Вопросы/ответы, технические и административные действия в вашей компании для соблюдения закона о Персональных данных №152-ФЗ

1. Пользуясь сервисами Платформы ABCP, вы автоматически поручаете Платформе принять роль Обработчика.


2. Разработать внутренние документы:
   2.1. “Положение об обработке и обеспечении безопасности персональных данных” (шаблон);
   2.2. “Регламент по доступу к персональным данным” (шаблон);
   2.3. “Обязательство о неразглашении персональных данных” (шаблон).


3. Ознакомить всех сотрудников компании с документом:
   3.1. “Положение об обработке и обеспечении безопасности персональных данных”;
   3.2. “Регламент по доступу к персональным данным”.


4. Подписать индивидуально со всеми сотрудниками:
   4.1. “Обязательство о неразглашении персональных данных”.


5. Издать приказ о назначении ответственного за обработку персональных данных в вашей компании.


6. В случае наличия интеграций с внешними сервисами или использования API платформы:
   6.1. Убедиться, что при использовании любых подключенных к сайту сервисов не происходит трансграничной передачи персональных данных.
   6.2. Если трансграничная передача персональных данных осуществляется (например, как это, по мнению РКН, происходит при использовании Google Analytics), — отказаться от таких сервисов либо подать в РКН "Уведомление о намерении осуществлять трансграничную передачу ПД“.
   6.3. Как для зарубежных, так и для российских сервисов, подключённых к вашему сайту (CRM, системы аналитики и рекламы, коллтрекинг, телефония и т. д.), — убедиться, что между вами и сервисом существует (или подписано) Поручение (в виде договора или оферты) на обработку персональных данных, и текст Поручения определяет действия с данными в рамках Закона о персональных данных.
   6.4. Провести ревизию использования API (вами или сервисами, подключенными с вашего согласия) и убедиться, что не происходит трансграничной передачи данных и существует Поручение на обработку персональных данных.
   6.5. В любом случае проверяйте, какие данные передаются сторонним сервисам. Например, Яндекс в своей политике конфиденциальности запрещает передавать идентификационную информацию в Метрику и рекомендует правильно настраивать используемые инструменты Яндекса, перекладывая всю ответственность за сбор персональных данных Метрикой на владельца сайта.


7. Зарегистрироваться в Роскомнадзор в качестве оператора персональных данных (какая-никакая, а инструкция).

Вопросы и ответы

1. У нас на сайте работают франчайзи партнеры и у них отдельные юр.лица. Что им нужно делать?
Ответ: не имеет значения, что вы и ваши франчайзи используют одно доменное имя. Каждому партнеру нужно выполнить все действия точно так же как и головной компании, в том числе зарегистрироваться в качестве обработчика пресональных данных согласно инструкции выше.

2. Доменное имя сайта оформлено на физическое лицо, нужно ли переформлять на юридическое лицо, которое становится оператором персональных данных?
Ответ: не нужно, на данный момент 152-ФЗ никак не регламентирует право владения доменным именем.

3. У нас на сайте несколько юридических лиц, как быть?
Ответ: Каждое юридическое лицо, представленное на вашем сайте, несет самостоятельную ответственность как оператор персональных данных. Однако возникает сложность: при первоначальном взаимодействии с посетителем сайта невозможно заранее определить, какое именно из ваших юридических лиц будет обрабатывать его персональные данные – это становится очевидным только после оформления заказа. В данной ситуации рекомендуем следующий алгоритм действий:
1) зарегистрировать каждое юридическое лицо в Роскомнадзоре как оператора персональных данных;
2) на сайте указать основное (наиболее часто используемое) юридическое лицо в качестве первичного оператора;
3) заключить между всеми вашими юридическими лицами официальное соглашение о передаче персональных данных;
4) при регистрации в Роскомнадзоре обязательно отметьте соответствующий пункт "передача персональных данных", что легализует обмен данными между вашими юридическими лицами.