Чек-лист регистрации оператора ПДн в Роскомнадзоре

Статус проверки: [НЕ НАЧАТО / В ПРОЦЕССЕ / ВЫПОЛНЕНО] Дата последнего обновления: [ДАТА]

Настоящий чек-лист описывает конкретные шаги для регистрации МирПоНитке в реестре операторов ПДн и соблюдения требований Федерального закона № 152-ФЗ «О персональных данных».

Актуальный текст закона: https://www.consultant.ru/document/cons_doc_LAW_61801/

1. Регистрация в реестре операторов ПДн

• ☐ Подготовить уведомление об обработке персональных данных (форма уведомления доступна в личном кабинете оператора на портале Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/notification/form/).
• ☐ Зарегистрироваться или войти в личный кабинет оператора на портале pd.rkn.gov.ru.
• ☐ Заполнить уведомление об обработке ПДн в соответствии со ст. 22 ФЗ-152. Обязательные поля уведомления:
• Цель обработки — идентификация пользователей; исполнение договора-оферты; выплаты авторам; противодействие мошенничеству; аналитика; исполнение требований законодательства.
• Категории ПДн — ФИО; Telegram ID/username; данные ЕСИА (СНИЛС, дата рождения, паспортные данные); телефон/карта для СБП-выплат; ИНН; IP-адрес, user-agent, cookies, device fingerprint; история донатов и просьб.
• Действия с ПДн — сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача (третьим лицам по договорам), обезличивание, блокирование, удаление, уничтожение.
• Сроки обработки — срок действия учётной записи + 3 года после удаления; для анонимизированной аналитики — бессрочно.
• Меры защиты — шифрование at-rest (HMAC+AES-GCM для платёжных реквизитов), 2FA для администраторов, разграничение доступа, протоколирование.
• ☐ Направить уведомление в Роскомнадзор в электронной форме через личный кабинет.
• ☐ Получить подтверждение внесения организации в реестр операторов ПДн. Сохранить документальное подтверждение.

2. Публикация политики конфиденциальности

• ☐ Опубликовать Политику конфиденциальности в открытом доступе по адресу /legal/privacy-policy (прямая ссылка mirponitke.ru/legal/privacy-policy). Роскомнадзор проверяет наличие политики автоматически при мониторинге сайтов.
• ☐ Убедиться, что ссылка на Политику конфиденциальности присутствует на главной странице, в футере сайта и на странице регистрации.
• ☐ Опубликовать Публичную оферту по адресу /legal/offer.

3. Согласие пользователей на обработку ПДн

• ☐ Реализовать чекбокс согласия на обработку персональных данных при регистрации пользователя. Требования:
• Чекбокс НЕ должен быть установлен по умолчанию — пользователь проставляет его самостоятельно.
• Рядом с чекбоксом — ссылка на Политику конфиденциальности.
• Факт согласия и его дата/время должны логироваться в базе данных.
• ☐ Убедиться, что без установки чекбокса согласия регистрация невозможна.
• ☐ Реализовать механизм отзыва согласия в личном кабинете пользователя (или через обращение на email).

4. Локализация баз данных на территории РФ

• ☐ Убедиться, что все БД с персональными данными граждан РФ размещены исключительно на серверах в Российской Федерации (Selectel, РФ) — требование ст. 18 ч. 5 ФЗ-242.
• ☐ Сохранить договор с Selectel как подтверждение размещения на территории РФ. Данный документ может быть запрошен Роскомнадзором при проверке.
• ☐ Убедиться в отсутствии репликации данных за рубеж (включая резервные копии). Проверить конфигурацию хостинга.

5. Назначение ответственного за организацию обработки ПДн

• ☐ Издать приказ о назначении ответственного за организацию обработки персональных данных (обычно директор / генеральный директор / CEO). Образец — в шаблонах Роскомнадзора.
• ☐ Ознакомить ответственного с требованиями ФЗ-152 под подпись.
• ☐ Указать данные ответственного лица в уведомлении для Роскомнадзора.

6. Внутренние документы по защите ПДн

• ☐ Разработать и утвердить Положение об обработке и защите персональных данных (внутренний нормативный документ организации). Шаблон Роскомнадзора доступен на pd.rkn.gov.ru. [ССЫЛКА]
• ☐ Разработать и утвердить Политику обработки персональных данных (внутренний документ, более детальный, чем публичная политика конфиденциальности).
• ☐ Подготовить шаблон ответа на запрос субъекта ПДн (срок ответа — 30 календарных дней). Документ оформляется на фирменном бланке организации.

7. Технические меры защиты ПДн

• ☐ Шифрование at-rest для чувствительных полей: платёжные реквизиты (PaymentTarget) уже защищены HMAC + AES-GCM. Проверить корректность реализации перед запуском.
• ☐ Пароли всех сервисных учётных записей соответствуют требованиям сложности. Пароли не хранятся в открытом виде.
• ☐ 2FA (двухфакторная аутентификация) обязательна для всех администраторов Платформы.
• ☐ Журнал доступа к ПДн — ведётся протоколирование обращений к персональным данным (кто, когда, какие данные были запрошены/изменены).
• ☐ Настроены ограничения сетевого доступа к БД (только доверенные IP, firewall).

8. Журнал учёта запросов субъектов ПДн

• ☐ Завести Журнал учёта обращений субъектов ПДн (может вестись в электронном виде или на бумажном носителе). Журнал содержит: дату обращения, ФИО заявителя, суть запроса, дату и содержание ответа.
• ☐ Определить ответственного за ведение журнала.
• ☐ Хранить журнал не менее 3 лет.

9. Договоры поручения на обработку ПДн с третьими лицами

• ☐ Заключить договор поручения на обработку персональных данных с Selectel (хостинг) в соответствии со ст. 6 ч. 3 ФЗ-152.
• ☐ Проверить наличие аналогичных условий в договоре с ЮKassa (платёжный оператор).
• ☐ Проверить условия договора с SMS-провайдером на предмет обработки ПДн.
• ☐ По Sentry: ⚠️ уточнить у юриста необходимость договора поручения или иного правового инструмента, учитывая возможную трансграничную передачу данных.

Ссылки и ресурсы

Последнее обновление чек-листа: [ДАТА]