Как владельцам сайтов работать с персональными данными, чтобы избежать штрафных санкций?

В каждой развитой стране есть законодательные акты, которые регулируют работу с персональными данными пользователей:

• В России это Федеральный закон РФ "О персональных данных" от 27 июля 2006 года № 152-ФЗ
• В Канаде этот закон называется the Personal Information Protection and Electronic Documents Act (PIPEDA)
• В США это закон Федеральная информационная безопасность модернизации 2014 года (FISMA2014)

Данные законы необходимо знать тем, у кого на сайте есть формы сбора данных, блоки для комментариев, опросы о личных взглядах и пр, сбор биометрических данных, формы подписки, заказа, анкеты, сбор любых данных о пользователе – то есть всем, кто владеет сайтами.

Следуйте рекомендациям из данной статьи, чтобы вас не привлекли к ответственности.

Прежде всего необходимо определиться – являетесь ли вы оператором обработки персональных данных. Как это сделать? Если на вашем сайте есть формы обратной связи, по которым можно идентифицировать пользователя, то вы автоматически становитесь оператором и вам необходимо подать уведомление в Роскомнадзор для регистрации в реестре операторов обработки персональных данных.

Однако если пользователь сам изъявляет желание выложить на вашем сайте свои личные данные, и вы его об этом не просили, то вы не являетесь оператором. Также заявку на регистрацию не нужно подавать при обработке только данных собственных сотрудников, если вы заключаете договоры с каждым из своих клиентов или при сборе данных только на бумажных носителях, если данные включают в себя только ФИО.

Российское законодательство обязывает выполнять операторов следующие требования для сайтов:

1. Ссылку на политику персональных данных необходимо располагать на видном месте.
2. На каждой форме обратной связи должно располагаться уведомление о согласии с обработкой персональных данных при ее отправлении, а также ссылка на политику конфидициальности/соглашение на обработку персональных данных.



Форма сбора персональных данных
3. Необходимо выделить отдельную страницу для соглашения на обработку персональных данных, которое должно содержать:
   • Наименование или ФИО оператора, собирающего данные пользователей, его адрес.
   • Цель, с которой вы собираетесь обрабатывать персональные данные на вашем сайте.
   • Перечисление персональных данных, на обработку которых дает согласие пользователь.
   • Наименование или ФИО того, кто будет обрабатывать персональные данные при обработке третьими лицами или организациями.
   • Перечисление действий с персональными данными, на которые запрашивается согласие.
   • На какой срок запрашивается согласие для обработки данных.
   • Как пользователь может отозвать свое разрешение на обработку своих данных.
4. Пользовательские данные должны храниться на территории РФ, поэтому необходимо проверить, чтобы хостинг и сервера с базами данных располагаются в России (физическое расположение центра обработки данных).
5. Всем новым пользователям необходимо показывать уведомление (дисклеймер) о том, что сайт будет собирать данные, которые также относятся к персональным (например, cookie-файлы, IP-адреса, геолокацию и другие) с целью его функционирования. Если пользователь не согласен с этим, то он сможет покинуть сайт.
6. Если в соглашение на обработку персональных данных вносятся изменения или оператор хочет перестать собирать персональные данные, то необходимо отправить уведомление в Роскомнадзор (не позднее 10 рабочих дней с момента внесения изменений или с даты прекращения обработки данных пользователей).

Если вы работаете с гражданами Европейского Союза и обрабатываете их персональные данные, то на вас будет распространяться закон GDPR. Можно выделить несколько особенностей, которые вам необходимо знать об этом документе:

• GDPR разрешается переносить персональные данные пользователей между организациями при запросе пользователя.
• При утере данных, оператору необходимо уведомить контролирующие органы в течение 72 часов, а также тех, чьи интересы могут быть затронуты при этом.
• На сайте необходимо коротко, с четкими формулировками, без сложных речевых оборотов прописывать объяснение, какие данные будут собираться и с какой целью использоваться.
• Нельзя собирать персональные данные детей без согласия их родителей. Возрастной порог, когда родительское согласие не требуется, устанавливается отдельно каждой страной, участвующей в ЕС (это от 13 до 16 лет).
• Необходимо предоставлять пользователю электронную копию его данных при запросе.
• При нарушении закона GDPR штрафы существенно выше, чем по российскому законодательству.

При обработке данных граждан США существуют рекомендации по минимизации обрабатываемых персональных данных и их максимальному обезличиванию.

В январе 2020 года в штате Калифорния вступил в силу свой закон о работе с персональными данными. В отличие от GDPR, где требуется получение согласия на обработку персональных данных, в Калифорнийском законе необходимо только обрабатывать запросы, которые поступают от пользователей сайта.

При этом если данные пользователя будут украдены, то потребуется заплатить 100-750 долларов каждому пострадавшему лицу. Пользователь может направить жалобу о нарушении относительно его обрабатываемых персональных данных. При этом закон не обязывает организацию обнародовать факты нарушений без запроса пользователя. При поступлении жалобы необходимо решить проблему в течение месяца, иначе будут штрафные санкции в размере 7,7 тысяч долларов.

По закону Канады отсутствует требование по расположению баз персональных данных граждан на территории страны. Однако, такое требование существует на уровне двух провинций – Новой Шотландии и Британской Колумбии.

Вывод: Важно правильно работать в отношении обработки персональных данных, чтобы избежать проблем с законом. Следуйте нашим советам и все будет хорошо.