Многие заказчики обращаются за моей услугой по аудиту по собственной инициативе, и это лучшая практика для предупреждения вопросов со стороны регулятора.
Некоторые приходят после того, как получили запрос или требование от РКН об устранении нарушений после дистанционной проверки их сайта в рамках контрольных мероприятий. И здесь уже приходится "тушить пожар".
Поскольку РКН производит проверку сайтов в автоматическом режиме 24/7 (с помощью специализированного ПО), дистанционно и без предупреждения, рано или поздно большая часть сайтов будет проверена регулятором на соответствие требованиям закона.
Я помогаю заказчикам предупредить связанные с этим правовые риски.
В рамках аудита сайта на предмет обработки персональных данных пользователей я провожу следующие мероприятия:
- фиксация точек сбора данных в рамках UserFlow, проверка способа их реализации на соответствие закону;
- проверка наличия законных и достаточных оснований обработки данных на сайте;
- проверка содержания и структуры Политики, Пользовательского соглашения/Оферты, Согласий на обработку ПД, куки-баннера на соответствие закону;
- выявление фактов трансграничной передачи данных, передачи данных третьим лицам, а также наличие правовых оснований для таких передач данных пользователей;
- проведение интервью с представителем заказчика по техническим условиям обеспечения работы сайта и процессов обработки ПД на сайте (на чьих мощностях функционирует сайт, с какими сервисами/базами интегрирован, как производится и оформляется процесс удаления ПД из баз данных сайта и т.п.);
- составление отчета/заключения по итогам аудита с указанием нарушений процессов обработки (при наличии), рисков возможных санкций и рекомендаций по их устранению;
- корректировка/разработка необходимой документации для сайта (в том числе, помимо основной документации - формы Соглашения о поручении обработки третьим лицам, Журнала уничтожения и Акта уничтожения ПД, Согласия на передачу/распространение данных).
В случае реагирования на запросы РКН:
- своевременно (в установленный запросом срок) готовлю мотивированный ответ на соответствующие требования регулятора со ссылками на нормы действующего законодательства;
- при необходимости - разрабатываю недостающие документы для сайта.
Каждый разработанный мной документ учитывает специфику продукта/процесса заказчика.
В результате работы со мной заказчик получает:
1. Предупреждение вопросов со стороны РКН (если заказчик обратился по собственной инициативе).
2. Своевременную реакцию на запросы РКН, что снижает вероятность включения оператора в ежегодный План профилактических визитов в последующем.
Я НЕ предлагаю типовые шаблоны, я изучаю бизнес-процессы, реализуемые на сайте, и на их основе разрабатываю индивидуальные правовые решения для закрытия рисков каждого из своих заказчиков.
Пожаловаться
