В соответствии с 152-ФЗ операторы персональных данных обязаны иметь определенный пакет организационно-распорядительной документации (ОРД) по работе с персональными данными пользователей. Собрать ее не так просто – закон содержит много «подводных камней», которые не всегда получается заметить.
Давайте разберемся, что входит в ОРД и какие штрафы грозят за ее отсутствие.
Какие документы необходимо создать и собрать по 152-ФЗ
Закон ФЗ-152 содержит большое количество требований, которые часто сформулированы в общих терминах. Для тех, кто ранее не сталкивался с этим законом, может быть сложно понять, какие конкретно документы требуются согласно статьям 18.1 и 19.
По кнопке ниже приведен список документов, который составлен на основе практического опыта и учитывает требования указанных статей закона.
Чем грозит отсутствие ОРД
Отсутствие организационно-распорядительной документации по защите персональных данных может иметь серьезные последствия для организации. Вот несколько потенциальных угроз.
- Нарушение законодательства. Отсутствие ОРД приведет к нарушению 152-ФЗ. Если организация не имеет соответствующей документации, она может быть подвержена административным и юридическим санкциям, таким как штрафы и уголовная ответственность.
- Утечка персональных данных. Это создает риски утечки данных и ущерба для клиентов и сотрудников, а также негативно сказаться на репутации оператора.
- Недостаточная безопасность данных. ОРД помогает определить и реализовать соответствующие меры безопасности.
- Недоверие клиентов и партнеров. Если организация не может предоставить документацию, подтверждающую ее действия по защите персональных данных, это отразится на ее репутации и отношениях с клиентами и партнерами.
Обратите внимание
Проверки от Роскомнадзора – самый важный этап для операторов персональных данных. Если организация не пройдет проверку, она получает штраф – сумма может быть разной, даже довольно ощутимой для бюджета. Поэтому не стоит пренебрегать составлением ОРД, которая проверяется в обязательном порядке.
Штрафы за отсутствие документов
Штрафы за отсутствие ОРД по защите персональных данных различаются в каждой стране.
В России сумма штрафов может составлять до 75 000 рублей или до 1% годового дохода организации. Но конкретные суммы зависят от множества факторов, таких как характер нарушения, повреждение, намеренность действий и предыдущая история нарушений.
Вот несколько примеров штрафов, которые получили российские компании:
- Mail.Ru Group: В 2020 году Роскомнадзор наложил штраф на Mail.Ru Group в размере 6 миллионов рублей за нарушение закона о персональных данных при обработке данных пользователей, включая их предпочтения и интересы.
- OZON: В 2020 году Роскомнадзор наложил штраф на интернет-магазин "Озон" в размере 3 миллионов рублей за нарушение правил обработки и хранения персональных данных клиентов.
- Яндекс: В 2021 году Роскомнадзор наложил штраф на Яндекс в размере 2 миллиона рублей за нарушение правил обработки персональных данных пользователей.
Подводные камни при оформлении ОРД
Операторы персональных данных сталкиваются с несколькими проблемами при разработке ОРД для соответствия требованиям закона.
- Непонимание трактовки некоторых статей закона, включая 18.1 и 19 статьи.
- Отсутствие знания о других нормативных актах, кроме 152-ФЗ, которые также регулируют область персональных данных и требуют дополнительных документов.
- Неопределенность в выборе нужных документов и приложений к ним согласно требованиям закона.
- Отсутствие опыта прохождения проверки Роскомнадзором и неизвестность относительно требуемых документов на проверке.
Перечисленные проблемы связаны с непониманием требований закона о персональных данных и отсутствием опыта соблюдения этих требований.
Для их решения, операторам стоит более детально изучить законы и нормативные акты, обратиться к профессионалам в данной области и получить опыт прохождения проверки от Роскомнадзора. Это поможет разработать полный и соответствующий требованиям закона пакет документов.
Важно
Если вы приняли решение самостоятельно разрабатывать ОРД, важно разбираться во всех законодательных нюансах и быть экспертом на 100%. В противном случае есть риск допустить ошибку. В итоге силы и деньги будут потрачены впустую – проверка не будет пройдена даже ели ошибка несущественная.
Прочие законные требования по работе с по персональными данным
Для соблюдения требований, установленных Федеральным законом №152, необходимо выполнить не только условия, предусмотренные статьями 18.1 и 19 данного закона, но и требования, изложенные в ряде нормативных правовых актов.
К ним относятся Постановление Правительства от 15 сентября 2008 г. № 687.Постановление Правительства от 1 ноября 2012 г. № 1119, Приказ ФСБ России от 10 июля 2014 г. N 378, Приказ ФСТЭК России от 18 февраля 2013 г. № 21, «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» утверждена заместителем директора ФСТЭК России 14.02.2008, № 1682 дсп от 25.03.2008, «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена заместителем директора ФСТЭК России 15.02.2008, № 1679 дсп от 25.03.2008.
Подготовим ОРД для вас – внимательно и быстро
Специалисты разработают для вашей организации нужную документацию и расскажут, как ее использовать.
Оставить заявкуКак быстро разработать ОРД: действенный лайфхак
Для того, чтобы ваш пакет ОРД смогу пережить проверку Роскомнадзора и полностью соответствовал всем предъявляемым требованиям, необходимо пройти еще несколько этапов работы с ними, а именно:
- тщательно изучить 152-ФЗ и статьи 18.1 и 19 закона, не упуская из виду ни одного пункта;
- в рамках каждой из статей (18.1 и 19 закона) выделите те документы, которые уже разработаны и те, которые еще необходимы;
- внимательно прочтите нормативно-правовые акты правительства, ФСБ и главное – ФСТЭК России и подготовьте список дополнительных ОРД, которые нужно принять в разработку;
- не лишним будет обратится к внешним базам знаний по 152-ФЗ, таким как Гарант, Консультант, сайт Роскомнадзора и прочие;
- прочитать рекомендации по составлению политики персональных данных на сайте Роскомнадзора, не упуская из виду и другие методические документы.
Задачу по составлению ОРД лучше доверить профессионалам, которые точно не забудут ни про один документ и учтут все нюансы законодательства.
Не знаете, все ли документы в наличии и как их разработать?
Специалист по защите персональных данных ответит на ваши вопросы.
Получить консультацию
