Персональные данные: текст-расследование

С сентября пытаюсь написать этот текст, когда поняла, что я по новому закону о персональных данных (точнее, по правкам в этот закон) тоже оператор персональных данных.
И мне нужно зарегистрироваться в Роскомнадзоре.

А дальше, я начала разбираться — как заполнить уведомление, что именно в нём писать... И открылись такие бездны, что я растерялась.

Попробую всё-таки уложить этот сумбур в некоторое подобие порядка:

1. Ваше НКО теперь — оператор персональных данных. Даже не сомневайтесь ). Если есть хоть один сотрудник или исполнитель-физлицо, тогда Роскомнадзор идёт к вам.

2. Что это значит: вам нужно было до 1 сентября подать уведомление в Роскомнадзор.
Сейчас ноябрь. Но, вроде, Роскомнадзор обещал не лютовать поначалу. Но всё равно, если вы ещё нет, ускоряйтесь: штрафы небольшие, но количество их неограниченно — можно сколько угодно штрафовать, пока не исправитесь.

3. Особенно важно это для тех, у кого на сайте собираются хоть какие-то персональные данные. Например, у вас есть форма подписки на рассылку. Просто вас проще найти )

4. Кстати, Имя, Фамилия и email — теперь уже тоже персональные данные. Так что см. пункт 1.

5. На вашем сайте (если вы собираете персональные данные) должна быть опубликована Политика о безопасности перс. данных. Я нашла очень простой и симпатичный сервис автоматического создания такой Политики. Вот тут по ссылке https://policy.privacy-check.ru/.

6. Не путайте Политику и Положение о перс. данных. Оно у вас тоже должно быть. Но это уже внутренний документ, регламентирующий ваши внутренние процессы по работе с перс. данными.

7. Уведомление в Роскомнадзор можно подать на сайте. Для этого вам понадобится учетная запись вашей организации на ГосУслугах или квалифицированная электронная подпись. Ну или отправить по почте.

8. Что такое ЦОД? Это место, где физически хранятся файлы с персональными данными, которые вы храните (простите за масло масляное).
Он может быть собственным — если у вас на защищённом согласно закону компьютере всё хранится.
Или облачным — если вы храните всё на Облаке.

Обратите внимание, что разные сервисы по-разному относятся к защите согласно Закону. Например, Яндекс https://cloud.yandex.ru/security/standards/152-fz и Селектел https://selectel.ru/solutions/pdps/ утверждают, что все их ресурсы сертифицированы согласно ФЗ-152, а у VK есть специальные «выделенные» Облака https://vk.cc/ciJJ9c.

9. Если ваш сайт, скажем, на Тильде, Тильда — лишь сервис. Она тоже, в свою очередь, где-то хранит данные. Так что ЦОДом будет не Тильда, а Селектел. То же касается всех облачных сервисов, через которые проходят перс.данные (таск-менеджеры, CRM и прочее).

10. Где про всё это почитать подробнее:
- Сайт Роскомнадзора (голову сломаете, зато официально) https://14.rkn.gov.ru/news/news331872.htm
- Гарант (тоже будет непросто) https://www.garant.ru/news/1561800/
- Про CRM и перс.данные https://profit-lab.ru/article/personalnye-dannye-i-cr..
- Чек-лист от Yandex Cloud по новым требованиям 152-ФЗ https://storage.yandexcloud.net/yc-compliance/Checkli..
- Прекрасный вебинар, из которого я наконец начала хоть что-то понимать во всей этой истории https://cloud.yandex.ru/events/242

Персонально ваша ))
Аня Морозова