Мы на Workspace
Наверх
8(863)303-51-41
Заказать звонок
phone phone phone phone
Gendalf Gendalf
Главная  →  Новости  →  ЗПДн 
3528

Документы для работы с персональными данными: как собрать и оформить

Плескач Константин Узнайте, как пройти проверку Роскомнадзора и собрать пакет ОРД в соответствии с законодательством.

Содержание

В соответствии с 152-ФЗ операторы персональных данных обязаны иметь определенный пакет организационно-распорядительной документации (ОРД) по работе с персональными данными пользователей. Собрать ее не так просто – закон содержит много «подводных камней», которые не всегда получается заметить.

Давайте разберемся, что входит в ОРД и какие штрафы грозят за ее отсутствие.

Какие документы необходимо создать и собрать по 152-ФЗ

Закон ФЗ-152 содержит большое количество требований, которые часто сформулированы в общих терминах. Для тех, кто ранее не сталкивался с этим законом, может быть сложно понять, какие конкретно документы требуются согласно статьям 18.1 и 19.

По кнопке ниже приведен список документов, который составлен на основе практического опыта и учитывает требования указанных статей закона.

Скачать список документов

Чем грозит отсутствие ОРД

Отсутствие организационно-распорядительной документации по защите персональных данных может иметь серьезные последствия для организации. Вот несколько потенциальных угроз.

  • Нарушение законодательства. Отсутствие ОРД приведет к нарушению 152-ФЗ. Если организация не имеет соответствующей документации, она может быть подвержена административным и юридическим санкциям, таким как штрафы и уголовная ответственность.
  • Утечка персональных данных. Это создает риски утечки данных и ущерба для клиентов и сотрудников, а также негативно сказаться на репутации оператора.
  • Недостаточная безопасность данных. ОРД помогает определить и реализовать соответствующие меры безопасности.
  • Недоверие клиентов и партнеров. Если организация не может предоставить документацию, подтверждающую ее действия по защите персональных данных, это отразится на ее репутации и отношениях с клиентами и партнерами.
law.png

Обратите внимание

Проверки от Роскомнадзора – самый важный этап для операторов персональных данных. Если организация не пройдет проверку, она получает штраф – сумма может быть разной, даже довольно ощутимой для бюджета. Поэтому не стоит пренебрегать составлением ОРД, которая проверяется в обязательном порядке.

Штрафы за отсутствие документов

Штрафы за отсутствие ОРД по защите персональных данных различаются в каждой стране.

В России сумма штрафов может составлять до 75 000 рублей или до 1% годового дохода организации. Но конкретные суммы зависят от множества факторов, таких как характер нарушения, повреждение, намеренность действий и предыдущая история нарушений.

Вот несколько примеров штрафов, которые получили российские компании:

  • Mail.Ru Group: В 2020 году Роскомнадзор наложил штраф на Mail.Ru Group в размере 6 миллионов рублей за нарушение закона о персональных данных при обработке данных пользователей, включая их предпочтения и интересы.
  • OZON: В 2020 году Роскомнадзор наложил штраф на интернет-магазин "Озон" в размере 3 миллионов рублей за нарушение правил обработки и хранения персональных данных клиентов.
  • Яндекс: В 2021 году Роскомнадзор наложил штраф на Яндекс в размере 2 миллиона рублей за нарушение правил обработки персональных данных пользователей.

Подводные камни при оформлении ОРД

Операторы персональных данных сталкиваются с несколькими проблемами при разработке ОРД для соответствия требованиям закона.

  • Непонимание трактовки некоторых статей закона, включая 18.1 и 19 статьи.
  • Отсутствие знания о других нормативных актах, кроме 152-ФЗ, которые также регулируют область персональных данных и требуют дополнительных документов.
  • Неопределенность в выборе нужных документов и приложений к ним согласно требованиям закона.
  • Отсутствие опыта прохождения проверки Роскомнадзором и неизвестность относительно требуемых документов на проверке.

Перечисленные проблемы связаны с непониманием требований закона о персональных данных и отсутствием опыта соблюдения этих требований.

Для их решения, операторам стоит более детально изучить законы и нормативные акты, обратиться к профессионалам в данной области и получить опыт прохождения проверки от Роскомнадзора. Это поможет разработать полный и соответствующий требованиям закона пакет документов.

man.png

Важно

Если вы приняли решение самостоятельно разрабатывать ОРД, важно разбираться во всех законодательных нюансах и быть экспертом на 100%. В противном случае есть риск допустить ошибку. В итоге силы и деньги будут потрачены впустую – проверка не будет пройдена даже ели ошибка несущественная.

Прочие законные требования по работе с по персональными данным

Для соблюдения требований, установленных Федеральным законом №152, необходимо выполнить не только условия, предусмотренные статьями 18.1 и 19 данного закона, но и требования, изложенные в ряде нормативных правовых актов.

К ним относятся Постановление Правительства от 15 сентября 2008 г. № 687.Постановление Правительства от 1 ноября 2012 г. № 1119, Приказ ФСБ России от 10 июля 2014 г. N 378, Приказ ФСТЭК России от 18 февраля 2013 г. № 21, «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» утверждена заместителем директора ФСТЭК России 14.02.2008, № 1682 дсп от 25.03.2008, «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена заместителем директора ФСТЭК России 15.02.2008, № 1679 дсп от 25.03.2008.

Подготовим ОРД для вас – внимательно и быстро

Специалисты разработают для вашей организации нужную документацию и расскажут, как ее использовать.

Оставить заявку

Как быстро разработать ОРД: действенный лайфхак

Для того, чтобы ваш пакет ОРД смогу пережить проверку Роскомнадзора и полностью соответствовал всем предъявляемым требованиям, необходимо пройти еще несколько этапов работы с ними, а именно:

  • тщательно изучить 152-ФЗ и статьи 18.1 и 19 закона, не упуская из виду ни одного пункта;
  • в рамках каждой из статей (18.1 и 19 закона) выделите те документы, которые уже разработаны и те, которые еще необходимы;
  • внимательно прочтите нормативно-правовые акты правительства, ФСБ и главное – ФСТЭК России и подготовьте список дополнительных ОРД, которые нужно принять в разработку;
  • не лишним будет обратится к внешним базам знаний по 152-ФЗ, таким как Гарант, Консультант, сайт Роскомнадзора и прочие;
  • прочитать рекомендации по составлению политики персональных данных на сайте Роскомнадзора, не упуская из виду и другие методические документы.

Задачу по составлению ОРД лучше доверить профессионалам, которые точно не забудут ни про один документ и учтут все нюансы законодательства.

Не знаете, все ли документы в наличии и как их разработать?

Специалист по защите персональных данных ответит на ваши вопросы.

Получить консультацию

Плескач Константин

Автор: Плескач Константин

эксперт по продуктам кибербезопасности

Все статьи автора
Поделиться  

Рейтинг статьи:

4.9

(на основе 11 голосов)

Читайте также

Кибератаки на Россию: государственные учреждения – цель №1

Защита персональных данных: основа, которую важно знать

В России запретили необоснованный сбор персональных данных пользователей

Подписывайтесь на нас в соцсетях

Рейтинг сайта:

4.8

(на основе 456 голосов)

Материалы сайта gendalf.ru носят информационный характер и не являются публичной офертой.
Вы можете использовать материалы данного сайта, при условии наличия ссылки (или гиперссылки) на источник gendalf.ru.
На странице использованы графические материалы: Изображения https://www.freepik.com, иконки www.flaticon.com.

© 1993-2024 ГЭНДАЛЬФ
ГЭНДАЛЬФ
ГЭНДАЛЬФ ГЭНДАЛЬФ ГЭНДАЛЬФ