В условиях постоянного роста цифровых технологий и масштабного сбора персональной информации, обеспечение безопасности и конфиденциальности личных данных становится приоритетным вопросом. В рамках российского законодательства в этой области особое внимание уделяется операторам персональных данных (ОПД), организациям, которые осуществляют сбор, обработку и хранение личных сведений.
Статья предоставляет обзор ключевых аспектов деятельности ОПД, включая их определение, перечень документов и обязанностей, штрафные санкции, возможности делегирования обработки данных, а также особенности проверок со стороны Роскомнадзора.
В центре внимания — не только формальные требования законодательства, но и неотъемлемая роль этичности и ответственности при работе с персональной информацией.
- Общие сведения
- Что такое персональные данные
- Кто является оператором персональных данных
- Права и обязанности ОПД
- Перечень операторов персональных данных
- Что проверяет Роскомнадзор
- Как стать ОПД
- Шаг 1. Разработать пакет локальных нормативных актов
- Шаг 2. Определить, где будут храниться персональные данные
- Шаг 3. Уведомить Роскомнадзор о начале деятельности ОПДн
- Шаг 4. Ожидать уведомление от Роскомнадзора
- Как делегировать обработку персональных данных
- Когда уведомление не нужно
- Чем грозит разглашение личной информации
- Грядущие изменения в системе ОПД
- Заключение
Общие сведения
Оператор персональных данных (ОПДн) — это физическое или юридическое лицо, а также государственные или муниципальные органы власти, которые организуют или сами осуществляют обработку личных сведений с определенной целью. В данной статье мы расскажем о том, как стать ОПДн и соблюсти закон, где можно хранить конфиденциальные сведения и как передавать обязанности по их обработке.
Знание законодательной основы обязательно для тех, кто намерен обрабатывать персональные данные в рамках своей деятельности. Основным нормативно-правовым актом в этой области является Федеральный Закон № 152, принятый в 2006 году. Этот закон регулирует отношения между владельцами персональной информации и лицами, которые используют эту информацию для коммерческих и других целей.
Подробное изучение ФЗ позволит понять, кто считается оператором персональных данных, какие права и обязанности у него есть, может ли он делегировать свои обязанности другим лицам, и какие требования предъявляются к тем, кто собирает, хранит, копирует, распространяет, уничтожает или блокирует такие данные.
Особое внимание следует уделить вопросу о необходимости соблюдения закона о персональных данных в полном объеме, так как в некоторых случаях нет необходимости уведомлять Роскомнадзор о проведении обработки информации.
Что такое персональные данные
Персональные данные (ПДн) представляют собой любую информацию, которая связана с конкретным человеком, будь то напрямую или косвенно, и которая может идентифицировать этого человека. Это понятие закреплено в Федеральном Законе №152-ФЗ «О личных сведений».
В нормативных документах нет исчерпывающего списка информации, которая может считаться персональными данными. Однако обычно к ним относятся такие сведения, как имя, номер телефона, адрес электронной почты, фотографии, паспортные данные, место проживания и работы, информация о семейном и имущественном положении и многое другое. Суть в том, что эта информация позволяет однозначно установить личность человека.
Однако есть некоторые тонкости. Например, только фамилию нельзя рассматривать как персональные данные, так как она сама по себе не способна однозначно определить конкретного человека, так как могут существовать люди с одинаковыми фамилиями. Но если вместе с фамилией указаны и другие данные, такие как имя и адрес проживания, то это уже можно считать персональными данными, так как они позволяют однозначно идентифицировать человека.
Кто является оператором персональных данных
В статье 3 вышеуказанного закона №152 прописано, что статус оператора персональных данных (ПДн) присваивается всем, кто самостоятельно или с помощью уполномоченных лиц обрабатывает персональные данные, предварительно определив их состав, цели и список выполняемых действий. В эту категорию входят юридические и физические лица, а также муниципальные органы и государственные структуры. Это, по сути, включает в себя все компании, предоставляющие товары или услуги.
Действующее законодательство России определяет организации, которые не обязаны дополнительно информировать Роскомнадзор о своей деятельности с персональными данными. Сюда входят фирмы и индивидуальные предприниматели, которые получают и используют личные данные субъектов:
- На основании положений Трудового кодекса России (каждый работодатель считается оператором).
- После заключения соответствующего договора для исполнения его условий.
- В рамках деятельности религиозных или общественных организаций, при условии, что данные не передаются третьим лицам.
- Входящие в состав государственных информационных систем (ГИС).
- В неавтоматизированных системах в соответствии с требованиями федерального закона и других подзаконных актов.
- В ситуациях, когда требуется защита интересов и обеспечение безопасности общества и граждан, например, при предоставлении услуг связи или перевозок.
Кроме того, оператор личных сведений не обязан уведомлять компетентный орган, если он обрабатывает исключительно ФИО граждан, сведения для выдачи однократных пропусков и ПДн, которые являются общедоступными. Если ваша деятельность не подпадает ни под одну из перечисленных категорий, то уведомление обязательно, и после этого вы будете включены в реестр.
Что касается консультаций о контактировании с проверяющей организацией, это можно получить в нашем специализированном центре. Эксперты по защите персональных данных рассмотрят ситуацию и предоставят конкретные рекомендации в соответствии с ФЗ-152.
Независимо от отрасли и размера компании, обязательно нужно разработать Политику обработки ПДн и другие внутренние документы, определяющие порядок всех операций. Для бизнеса онлайн обязательно публиковать основные документы на сайте. Отсутствие доступа к Политике может привести к штрафам от 3 до 30 тысяч рублей, а также внесению в реестр нарушителей, что может негативно сказаться на деловой репутации компании.
Права и обязанности ОПД
При начале работы с персональными данными, оператор обязан уведомить Роскомнадзор, осуществляя следующие шаги:
- Заполнить электронную форму уведомления о начале деятельности по обработке персональных данных на сайте ведомства, подписав ее электронной подписью.
- Отправить бумажный вариант уведомления почтой в ведомство.
Закон не преследует участников обработки личных сведений за подачу уведомления после начала процесса обработки. Если изменения в уставных документах или кодах ОКВЭД не вносились в связи с изменением вида деятельности и получением нового кода ОКВЭД, то датой начала обработки следует установить дату регистрации организации.
Уведомление в Роскомнадзор не требуется в следующих случаях:
- Организация работает только с персональными данными своих сотрудников.
- Компания использует данные только для исполнения договора с клиентом.
- Обрабатываемая информация является общедоступной.
- Обработка ограничивается только ФИО.
- Данные необходимы для выдачи разового пропуска на территорию организации.
- Обработка происходит в ГИС федерального уровня.
- Оператор обрабатывает данные без использования средств автоматизации.
Уведомление следует подавать в течение трех лет с начала деятельности по обработке персональных данных. Компания также должна выполнять обязанности, предусмотренные законом и подзаконными актами от ФСТЭК РФ и Роскомнадзора.
Соблюдение законов и актов поможет избежать административной и гражданско-правовой ответственности. Нарушения могут повлечь за собой штрафы, а в случае систематического нарушения деятельность организации может быть приостановлена.
Минимальные меры для защиты персональных данных и избежания ответственности включают:
- Уведомление о согласии на обработку ПД и чек-бокс на сайте.
- Размещение гиперссылки на Политику обработки личных сведений.
- Всплывающее окно с информацией о файлах cookie.
- Роскомнадзор вправе контролировать выполнение этих требований без проведения специальной проверки.
Положение или Политику обработки персональных данных можно составить самостоятельно, так как закон не устанавливает жестких стандартов для их структуры.
Главное – включить в документ следующую информацию:
- Информация об операторе персональных данных.
- Цели обработки личных сведений, соответствующие законодательству.
- Перечень персональных данных, на обработку которых правообладатель дает свое согласие.
- Указание информации о третьем лице, если ему поручена обработка персональных данных, и цель такого поручения.
- Перечень действий, которые будут осуществляться с персональными данными.
- Срок действия согласия на обработку личных сведений.
- Порядок корректировки или удаления данных.
Однако есть ситуации, когда организация, обрабатывающая персональные данные, не несет ответственности за обеспечение их конфиденциальности:
- Когда персональные данные обезличены, и невозможно выделить сведения, идентифицирующие конкретного человека из массива информации.
- Когда персональные данные обрабатываются в рамках конкретного договора.
- Когда персональные данные предоставлены членами общественной или религиозной организации для выполнения целей, определенных законом или уставом.
Также закон «О персональных данных» не требует получения согласия правообладателя на обработку персональных данных в некоторых случаях:
- Когда обработка основывается на законе или международном договоре, заключенном Россией.
- Когда обработка проводится в целях статистического или научного исследования, а данные субъекта ПД обезличены.
- Когда обработка необходима для защиты жизни, здоровья или жизненно важных интересов конкретного лица.
- Когда обработка производится на почте для оказания услуг связи.
- Когда обработка предусмотрена федеральными законами.
Не всегда правообладатель может контролировать корректность обработки его личных сведений и следование оператором заявленным целям.
В рамках национального проекта «Цифровая экономика» планируется создание единого портала персональных данных, на котором операторы будут размещать информацию о своей деятельности. Субъекты ПД смогут уточнить:
- Кому было предоставлено согласие на обработку ПД.
- Кем, с какой целью и какие данные обрабатываются.
- Пользователи должны иметь возможность отозвать свое согласие или корректировать данные при помощи этого ресурса.
Перечень операторов персональных данных
На текущий момент в реестре содержится информация о 934 171 операторах личных сведений. Подробные данные о каждом из них доступны на официальном сайте Федеральной Службы по Надзору в сфере информационных технологий и массовых коммуникаций по ссылке https://pd.rkn.gov.ru/operators-registry/operators-list/.
Поиск в реестре осуществляется по регистрационному номеру, ИНН и названию организации. Для более точного и быстрого поиска рекомендуется указать ИНН организации. В случае отсутствия точного ИНН можно воспользоваться поиском по наименованию.
В этом случае достаточно указать только уникальную часть наименования (одно или несколько слов, которые отличают данную организацию от других) без добавления организационно-правовой формы, спецсимволов, кавычек и сокращений. Если наименование состоит из нескольких слов, включая те, что разделены дефисом, достаточно указать любое из этих слов. Рекомендуется избегать часто встречающихся в наименовании организаций слов, таких как «Российский», «Федеральный», «Общество» и подобных.
Что проверяет Роскомнадзор
Регулярные проверки со стороны государственных органов являются мощным стимулом для организаций соблюдать положения Федерального закона №152. Основные аспекты, на которые обращают внимание представители государственных структур, включают:
- Наличие письменного согласия субъектов, если оно требуется.
- Наличие локальной документации, регулирующей отношения между оператором и владельцем личных сведений, а также её соблюдение.
- Своевременное уведомление о начале обработки персональных данных.
- Четко определенные цели и сроки хранения информации.
- Применяемые меры безопасности и эффективная система ограничения доступа.
- Сервера, используемые для систематизации и хранения данных.
Если оператор ранее нарушал правила, ему следует привести свою деятельность в соответствие с требованиями закона №152, так как грозит более тщательная проверка.
Существуют компании, которые обрабатывают персональные данные, но избегают подачи уведомления, боясь возможных штрафов за предыдущие нарушения. Однако Роскомнадзор не обязательно проводит проверку сразу. Компании, которые пытаются уклониться от регистрации или на которые поступают жалобы, чаще всего подвергаются проверке.
Реестр операторов личных сведений, размещенный на сайте Роскомнадзора, содержит информацию о 439 тыс. компаниях, и эта цифра постоянно растет. Однако проверить все компании из этого списка невозможно. Проверки направляются, в основном, к тем компаниям, которые не подают уведомление или получают много жалоб от пользователей.
Проверки не начинаются мгновенно. Сначала Роскомнадзор отправляет письмо с запросом пояснений о причинах отсутствия регистрации. Отсутствие ответа на такое письмо становится поводом для проверки. Обычно компании исправляют выявленные нарушения в установленные сроки и избегают административных санкций.
Роскомнадзор обращает внимание на компании, использующие персональные данные для устройства сотрудников, оформления страховых полисов, рекламных рассылок, предоставления услуг, регистрации на сайтах и звонков потенциальным клиентам. Он также классифицирует компании по степени риска и проводит проверки с разной периодичностью в зависимости от риска.
Компании с высоким риском подвергаются профилактическим проверкам каждые 2 года, с умеренным риском — каждые 3 года, со средним — каждые 4 года, с умеренным — каждые 6 лет, а для компаний с низким риском регулярные проверки не проводятся.
Если Роскомнадзор выявит нарушения в обработке личных сведений, компания может получить предупреждение. В случае непоследовательных изменений санкции могут включать штрафы и даже блокировку сайта или приостановление деятельности компании.
Поэтому рекомендуется всем компаниям, имеющим сайты с формами регистрации или подпиской на рассылки, подать уведомление в Роскомнадзор. Штраф за обработку персональных данных без письменного согласия может достигать от 6000 до 150 000 рублей.
Дополнительно Роскомнадзор может принимать меры, такие как блокировка сайта или приостановление деятельности, но такие меры применяются редко. В случае проверки и обнаружения нарушений в обработке личных сведений штраф может достигнуть 80 000 рублей.
Как стать ОПД
В этом разделе мы рассмотрим пошаговый алгоритм постановки на учет в качестве оператора персональных данных.
Шаг 1. Разработать пакет локальных нормативных актов
Роскомнадзор будет проводить проверку данных аспектов. Требования к необходимым документам для бизнеса зависят от его характеристик и типа обрабатываемых личных сведений.
Вот основной перечень документов:
- Политика конфиденциальности. Устанавливает процедуры работы с персональными данными. Требования к её содержанию определены статьей 18.1 Закона №152-ФЗ «О персональных данных».
- Политика обработки персональных данных. В этом документе описываются данные, которые будет обрабатывать оператор, цель обработки, процедуры сбора и другие важные аспекты. Политика обеспечивает защиту прав и свобод субъектов персональных данных.
- Модель угроз безопасности. Разрабатывается для выполнения обязанности по определению угроз безопасности личных сведений, предусмотренной законом.
- Приказ о назначении ответственных за обработку персональных данных. Обычно передача этих обязанностей возлагается на сотрудника ИТ-службы или службы информационной безопасности. Этот документ не является публичным, но Роскомнадзор может запросить его в ходе проверки.
- Согласие на обработку персональных данных. Заполняется субъектом данных, у которого производится сбор информации.
- Соглашение о неразглашении данных. Документ, регулирующий работу персонала с конфиденциальной информацией, устанавливает правила раскрытия и ограничения разглашения информации, а также указывает последствия нарушения этих правил.
Состав документов может варьироваться в зависимости от вида деятельности и юридической формы оператора персональных данных. Например, физическому лицу не требуется составлять приказ о назначении ответственных за обработку данных, так как оно само является оператором персональных данных.
Отсутствие политики конфиденциальности, политики обработки персональных данных и модели угроз в документации может повлечь наложение штрафов Роскомнадзором:
- Для должностных лиц и индивидуальных предпринимателей — до 40 тыс. руб.
- Для юридических лиц — до 150 тыс. руб.
Шаг 2. Определить, где будут храниться персональные данные
Бумажный архив часто применяется для сохранения документов, собранных при приеме сотрудников, таких как копии паспортов, трудовые книжки и личные дела. Эти материалы обычно хранят в надежных местах, таких как сейфы, металлические несгораемые шкафы с замками или в специальных помещениях с ограниченным доступом, согласно правилам, установленным приказом Минкультуры от 31.03.2015 № 526.
Если в организации используется электронный документооборот и собирается информация о пользователях веб-ресурсов, то эти данные сохраняются на сервере компании или в облачных хранилищах. В случае с собственным сервером, важно обеспечить его защиту, чтобы избежать утечки персональных данных:
- Разместить сервер в безопасном месте;
- Настроить доступ для сотрудников, чтобы лишь тем, кто работает с персональными данными, был предоставлен соответствующий доступ;
- Использовать программное обеспечение для защиты от кибератак, такие как антивирусы, виртуальные частные сети (VPN), межсетевые экраны (файрволы) и системы обнаружения вторжений. В соответствии с требованиями п. 2 ст. 19 Закона №152-ФЗ «О персональных данных», следует использовать средства защиты, прошедшие процедуру оценки соответствия.
Минимальные требования к безопасности могут изменяться в зависимости от характера данных, собираемых бизнесом. Например, информацию о платежных системах клиентов необходимо более тщательно защищать, чем почтовые адреса.
Для избежания необходимости содержать серверное оборудование в офисе, данные можно хранить в облаке или в виртуальном центре обработки данных (ВЦОД). В случае использования ВЦОДа, следует удовлетворять двум основным требованиям:
- Физическое оборудование должно находиться на территории России;
- ВЦОД должен обладать аттестатом ФСТЭК, гарантирующим соответствие высоким стандартам безопасности информации на государственном уровне.
Провайдер ВЦОДа не несет ответственности за персональные данные, хранящиеся на арендованных им площадях. Однако надежные и аттестованные серверы обеспечивают безопасное хранение данных, что снижает риски утечки.
К примеру, облачный сервис ВЦОДа «Дом.ру Бизнес» соответствует российскому законодательству, имеет серверы на территории России, обеспечивает защиту от кибератак и обладает аттестатом ФСТЭК.
Если бизнес не внедрит необходимое программное обеспечение для защиты от кибератак, или данные будут храниться на серверах за пределами России, предусмотрены штрафы:
- Для индивидуальных предпринимателей – до 50 тыс. руб.
- Для должностных лиц – до 200 тыс. руб.
- Для юридических лиц – до 6 млн руб.
Шаг 3. Уведомить Роскомнадзор о начале деятельности ОПДн
Извещение о сборе персональных данных может быть направлено заказным письмом по почте в письменной форме или в электронном виде, при использовании портала «Госуслуг».
Если специалист представляет запрос от юридического лица, учетная запись должна быть связана с организацией на портале «Госуслуг». Подписание извещения осуществляется уполномоченным представителем организации, действующим на основе устава или приказа.
Необходимости в направлении извещения нет в случае обработки оператором персональных данных:
- необходимых для обеспечения безопасности государства, общественного порядка и транспортной безопасности;
- на бумажных носителях без использования автоматизированных систем: например, персональные данные сотрудников в соответствии с Трудовым кодексом РФ, когда запрашивается только ФИО, или при разовом пропуске посетителей на территорию, при оформлении пропуска на фамилию.
В случае несоблюдения требований по уведомлению Роскомнадзора и нарушения правил сбора данных, оператор может быть подвергнут штрафу:
- Для должностных лиц и индивидуальных предпринимателей — до 500 рублей.
- Для юридических лиц — до 5 тысяч рублей.
Шаг 4. Ожидать уведомление от Роскомнадзора
В течение 30 дней с момента получения уведомления, Роскомнадзор вносит информацию об операторе в публичный реестр операторов персональных данных (ОПД). Если оператор желает быть исключенным из этого реестра, также необходимо направить уведомление об этом в Роскомнадзор.
Важно отметить, что санкции за повторные нарушения гораздо более строгие. К административным наказаниям может добавиться уголовная ответственность, предусматривающая штрафы до 500 тыс. рублей, принудительные работы на срок до 1 года, ограничение или лишение свободы на срок до 7 лет, а также лишение права заниматься профессиональной деятельностью на срок до 5 лет.
Как делегировать обработку персональных данных
Вы можете передать обработку персональных данных третьей стороне через аутсорсинг. Для этого необходимо получить согласие от лица, чьи данные собираются для обработки аутсорсинговым оператором персональных данных (ОПДн) и заключить с подрядчиком соответствующий договор. В дальнейшем важно определить обязанности подрядчика:
- указать перечень собираемых персональных данных и предписать разрешенные действия с ними;
- четко определить цели обработки данных, обязанности по соблюдению конфиденциальности;
- предусмотреть обязанность предоставления документов, подтверждающих защиту данных по запросу.
Оператор несет ответственность за сохранность конфиденциальной информации. В случае передачи обработки персональных данных иностранному подрядчику, который осуществляет обработку данных с использованием серверов на территории РФ, ответственность за сохранность информации возлагается как на оператора, так и на лицо, которому переданы полномочия.
Если ваш бизнес только начинает деятельность с запуском веб-сайта, вы можете автоматизировать организацию обработки персональных данных. Это осуществимо, если вы создадите сайт с использованием конструктора, такого как Дом.ру Бизнес. Этот конструктор включает в себя облачный сервер, соответствующий законодательству и защищенный от кибератак.
Когда уведомление не нужно
Согласно части 2 статьи 22 Федерального закона «О персональных данных», существуют исключения, когда организация, обрабатывающая данные, не приобретает статус оператора персональных данных:
Обработка данных ограничивается сотрудниками, которые необходимы в соответствии с законом, и не передаются третьим лицам без согласия сотрудника. Например, вводится приказ о приеме на работу и карточка сотрудника, которые затем хранятся в сейфе.
Если бухгалтер желает передать данные сотрудника в банк для зарплатного проекта, компания приобретает статус оператора персональных данных и должна получить согласие сотрудника.
Компания может запрашивать у работника следующие персональные данные и в таком порядке:
- Получение персональных данных по договору с контрагентом, использование их исключительно для выполнения указанного договора и без передачи третьим лицам. Например, компания получает номер расчетного счета ИП по договору и перечисляет деньги за выполнение работ.
- Использование только ФИО, которые по себе не идентифицируют конкретного человека. Например, компания публикует статью в блоге с примерами, упоминая Иванова Ивана, не раскрывая подробностей, таких как город проживания и возраст.
- Получение персональных данных для разового пропуска на территорию компании. Например, для поставки обеда Марина записывает свои ФИО и данные паспорта на стойке охранника.
- Обработка персональных данных на бумаге, например, при выдаче скидочной карты, когда продавец записывает имя и телефон клиента в тетрадке, но не вносит данные в компьютер.
- Использование общедоступных сведений, предоставленных самим человеком. Например, компания берет данные из телефонного справочника жителей Тулы.
Следовательно, почти все компании обрабатывают персональные данные, и им необходимо предоставить уведомление в Роскомнадзор, за исключением определенных сценариев.
Чем грозит разглашение личной информации
Большинство мер ответственности применяются в области административного судопроизводства. Согласно статье 13.11 Кодекса об административных правонарушениях, предусмотрены следующие штрафы за нарушение законодательства Российской Федерации в сфере защиты персональных данных и отказ от выполнения обязанностей оператора:
- За обработку персональных данных в случаях, не предусмотренных российским законодательством, или с целями, прямо не заявленными оператором, штраф может составить до 50 тысяч рублей.
- За обработку персональных данных без согласия их обладателя предусмотрен штраф в размере до 70 тысяч рублей.
- За отказ от разработки или публикации Политики по правилам обработки персональных данных оператор может быть оштрафован на сумму до 30 тысяч рублей.
- За отказ от предоставления информации об обработке персональных данных правообладателю предусмотрен штраф до 40 тысяч рублей.
- За отказ от блокировки, корректировки или уничтожения недостоверной информации по требованию правообладателя оператор может быть оштрафован до 45 тысяч рублей.
- За хранение персональных данных российских граждан на иностранных серверах предусмотрен штраф до 6 миллионов рублей за первое нарушение и до 18 миллионов рублей за повторное.
Для крупных компаний, таких как Facebook или Twitter, высокие штрафы не представляют серьезной проблемы. Однако для малых предприятий они могут стать значительной финансовой нагрузкой. В случае причинения ущерба правообладателю организации, обрабатывающей персональные данные, может быть предъявлен иск о возмещении убытков или морального ущерба.
Грядущие изменения в системе ОПД
В апреле 2022 года внесли законопроект, который может значительно ограничить действия компаний по передаче и использованию персональных данных. В настоящее время он находится на стадии рассмотрения во втором чтении.
Инициаторы предлагают внедрить концепцию трансграничной передачи данных (то есть за границу) и сократить возможность такой передачи, а в некоторых случаях даже полностью запретить ее. Компании будут обязаны уведомлять Роскомнадзор о своем намерении передать любые данные за пределы страны, и в течение месяца получать разрешение на такую передачу и определение объема информации.
Если субъект данных заявит, что предоставленные им сведения были получены незаконным образом или не являются необходимыми для указанных целей компании, он вправе требовать их удаления. В случае отказа компании субъект может обратиться в суд, и организация подвергнется штрафу. Кроме того, компании будут обязаны пояснять клиентам цели использования конкретных личных сведений, а если клиент попросит прекратить их обработку, это должно быть выполнено в течение 30 дней.
Предприятия также обязаны будут сообщать в государственные органы о каждом случае утечки персональных данных в течение 24 часов после инцидента, а Роскомнадзор ведет реестр таких случаев. В случае принятия законопроекта компании будут подвергаться риску штрафа за несвоевременное уведомление об утечке данных.
Заключение
В заключение статьи об операторах личных сведений следует отметить, что данная область предъявляет высокие требования к соблюдению правил и законов, регулирующих обработку личных сведений. Операторы персональных данных обязаны внимательно следить за перечнем документов, включая политику конфиденциальности, модель угроз безопасности и соглашение о неразглашении данных, чтобы обеспечивать защиту прав и свобод граждан.
Кроме того, статья подчеркивает важность соблюдения уведомительных процедур перед Роскомнадзором и несение ответственности за нарушения. Штрафные санкции могут быть серьезными, особенно в случае повторных нарушений, подчеркивая необходимость строгого соблюдения законодательства.
Важным аспектом является также возможность делегирования обработки личных сведений сторонним подрядчикам, при условии заключения соответствующего договора и соблюдения всех нормативных требований. Наконец, подчеркивается, что Роскомнадзор в своих проверках обращает внимание на наличие всех необходимых документов и соблюдение компанией предписанных норм и стандартов.