
  3. Инструкция о защите ПДн при использовании бумажных и любых других носителей информации, вычислительной техники и автоматизированных систем обработки и (или) передачи данных.
  4. Приказ о назначении лица или подразделения, ответственных за работу и обеспечение защиты ПДн, и наделении их соответствующими полномочиями.
  5. Должностные инструкции лиц, ответственных за защиту информации.
  6. План мероприятий по защите информации.
  7. Перечень защищаемых объектов информатизации.
  8. Приказ о вводе в эксплуатацию средств вычислительной техники, обрабатывающих информацию ограниченного доступа.
  9. Приказ (распоряжение) о закреплении ПЭВМ за ответственными лицами.
  10. Технические паспорта на защищаемые объекты информатизации.
  11. Документация и лицензии на ПО, не только непосредственно используемое для обработки ПДн, но и все остальное, установленное (используемое) на данной ПЭВМ.
  12. Приказ о вводе защищаемого помещения в эксплуатацию и назначении ответственного за помещение лица (если при обработке ПДн используется отдельное помещение).
  13. Приказ (распоряжение) о хранении информации ограниченного доступа на машинных носителях информации.
  14. Инструкция по защите речевой информации при проведении конфиденциальных совещаний.
  15. Приказ о запрете использования в защищаемых помещениях радиотелефонов, сотовых и пейджинговых устройств при проведении конфиденциальных совещаний.
  16. Инструкция по обеспечению информационной безопасности при подключении к информационно-вычислительным сетям общего пользования (Интернет и т. п.).
  17. Инструкция по антивирусной защите.
  18. Перечень защищаемых ресурсов в локально-вычислительной сети, таблицы разграничения доступа.
  19. Приказ о назначении ответственного за эксплуатацию средств защиты информации.
  20. Журнал (карточки) учета средств защиты информации.
  21. План внутренних проверок состояния защиты ПДн.
  22. Журнал учета мероприятий по контролю.
  23. Журнал учета обращений субъектов ПДн о выполнении их законных прав.
  24. Письменные согласия работников на обработку ПДн.
  25. Электронный журнал обращений пользователей информационной системы к ПДн.
  26. Журналы (книги) учета движения документов (иных носителей), содержащих ПДн.
  27. (!) Обратите внимание: перечень примерный и с учетом специфики организации он может быть меньше.
  1. Что нужно сделать как продавцу.
  2. при получении персональных данных покупателя до заключения договора купли-продажи товара дать покупателю подписать «Согласие на обработку персональных данных» (Приложение 1).
  3. подать уведомление об обработке персональных данных в Роскомнадзор (http://pd.rkn.gov.ru/operators-registry/notification/form/), за исключением случаев:

— получения ПД в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
— включающих в себя только фамилии, имена и отчества субъектов персональных данных.

  1. обрабатывать персональные данные согласно требованиям, указанным выше.
  1. Что нужно сделать на сайте.

Если на вашем сайте накапливаются, хранятся или каким-то образом используются в работе персональные данные (ФИО, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, данные о поведении пользователя на сайте, cookie, сведения о геопозиции и IP-адрес), то, с точки зрения закона, вы признаетесь оператором персональных данных и обязаны обрабатывать их в соответствии с ФЗ № 152 «О персональных данных».
1. Добавить текст согласия на обработку персональных данных.
Под каждой формой ввода данных на сайте (регистрация, заявки на услугу, обратный звонок) разместить текст «Нажимая на кнопку «Название кнопки», я даю согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на документ.
Вместо согласия можно использовать единую публичную оферту, но в ней будет нужно прописать, в каких целях, какие данные обрабатываются, то есть указать всё, согласно ч. 4 ст.9 152-ФЗ. В этом случае обязательно хранить логи, чтобы, в случае чего, доказать Роскомнадзору, что тот или иной пользователь действительно заходил на сайт и оставлял там свои персональные данные.
2. Составить документ «Политика в отношении обработки персональных данных»
Этот документ нужно разместить на сайте в свободном доступе. В данном документе должны быть описаны процедуры сбора, обработки и хранения персональных данных пользователей сайта. При этом с данным документом регистрирующийся не должен соглашаться при заполнении формы.
3. Узнать, где находится хостинг сайта.
Узнать у хостинг-провайдера, где физически находится ЦОД, в котором расположен ваш сайт и, в случае, если он расположен не на территории РФ, перенести сайт на другой хостинг. Сделать это вы можете, отправив запрос в техническую поддержку сайта.
4. Указать email для обращений пользователей по персональным данным.
Укажите email, куда физическое лицо может обратиться за тем, чтобы его персональные данные были удалены, заблокированы и вообще, куда он может задать вопрос по персональным данным. Email можно указать в документах, описанных выше.
Важно, чтобы указанный email был рабочим, информация на нем регулярно проверялась, чтобы не пропустить запрос пользователя на удаление персональных данных с сайта.
5. Подать уведомление об обработке персональных данных в Роскомнадзор.
Вам или агентству-разработчику сайта необходимо подать уведомление об обработке персональных данных в Роскомнадзор, для этого нужно перейти по ссылке (http://pd.rkn.gov.ru/operators-registry/notification/form/) и помимо всего прочего указать там адреса местонахождения баз персональных данных и перечень персональных данных, которые в них содержатся.
6. Заключить соглашение о безопасности персональных данных с разработчиком сайта.
В случае если агентство-разработчик сайта имеет доступ к персональным данным из заявок или базы данных сайта (например, сайт находится на технической поддержке), вам необходимо заключить соглашение с агентством об обеспечении безопасности персональных данных. В соглашении должно быть указано, какие персональные данные агентство может обрабатывать, в каких целях и какие действия с ними выполнять. Также там должны быть требования по защите персональных данных.

Нормативная база.
Федеральный закон от 27.07.2006 N 152-ФЗ, глава 14 Трудового кодекса РФ.
Дополнительно: Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 N 687, Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 15.02.2008; Методика определения актуальных угроз безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 14.02.2008; Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановлением Правительства РФ от 17.11.2007 N 781; Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденным Приказом ФСТЭК России от 05.02.2010 N 58.

Яндекс цитирования