Персональные данные исоответствие требованиям 152-ФЗ

Юридическая помощь сайтам, сервисам и онлайн-проектампо вопросам обработки и защиты персональных данных.

Проверяем фактическую модель обработки данных, устраняем расхождения между сайтом, документами и реальными процессами, готовим уведомления и сопровождаем взаимодействие с Роскомнадзором.

Помогаем уверенно работать с персональными данными

Разберёмся в вашей ситуации, объясним требования простым языком и составим понятный план действий.

  • Запрос регулятора

    Роскомнадзор направил запрос

    Спокойно изучим запрос, объясним, что и в какой срок нужно сделать, подготовим ответ и будем рядом на каждом этапе.

  • Новый этап проекта

    Запускаете или меняете проект

    Заранее выстроим понятную модель обработки данных, подготовим необходимые документы и поможем уверенно запустить изменения.

  • Проверка системы

    Хотите убедиться, что всё в порядке

    Бережно проверим процессы и документы, отметим, что уже сделано правильно, и предложим только необходимые улучшения.

В результате

У вас будет понятная система, согласованные документы и уверенность в дальнейших действиях.

Не уверены, с чего начать? Расскажите о ситуации - мы поможем спокойно во всём разобраться.

На первой встрече объясним, что важно именно в вашей ситуации.

Почему нам доверяют

Проверяем документы и фактическую работу проекта как единую систему. Это помогает найти расхождения между сайтом, сценариями, внутренними процессами и документами ещё до претензии регулятора.

Сопровождаем комплексные проекты и отдельные задачи: уведомления, актуализацию документов, ответы Роскомнадзору и корректировку действующей модели.

35+проектов - построение системы обработки данных с нуля
50+проектов - аудит и приведение обработки в соответствие
80+проектов - сопровождение взаимодействия с Роскомнадзором

Кейсы практики

Почему одной политики недостаточно

Риск возникает не из-за отсутствия отдельного документа, а из-за расхождений между тем, как проект работает на самом деле, и тем, как обработка данных описана юридически.

Где чаще всего появляются расхождения

  • Сайт и сервисы

    • Форма собирает больше данных, чем предусмотрено согласием
    • Аналитика, cookie и внешние сервисы не учтены в документах
  • Документы и регулятор

    • Политика описывает цели и процессы, которых фактически нет
    • Уведомление Роскомнадзора не соответствует реальной модели обработки
  • Внутренние процессы

    • Фактическое место хранения данных отличается от заявленного
    • Доступ подрядчиков к данным не оформлен надлежащим образом
    • Сроки хранения и порядок уничтожения существуют только в документах
Наш подход

Сначала проверяем фактическую модель, а уже затем определяем необходимые документы, изменения и внутренние процедуры. Так политика становится частью работающей системы, а не формальностью.

Что именно мы проверяем

Проверяем проект целиком - от пользовательского интерфейса до внутренних процедур и сведений в реестре.

  • Сайт и пользовательские сценарии

    Формы, чек-боксы, регистрации, личные кабинеты, заявки, отзывы, рассылки, способы получения согласия и иные точки сбора данных.

  • Используемые сервисы

    Системы, аналитика и инфраструктура обработки данных, которые влияют на правовую модель проекта и состав документов.

  • Хранение данных

    Места хранения, локализация, трансграничная передача, подрядчики и иные лица, участвующие в обработке персональных данных.

  • Внутренние процессы

    Предоставление доступа, работа сотрудников и подрядчиков, обращения субъектов, уничтожение данных и организационные меры защиты.

  • Документы и уведомления

    Политики, согласия, локальные акты, договоры, поручения, уведомление Роскомнадзора и сведения в реестре операторов.

Комплексное сопровождение

Направления работы

Подключаемся на любом этапе: от первичной проверки до ответа регулятору. Каждое направление можно заказать отдельно или собрать в единую систему сопровождения.

  • Аудит обработки персональных данных

    Проверяем процессы, сайт, сервисы, документы и сведения, поданные в Роскомнадзор. Выявляем несоответствия и формируем приоритетный план корректировок.

    Карта рисков и план исправлений
  • Приведение проекта в соответствие требованиям

    Выстраиваем модель под реальные процессы: корректируем формы и сценарии, готовим документы, оформляем работу с подрядчиками, определяем сроки хранения и прекращения обработки.

    Рабочая модель под требования 152-ФЗ
  • Уведомление Роскомнадзора

    Готовим первичное уведомление, сведения об изменениях либо прекращении обработки. Сверяем цели, категории данных, субъектов, основания, действия и места хранения.

    Актуальные сведения в реестре операторов
  • Запросы и проверки Роскомнадзора

    Разбираем предмет запроса, проводим проверку, устраняем несоответствия, готовим правовую позицию, пояснения и подтверждающие документы.

    Обоснованный ответ и готовность к проверке

Как мы работаем

От фактической модели → к согласованным документам и процессам

  • Этап 1

    Первичная оценка

    Изучаем сайт, имеющиеся документы, сведения о проекте и поставленную задачу.

  • Этап 2

    Правовой аудит

    Анализируем точки сбора данных, пользовательские сценарии, сервисы, документы и фактические процессы обработки.

  • Этап 3

    Формирование модели обработки

    Определяем цели, категории субъектов и данных, основания, действия, сроки, места хранения и участников обработки.

  • Этап 4

    Приведение проекта в соответствие

    Готовим документы и рекомендации для сайта, пользовательских сценариев и внутренних процессов, сопровождаем изменения.

  • Этап 5

    Проверка согласованности

    Сверяем документы между собой, с фактическими процессами и со сведениями, поданными в Роскомнадзор.

  • Этап 6

    Дальнейшее сопровождение

    Актуализируем документы и реестр операторов, готовим ответы субъектам персональных данных и Роскомнадзору.

Результат сопровождения

Что получает клиент

Главный итог

Единая рабочая система

Наша задача - привести сайт, документы и внутренние процессы к единой фактической модели, которую можно подтвердить при обращении субъекта или запросе Роскомнадзора.

СайтДокументыПроцессы
  • Модель и риски

    • корректная модель обработки персональных данных
    • перечень выявленных рисков и приоритетных корректировок
  • Документы

    • согласованные документы для сайта и внутренних процессов
    • корректно подготовленное уведомление Роскомнадзора
  • Процессы

    • рекомендации по формам, сервисам, инфраструктуре и работе с подрядчиками
    • порядок обработки обращений субъектов и реагирования на инциденты
  • Готовность к проверке

    • правовая позиция и подтверждающие материалы для взаимодействия с регулятором
    • система документов и процессов, которую команда может применять на практике

Для первичной оценки достаточно

  • указать сайт или цифровой сервис;
  • приложить запрос Роскомнадзора, если он был получен;
  • кратко описать ситуацию и какое содействие необходимо.

FAQ

Да. Если через сайт собираются персональные данные, оператор обязан обеспечить субъектам доступ к политике обработки персональных данных. Даже одна форма обратной связи означает обработку персональных данных и требует соблюдения требований законодательства.

Документы проекта должны соответствовать тому, как именно организована обработка персональных данных на сайте и внутри компании. Типовые документы без адаптации нередко противоречат сайту, уведомлению Роскомнадзора и фактическим процессам, что создаёт дополнительные риски.

Да, в большинстве случаев. Однако сначала необходимо определить фактическую модель обработки персональных данных и только затем корректно описать её в уведомлении.

Можно направить сведения об изменении ранее представленной информации. До этого нужно установить, какие сведения не соответствуют фактической обработке персональных данных, и только затем вносить изменения.

Предметом оценки могут быть документы, сведения в уведомлении, сайт, порядок получения согласий, организация обработки персональных данных и исполнение иных обязанностей оператора, предусмотренных законодательством.

Это зависит от того, позволяют ли такие сведения идентифицировать пользователя, а также от состава собираемых данных. Оценка проводится применительно к конкретному проекту и используемым сервисам.

Не стоит сразу направлять ответ. Сначала необходимо определить предмет запроса, проверить фактическую модель обработки персональных данных и установить, действительно ли имеются нарушения. После этого можно формировать правовую позицию и готовить ответ.

Единого перечня не существует. Состав документов зависит от собираемых данных, используемых сервисов и организации обработки. Для многих небольших проектов требуется меньше документов, чем принято считать.

Не всегда. Если процессы ранее не анализировались, документы без проверки могут закрепить неверные сведения. Сайт, пользовательские сценарии, внутренние процессы, уведомление и документы должны соответствовать единой фактической модели.