• Юридические и консалтинговые услуги
  • Телеком, ИТ, медиа специализация
  • Ориентированы на удаленное взаимодействие

Phone icon (8152)-994-323

Email icon



Документы по персональным данным, риск-ориентированный подход

Что бы экономить на количестве документов по защите пересональных данных, время и средства на разработку, поддержание документов в актуальном состоянии, мы часто применяем риск-ориентированный подход к возможным выявлениям нарушений органами Роскомнадзора.

Основная суть подхода - выстрание обработки персональных данных в компании так, что бы существенно уменьшить вероятность планирования проверки по персональным данным, устранение признаков нарушений в текущих процессах для исключения штрафов при систематическом наблюдении Роскомнадзора (дистанционной проверки), жалобах субъектов персональных данных, как следствие, минимальный комплект документов на первом этапе. Второй этап, который уже полностью покроет документами обработку ПДн, может быть отложен.

Согласно п. 4 ст. 18.1. "Оператор обязан представить документы и локальные акты... и (или) иным образом подтвердить принятие мер... по запросу уполномоченного органа по защите прав субъектов персональных данных.". Прямо из закона вытекает, что все внутренние документы могут предоставленны Роскомнадзору не иначе как по запросу (в том числе по запросу в ходе проверки), соответственно у компании будет время выполнить второй этап документирования.Такой запрос (проверка) может впринципе никогда не произойти из-за отсутствия признаков нарушений благодаря первому этапу документирования и корректировки процесов обработки ПДн.

Итоговая стоимость такого подхода к документированию получается существенно ниже, подходит небольшим, иногда средним компаниям.

Как происходит наша работа при риск-ориентированном подходе

  1. Включаемся в проект, проводим аудит коммерческой модели, договоров, других документов исходя из вида деятельности.
  2. Выстраиваем обработку персональных данных в компании так, что бы избежать уведомления Роскомнадзора о внесении в Реестр операторов персональных данных, применяем легальные основания позволяющие это сделать: вносим соответствующие формулировки (оговорки) в договоры, иногда существенно изменяем договоры.
  3. Разрабатываем или исправляем политику в отношении обработки персональных данных, пользовательские соглашения оферты, работаем с сайтом, другими документами по персональным данным, которые должны быть общедоступными.
  4. Работаем с другой документацией и локальными актами при необходимости, также устраняем признаки нарушений (доказательств) когда документацию сделать затруднительно (холдинговые структуры).
  5. Завершаем этап подготовки документов, передаем клиенту информацию по управлению оставшимися рисками, возможности оформления документов на втором этапе с нашей помощью или силами клиента.

При таком подходе 

С внешней стороны

  1. Снижаем вероятность проверки Роскомнадзора до практически допустимого результата.
  2. Отсутствуют признаки нарушений в случае проведения систематического наблюдения со стороны органов Роскомнадзора.
  3. Отсутствуют признаки нарушений в случае предъявления жалоб от субъекта персональных данных.
  4. Документы выполняют одну из целей - не быть оштрафованным.

С внутренней стороны

  1. Понимаете принципы обработки персональных данных внутри компании, соответствие сущности обработки закону (отсутствует сбор избыточных данных, необоснованный сбор данных и т.п.)
  2. Можно подготовить оставшиеся документы на втором этапе или принять решение о подготовке оставшихся документов при проведении в отношении Вас проверки, о которой будет известно из плана проверок и уведомления.
  3. Практический результат по документированию ПДн с управляемыми оставшимися рисками.
  4. Экономия на разработке и содержании документации в актуальном состоянии.

Если риск-ориентированный подход для Вас не подходит, мы сразу подготовим полностью все документы. Вместе с этим, по последовательности работы начнем с первого этапа - аудита и самых важных документов.

Примечание для представителя Роскомнадзора: Может показаться, что мы предлагаем обходить требования законодательства, это абсолютно не так. Если сейчас у оператора ПДн нет документов или они несоответствуют закону, что я и Вы встречаем очень часто, то  он с помошью нас уже будет иметь базовые документы - это явно призыв к началу работы по действующему законодательству. Когда закончить документирование - решать оператору, но мы точно знаем когда какие риски и расскажем ему об этом.

Дополнительно

Операторы связи и вещатели находятся в особом положении, так как подконтрольны Росконадзору по связной и вещательной тематике. Если оператор свзяи или вещатель подал уведомление об обработке персональных данных, информационная система Роскомнадзора с огромной вероятностью запланирует вместе с проверкой связного или вещательного направления комплексную проверку по ПДн. 

Это дополнительный аргумент правильно выстроить обработку и иметь соответствующую ей документацию.

Поскольку сейчас действует риск-ориентированный подход со стороны Роскомнадзора по отношению к связным и вещательным компаниям, одновременно подскажем явные ошибки в документации относительно соблюдения законодательства в сфере связи и вещания, обычнно это отдельная услуга.

Стоимость

В среднем стоимость разработки документов по персональным данным для операторов связи и провайдеров хостинга при риск-ориентированном подходе от 10 тысяч рублей в зависимости от возможности применения типовых решений, комплект документов без учета риск-ориентрованного подхода при наличии ИСПДН значительно дороже по рынку.

Стоимость для компаний других отраслей договорная.

Задать вопрос

Email
не работает javascript