Политика ПДн в футере
Политика должна быть доступна по прямой ссылке, а её содержание должно соответствовать реальным формам, целям, составу данных и сервисам сайта.
Проверить риск отсутствия политикиПроверка Роскомнадзора
Чек-лист подготовки сайта и компании к проверке Роскомнадзора
Проверка РКН обычно начинается с видимых вещей: форм, политики обработки ПДн, согласий, cookie и сведений об операторе. Но большая часть риска находится внутри компании: уведомления, хранение данных, подрядчики, журналы, ИСПДн и меры защиты.
Что важно понять перед проверкой?
Исправить только футер сайта обычно недостаточно. Наличие политики на сайте не доказывает, что компания реально соблюдает процессы обработки ПДн: нужны документы, ответственные лица, договоры с обработчиками, учёт доступа, локализация и порядок реагирования на инциденты.
Шаг 1
Документы и согласия на сайте
Это первый слой, который виден пользователю и регулятору без доступа к внутренним системам компании.
Ссылка рядом с каждой формой
Пользователь должен видеть документы и условия обработки до отправки данных, а не искать их после отправки формы.
Проверить риск уведомленияОтдельный чекбокс согласия
Чекбокс не должен быть предустановлен. Согласие должно быть конкретным, информированным и отделённым от иных действий пользователя.
Проверить риск формы без согласияCookie и внешние сервисы
Аналитика, рекламные пиксели, онлайн-чаты, карты и виджеты должны быть учтены в документах и настройках сайта.
Проверить риск cookiesШаг 2
Внутренние документы и процессы
Эти документы не публикуются на сайте, но часто становятся ключевыми при проверке: они показывают, что обработка ПДн организована не только формально.
1
Ответственный за обработку ПДн
Приказ о назначении ответственного и понятная зона ответственности.
2
Положение об обработке ПДн
Внутренний порядок работы с данными, ознакомление сотрудников и ограничения доступа.
3
Журналы и учёт доступа
Учёт обращений, носителей, инструктажа, допущенных лиц и инцидентов.
4
ИСПДн, модель угроз и меры защиты
Перечень систем, классификация, модель угроз, резервное копирование, парольная и антивирусная защита.
Шаг 3
Уведомления в Роскомнадзор
Отдельно проверьте не только факт подачи уведомления, но и актуальность сведений, трансграничную передачу и порядок действий при утечке.
| Обработка ПДн | Проверьте, подано ли уведомление об обработке и совпадают ли сведения с реальными процессами компании. |
|---|---|
| Изменение сведений | Если изменились цели, категории данных, сервисы, адреса хранения или оператор, сведения нужно актуализировать. |
| Трансграничная передача | Проверьте иностранные сервисы, CDN, аналитику, хостинг, CRM и иные каналы передачи данных за пределы РФ. |
| Утечка ПДн | Нужен план реагирования: первичное уведомление, внутреннее расследование, фиксация действий и последующие исправления. |
Шаг 4
Технические меры и подрядчики
Даже корректные документы не помогут, если заявки открыты публично, данные хранятся вне РФ без оценки рисков или подрядчики получают доступ без договора.
Серверы и базыПроверьте первичную запись, хранение, резервные копии и CRM с данными граждан РФ.
ДоступыОграничьте круг лиц с доступом, ведите журналы и отключайте доступы бывших сотрудников.
ПодрядчикиПроверьте договоры с CRM, хостингом, рассылками, коллтрекингом, чатами и разработчиками.
ИнцидентыПодготовьте регламент действий при утечке, шаблоны уведомлений и порядок расследования.
Автоматически
Что RANext может проверить по сайту
Формы, ссылки на документы, cookie, внешние скрипты, HTTPS, виджеты, признаки интернет-магазина, оплаты, доставки, записи и личного кабинета.
Проверить сайтЧерез чек-лист
Что нужно уточнять у компании
Уведомления, внутренние приказы, журналы, договоры с обработчиками, фактическое хранение баз, ИСПДн, модель угроз и меры защиты.
Пройти чек-листFAQ
Частые вопросы о подготовке к РКН
Что сначала проверять: сайт или внутренние документы?
Лучше начать с сайта: публичные ошибки быстрее видны пользователям и регулятору. Затем нужно проверить внутренние процессы и документы по чек-листу.
Можно ли подготовиться только политикой ПДн?
Нет. Политика важна, но она не заменяет согласия, уведомления, внутренние документы, договоры с обработчиками и технические меры.
Что делать, если данные хранятся в зарубежном сервисе?
Нужно проверить, есть ли трансграничная передача, уведомление в Роскомнадзор, договорные основания и локализация первичной записи данных граждан РФ.
Что делать при утечке персональных данных?
Нужно быстро классифицировать инцидент, зафиксировать обстоятельства, уведомить Роскомнадзор в установленные сроки, провести внутреннее расследование и устранить причину.
Когда нужна помощь юриста?
Если уже пришла жалоба, запрос, предписание, постановление о штрафе или произошла утечка, лучше подключать юриста сразу, чтобы не ухудшить позицию неверными ответами.
Отраслевые страницы
Проверьте требования с учётом своей сферы
Для разных сайтов отличаются формы, данные, подрядчики и типовые ошибки. Выберите свою отрасль и посмотрите отдельный чек-лист.
Подготовьтесь к проверке заранее
Начните с автоматической проверки сайта, а затем закройте внутренние вопросы через чек-лист и подготовку документов.