В каждой развитой стране есть законодательные акты, которые регулируют работу с персональными данными пользователей:
- В России это Федеральный закон РФ "О персональных данных" от 27 июля 2006 года № 152-ФЗ
- В Канаде этот закон называется the Personal Information Protection and Electronic Documents Act (PIPEDA)
- В США это закон Федеральная информационная безопасность модернизации 2014 года (FISMA2014)
Данные законы необходимо знать тем, у кого на сайте есть формы сбора данных, блоки для комментариев, опросы о личных взглядах и пр, сбор биометрических данных, формы подписки, заказа, анкеты, сбор любых данных о пользователе – то есть всем, кто владеет сайтами.
Следуйте рекомендациям из данной статьи, чтобы вас не привлекли к ответственности.
Прежде всего необходимо определиться – являетесь ли вы оператором обработки персональных данных. Как это сделать? Если на вашем сайте есть формы обратной связи, по которым можно идентифицировать пользователя, то вы автоматически становитесь оператором и вам необходимо подать уведомление в Роскомнадзор для регистрации в реестре операторов обработки персональных данных.
Однако если пользователь сам изъявляет желание выложить на вашем сайте свои личные данные, и вы его об этом не просили, то вы не являетесь оператором. Также заявку на регистрацию не нужно подавать при обработке только данных собственных сотрудников, если вы заключаете договоры с каждым из своих клиентов или при сборе данных только на бумажных носителях, если данные включают в себя только ФИО.
Российское законодательство обязывает выполнять операторов следующие требования для сайтов:
- Ссылку на политику персональных данных необходимо располагать на видном месте.
- На каждой форме обратной связи должно располагаться уведомление о согласии с обработкой персональных данных при ее отправлении, а также ссылка на политику конфидициальности/соглашение на обработку персональных данных.
- Необходимо выделить отдельную страницу для соглашения на обработку персональных данных, которое должно содержать:
- Наименование или ФИО оператора, собирающего данные пользователей, его адрес.
- Цель, с которой вы собираетесь обрабатывать персональные данные на вашем сайте.
- Перечисление персональных данных, на обработку которых дает согласие пользователь.
- Наименование или ФИО того, кто будет обрабатывать персональные данные при обработке третьими лицами или организациями.
- Перечисление действий с персональными данными, на которые запрашивается согласие.
- На какой срок запрашивается согласие для обработки данных.
- Как пользователь может отозвать свое разрешение на обработку своих данных.
- Пользовательские данные должны храниться на территории РФ, поэтому необходимо проверить, чтобы хостинг и сервера с базами данных располагаются в России (физическое расположение центра обработки данных).
- Всем новым пользователям необходимо показывать уведомление (дисклеймер) о том, что сайт будет собирать данные, которые также относятся к персональным (например, cookie-файлы, IP-адреса, геолокацию и другие) с целью его функционирования. Если пользователь не согласен с этим, то он сможет покинуть сайт.
- Если в соглашение на обработку персональных данных вносятся изменения или оператор хочет перестать собирать персональные данные, то необходимо отправить уведомление в Роскомнадзор (не позднее 10 рабочих дней с момента внесения изменений или с даты прекращения обработки данных пользователей).
Если вы работаете с гражданами Европейского Союза и обрабатываете их персональные данные, то на вас будет распространяться закон GDPR. Можно выделить несколько особенностей, которые вам необходимо знать об этом документе:
- GDPR разрешается переносить персональные данные пользователей между организациями при запросе пользователя.
- При утере данных, оператору необходимо уведомить контролирующие органы в течение 72 часов, а также тех, чьи интересы могут быть затронуты при этом.
- На сайте необходимо коротко, с четкими формулировками, без сложных речевых оборотов прописывать объяснение, какие данные будут собираться и с какой целью использоваться.
- Нельзя собирать персональные данные детей без согласия их родителей. Возрастной порог, когда родительское согласие не требуется, устанавливается отдельно каждой страной, участвующей в ЕС (это от 13 до 16 лет).
- Необходимо предоставлять пользователю электронную копию его данных при запросе.
- При нарушении закона GDPR штрафы существенно выше, чем по российскому законодательству.
При обработке данных граждан США существуют рекомендации по минимизации обрабатываемых персональных данных и их максимальному обезличиванию.
В январе 2020 года в штате Калифорния вступил в силу свой закон о работе с персональными данными. В отличие от GDPR, где требуется получение согласия на обработку персональных данных, в Калифорнийском законе необходимо только обрабатывать запросы, которые поступают от пользователей сайта.
При этом если данные пользователя будут украдены, то потребуется заплатить 100-750 долларов каждому пострадавшему лицу. Пользователь может направить жалобу о нарушении относительно его обрабатываемых персональных данных. При этом закон не обязывает организацию обнародовать факты нарушений без запроса пользователя. При поступлении жалобы необходимо решить проблему в течение месяца, иначе будут штрафные санкции в размере 7,7 тысяч долларов.
По закону Канады отсутствует требование по расположению баз персональных данных граждан на территории страны. Однако, такое требование существует на уровне двух провинций – Новой Шотландии и Британской Колумбии.
Вывод: Важно правильно работать в отношении обработки персональных данных, чтобы избежать проблем с законом. Следуйте нашим советам и все будет хорошо.