В предыдущем посте мы разобрали ключевые уязвимости в обработке персональных данных, которые повышают риск предписаний со стороны Роскомнадзора и увеличивают вероятность его профилактического визита. Все это может привести к административным штрафам. Там речь шла о потенциальных рисках, в этом — о том, как они проявляются на практике. 🔺 Мы проанализировали частные компании из перечня РКН, к которым уже запланированы профилактические визиты, и выявили повторяющиеся слабые места в их системе работы с ПДн. Фиксируем их в карточках. Ниже — первоочередные шаги, которые можно внедрить уже сейчас, чтобы снизить регуляторные риски и привести работу с персональными данными в управляемый режим. 01. Провести инвентаризацию обработок ПДн: по каждой операции зафиксировать цель, категории субъектов, состав ПДн, правовое основание, используемые ИСПДн/сервисы, получателей и подрядчиков, а также сроки хранения и порядок уничтожения/обезличивания ПДн. 02. Свериться с уведомлением в РКН: обеспечить соответствие фактическим процессам, детализировать цели вместо использования одной «универсальной», устранить пробелы и внутренние противоречия (в том числе по каналам сбора, передаче третьим лицам, трансграничной передаче). 03. Привести публичный контур (сайт и формы) к требованиям: актуализировать политику и уведомления, обеспечить корректные согласия, исключить предустановленные отметки, разделить основания для маркетинговых коммуникаций и для аналитики/технических cookies. 04. Провести аудит подрядчиков и договорной модели: проверить наличие и качество поручений/условий об обработке ПДн, закрепить роли (оператор/обработчик), перечень операций, цели, меры защиты, порядок привлечения субподрядчиков и ответственность. 05. Создать минимально необходимый контур ИБ и реагирования на инциденты: назначение ответственных, модель доступа и журналирование, резервное копирование, регламенты реагирования и расследования, контроль исполнения мер, порядок уведомлений и фиксации событий. 06. Процедуры по обращениям субъектов: единый канал приема запросов, регламенты по срокам и составу ответов, шаблоны, журнал учета обращений и результатов рассмотрения. Это первоочередные меры, которые нужно внедрять уже сейчас. 💻 Вы можете обратиться к нам: мы проведем диагностику, приведем процессы и документы в соответствие требованиям и выстроим управляемую систему работы с персональными данными. Это снизит регуляторные риски и подготовит вас к профилактическим визитам РКН.