Все это — онлайн, с заботой о вас и по отличным ценам.
Нужно убедиться, что документ соответствует всем актуальным требованиям 152 ФЗ, учитывает специфику сервиса
Здравствуйте! Мне надо проверить составленный документ об обработке персональных данных для сервиса, который будет скоро разрабатываться.
Нужно убедиться, что документ соответствует всем актуальным требованиям 152 ФЗ, учитывает специфику сервиса (использование ai-моделей через сторонний сервис) и максимально обезопасит ИП с юридической точки зрения.
Для примера, вот список политик от аналогичных сервисов:
https://diaclass.ru/doc/privacyOOO.pdf
https://presentsimple.ai/политика_конфиденциальности.pdf
https://slider-ai.ru/static/doc/privacy_policy.pdf
https://sokratic.ru/public/privacy.pdf
https://fokus.am/ru/policy
Итого:
1. Проверка текущего документа
2. Предоставление отредактированного документа, в соответствии со всеми нормами 152-ФЗ и готового к использованию на сайте/сервисе.
3. Список других документов, необходимых для обработки ПД, которые нужно разместить на сайте/в сервисе (согласие, положение?).
4. Прочие рекомендации.
- Политика обработки ПД.pdf
Алексей, здравствуйте.
Предоставленный документ «Политика обработки персональных данных» содержит базовые положения, необходимые согласно Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных».
Какие я выявил недостатки:
1. Отсутствие актуальных положений о трансграничной передаче данных. В связи с использованием AI-моделей через сторонний сервис, данный раздел требует особого внимания.
Согласно пункту 11 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», трансграничная передача персональных данных требует отдельного регулирования и согласия пользователя
11) трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2. Недостаточно детально описаны права субъектов персональных данных. В действующей редакции закона существенно расширены права субъектов, которые должны быть отражены в документе.
3. Отсутствует информация о мерах по локализации хранения данных. С 30 мая 2025 года все данные российских пользователей должны храниться и обрабатываться исключительно на территории России. С информацией можно ознакомиться здесь: https://companies.rbc.ru/news/LfIRlNzMxt/popravki-v-152-fz-chto-biznesu-nuzhno-znat-o-personalnyih-dannyih-v-2025/
4. Недостаточно конкретизированы положения о согласии на обработку персональных данных. С 1 января 2025 года действуют новые требования к форме и содержанию согласия.
Распоряжением Правительства от 09.04.2024 № 856-р утверждены бумажная и электронная формы согласия на размещение и обработку ПД в ЕСИА и единой биометрической системе (кратко — ЕБС).
Унифицированные формы включают пункты для заполнения по ПД субъекта, цели согласия, информацию об операторе ПДн, о представителе субъекта ПДн, срок действия, подпись и дату соглашения.
5. Не учтены новые категории данных, введенные в законодательство в 2025 году. В частности, данные о поведении пользователей на сайте теперь требуют отдельного согласия.
6. Недостаточно проработан раздел о мерах защиты персональных данных, особенно в контексте использования AI-технологий.
Вам нужно детализировать раздел о трансграничной передаче данных (указать конкретный перечень передаваемых данных при использовании AI-моделей, добавить информацию о получении отдельного согласия пользователя на трансграничную передачу при каждом использовании функции генерации контента, уточнить, что согласно новой редакции статьи 12 ФЗ-152, оператор обязан до начала передачи получить от иностранных юридических лиц сведения о принимаемых ими мерах по защите передаваемых данных).
Далее, нужно расширить раздел о правах субъекта персональных данных (включить право на получение информации об обработке в структурированном формате, добавить порядок отзыва согласия на обработку, указать сроки исполнения запросов субъекта (10 рабочих дней согласно актуальным требованиям)).
Добавить раздел о локализации хранения данных, указать, что все персональные данные российских пользователей хранятся на серверах, расположенных на территории Российской Федерации. Перечислить технические и организационные меры по обеспечению такой локализации.
Далее, нужно обновить раздел о согласии на обработку. Согласие является отдельным документом и не включается в иные документы, описать новые требования к содержанию согласия согласно Распоряжению Правительства от 09.04.2024 № 856-р.
Добавить раздел о новых категориях данных, включить положения об обработке данных о поведении пользователей на сайте, указать необходимость отдельного согласия на обработку cookie-файлов.
Рекомендовал бы также добавить информацию о конкретных организационных и технических мерах защиты
Указать лиц, ответственных за обеспечение безопасности персональных данных. Можно добавить раздел об ответственности за нарушение требований законодательства о персональных данных с указанием актуальных штрафов.
Помимо обновленной Политики обработки персональных данных, для полного соответствия требованиям законодательства необходимо разработать и разместить на сайте/в сервисе следующие документы:
— Форма согласия на обработку персональных данных (отдельный документ согласно новым требованиям);
— Форма согласия на трансграничную передачу данных (с указанием конкретных данных, передаваемых AI-сервису);
— Форма отзыва согласия на обработку персональных данных;
— Политика в отношении cookie-файлов (отдельный документ или раздел в основной политике);
— Положение о защите персональных данных (внутренний документ, определяющий порядок обработки и защиты ПДн);
— Регламент действий при утечке персональных данных (согласно новым требованиям от 30 мая 2025 года).
В качестве доп. рекомендаций, назначьте ответственное лицо за обработку персональных данных в Вашей организации и укажите его контактные данные в Политике. Подайте уведомление в Роскомнадзор о начале обработки персональных данных. С 2025 года форма уведомления обновлена.
Внедрите механизм получения согласия пользователей перед каждым использованием функции генерации контента через AI-модель с четким указанием, какие данные будут переданы. Используйте только российские облачные сервисы для хранения персональных данных пользователей, чтобы соответствовать требованиям о локализации данных.
Разработайте процедуру проведения оценки соблюдения иностранными контрагентами (AI-сервисами) требований конфиденциальности при передаче им персональных данных. Внедрите механизм гибкой настройки cookie-файлов, позволяющий пользователям выбирать, какие данные могут собираться.
Проведите аудит сайта на наличие иностранных сервисов аналитики и замените их на российские аналоги в соответствии с новыми требованиями. Ведите журнал обращений субъектов персональных данных с запросами об удалении, доступе или изменении данных (хранить, на сколько помню не менее 3 лет).
Обратите особое внимание на вопросы трансграничной передачи данных и локализации их хранения, так как в этой области произошли значительные изменения, а штрафы за нарушения существенно увеличились.
Если у Вас остались вопросы или Вам требуется помощь в подготовке обновленных документов, Вы можете написать мне в чат для дальнейшего обсуждения.
Надеюсь мой ответ был Вам полезен!