chain doc dot ok back item-arrow angle-left angle-right vk instagram linkedin facebook play-button mail-ic nda
Все статьи Бизнес-wiki

Как владельцам сайтов работать с персональными данными, чтобы избежать штрафных санкций?

Мария Павлова
Мария Павлова
Специалист по контекстной рекламе
Задать вопрос

В данной статье расскажем, что нужно сделать на сайте, чтобы быть чистыми перед законом в отношении работы с персональными данными.

Персональные данные — это информация о человеке, которая относится к нему прямо или косвенно и передающаяся иному юридическому или физическому лицу. Например, это может быть номер телефона, оставленный в форме с запросом обратного звонка, или электронная почта при регистрации личного кабинета на сайте.

В каждой развитой стране есть законодательные акты, которые регулируют работу с персональными данными пользователей:

Данные законы необходимо знать тем, у кого на сайте есть формы сбора данных, блоки для комментариев, опросы о личных взглядах и пр, сбор биометрических данных, формы подписки, заказа, анкеты, сбор любых данных о пользователе – то есть всем, кто владеет сайтами.

Следуйте рекомендациям из данной статьи, чтобы вас не привлекли к ответственности.

Прежде всего необходимо определиться – являетесь ли вы оператором обработки персональных данных. Как это сделать? Если на вашем сайте есть формы обратной связи, по которым можно идентифицировать пользователя, то вы автоматически становитесь оператором и вам необходимо подать уведомление в Роскомнадзор для регистрации в реестре операторов обработки персональных данных.

Однако если пользователь сам изъявляет желание выложить на вашем сайте свои личные данные, и вы его об этом не просили, то вы не являетесь оператором. Также заявку на регистрацию не нужно подавать при обработке только данных собственных сотрудников, если вы заключаете договоры с каждым из своих клиентов или при сборе данных только на бумажных носителях, если данные включают в себя только ФИО.

Российское законодательство обязывает выполнять операторов следующие требования для сайтов:

  1. Ссылку на политику персональных данных необходимо располагать на видном месте.
  2. На каждой форме обратной связи должно располагаться уведомление о согласии с обработкой персональных данных при ее отправлении, а также ссылка на политику конфидициальности/соглашение на обработку персональных данных.
    3. Форма обратной связи
    Форма сбора персональных данных
  3. Необходимо выделить отдельную страницу для соглашения на обработку персональных данных, которое должно содержать:
    • Наименование или ФИО оператора, собирающего данные пользователей, его адрес.
    • Цель, с которой вы собираетесь обрабатывать персональные данные на вашем сайте.
    • Перечисление персональных данных, на обработку которых дает согласие пользователь.
    • Наименование или ФИО того, кто будет обрабатывать персональные данные при обработке третьими лицами или организациями.
    • Перечисление действий с персональными данными, на которые запрашивается согласие.
    • На какой срок запрашивается согласие для обработки данных.
    • Как пользователь может отозвать свое разрешение на обработку своих данных.
  4. Пользовательские данные должны храниться на территории РФ, поэтому необходимо проверить, чтобы хостинг и сервера с базами данных располагаются в России (физическое расположение центра обработки данных).
  5. Всем новым пользователям необходимо показывать уведомление (дисклеймер) о том, что сайт будет собирать данные, которые также относятся к персональным (например, cookie-файлы, IP-адреса, геолокацию и другие) с целью его функционирования. Если пользователь не согласен с этим, то он сможет покинуть сайт.
  6. Если в соглашение на обработку персональных данных вносятся изменения или оператор хочет перестать собирать персональные данные, то необходимо отправить уведомление в Роскомнадзор (не позднее 10 рабочих дней с момента внесения изменений или с даты прекращения обработки данных пользователей).

Если вы работаете с гражданами Европейского Союза и обрабатываете их персональные данные, то на вас будет распространяться закон GDPR. Можно выделить несколько особенностей, которые вам необходимо знать об этом документе:

  • GDPR разрешается переносить персональные данные пользователей между организациями при запросе пользователя.
  • При утере данных, оператору необходимо уведомить контролирующие органы в течение 72 часов, а также тех, чьи интересы могут быть затронуты при этом.
  • На сайте необходимо коротко, с четкими формулировками, без сложных речевых оборотов прописывать объяснение, какие данные будут собираться и с какой целью использоваться.
  • Нельзя собирать персональные данные детей без согласия их родителей. Возрастной порог, когда родительское согласие не требуется, устанавливается отдельно каждой страной, участвующей в ЕС (это от 13 до 16 лет).
  • Необходимо предоставлять пользователю электронную копию его данных при запросе.
  • При нарушении закона GDPR штрафы существенно выше, чем по российскому законодательству.

При обработке данных граждан США существуют рекомендации по минимизации обрабатываемых персональных данных и их максимальному обезличиванию.

В январе 2020 года в штате Калифорния вступил в силу свой закон о работе с персональными данными. В отличие от GDPR, где требуется получение согласия на обработку персональных данных, в Калифорнийском законе необходимо только обрабатывать запросы, которые поступают от пользователей сайта.

При этом если данные пользователя будут украдены, то потребуется заплатить 100-750 долларов каждому пострадавшему лицу. Пользователь может направить жалобу о нарушении относительно его обрабатываемых персональных данных. При этом закон не обязывает организацию обнародовать факты нарушений без запроса пользователя. При поступлении жалобы необходимо решить проблему в течение месяца, иначе будут штрафные санкции в размере 7,7 тысяч долларов.

По закону Канады отсутствует требование по расположению баз персональных данных граждан на территории страны. Однако, такое требование существует на уровне двух провинций – Новой Шотландии и Британской Колумбии.

Вывод: Важно правильно работать в отношении обработки персональных данных, чтобы избежать проблем с законом. Следуйте нашим советам и все будет хорошо.