chain doc dot ok back item-arrow angle-left angle-right vk instagram linkedin facebook play-button mail-ic nda
Все статьи Бизнес-wiki

Как сайту соответствовать закону о персональных данных

Елена Волкова
Задать вопрос

Ни для кого не секрет, что персональные данные пользователей, которые так или иначе контактируют с юридическими или физическими лицами, нужно правильно хранить и не допускать их распространения.

Иное влечет за собой много неприятностей, вплоть до достаточно крупных штрафных сумм – для юридических лиц штрафы могут варьироваться от 3 тысяч до 18 млн рублей.

Регулирует отношения между персональными данными и теми, кто их собирает Федеральный закон № 152 «О персональных данных». В нем, конечно, говорится не только о сборе и хранении информации в сети интернет, но и вообще в целом о любой работе с персональными данными в руках третьих лиц.

Конкретно в нашей статье мы раскрыли зону ответственности именно сайтовладельца, что нужно сделать на своем интернет ресурсе, чтобы соответствовать закону и быть белыми и пушистыми как перед Роспотребнадзором, так и перед своими пользователями.

Полный текст ФЗ № 152 в PDF можно скачать тут

Персональные данные – это, вообще, что?

Персональные данные пользователя – это любая информация, по которой этого самого пользователя можно идентифицировать, хоть прямо, хоть косвенно.

И к ним относятся:

  • Фамилия, Имя и Отчество
  • Номер телефона, как мобильного, так и городского
  • Почтовый электронный адрес
  • Данные паспорта
  • Информация о дате и месте рождения
  • Адрес проживания или регистрации
  • Гео метки или информация о местоположении человека
  • Фото и видео контент с участием пользователя
  • Данные о семейном положении, о наличии имущества (движимого и недвижимого)
  • Данные об образовании, профессии и месте работы
  • IP адреса устройств, через которые совершается выход в сеть Интернет
  • Ссылки на любые учётные записи пользователя
  • И т.д.

Cookie-файлы также можно отнести к понятию персональных данных, т.к. они собирают и хранят информацию о том, какие сайты, во сколько, откуда и с каких устройств посещал человек, какими товарами и услугами интересовался и т.д.

Лицо (юридическое или физическое), собирающее, обрабатывающее и хранящее у себя персональные данные называется оператором персональных данных, а пользователь, которого можно с помощью этих данных идентифицировать - субъектом персональных данных.

Все ли обязаны соблюдать закон «О персональных данных»?

Если пользователь в том или ином виде предоставляет вам какие-то из вышеперечисленных данных - значит на вас распространяется действие Федерального закона, и вы обязаны на сбор этих данных получать у пользователей согласие.

И неважно каким из способов вы получаете эти данные: посредством cookie-файлов, методами сайта или оффлайн (если потом вы храните их в электронном виде).

Например, сбором персональной информации на сайте считаются:

  • Форма обратной связи / обратного звонка
  • Форма регистрации на сайте
  • Возможность авторизации на сайте с помощью аккаунтов в социальных сетях
  • Форма заказа товара или услуги
  • Форма подписки на рассылку
  • Блок для отзывов
  • Устный сбор данных, путем обзвона клиентов менеджером.

Правила обработки и сбора персональных данных

Хранение данных должно происходить на территории РФ

Сайты и базы данных, где собирается и хранится информация, должны располагаться только на российских хостингах и серверах. Если вы хотите воспользоваться услугами иностранных хостинг-провайдеров, вам нужно убедиться, что у них есть серверы в России и ваш сайт будет находиться именно на одном из них.

Узнать о расположении сервера можно у вашего хостинг-провайдера напрямую, если вы не найдете этих данных в открытых источниках.

Штрафы за выявление факта нарушения самые внушительные из всего списка:

  • Физ.лица: 30 – 100 тыс. рублей
  • Юр.лица и ИП: 1 – 18 млн. рублей.
  • Должностные лица: 100 – 800 тыс. рублей.

Уведомьте Роскомнадзор о том, что вы планируете собирать персональные данные

Для этого нужно заполнить форму на их официальном сайте

Затем направить заполненное уведомление по электронной почте, а далее распечатать и отправить заказным письмом на адрес вашего территориального управления. Только после этого вы попадете в официальный реестр операторов персональных данных.

В документе вы должны отразить следующую информацию:

  • Что именно, какие действия вы совершаете с персональными данными
  • Какие способы обработки используете
  • Если передаете данные, то куда
  • Какие меры предпринимаете для защиты данных пользователей – издаете локальные документы для сотрудников, используете тех.средства (пароли, антивирус, шифрование и т.д.)
  • Осуществляете ли вы трансграничную передачу данных и в какие именно государства
  • По какому адресу расположены серверы с вашими сайтами и базами данных
От уведомления освобождены лица, которые не собирают и не хранят информацию в электронном виде, а делают все оффлайн и на бумажке.

О любых изменениях в сборе и хранении информации вы обязаны уведомить Роскомнадзор в течение 10 дней.

Штрафы за выявление факта нарушения:

  • Физ.лица: 100 – 300 рублей
  • Юр.лица и ИП: 3 – 5 тыс. рублей
  • Должностные лица: 300 – 500 рублей.

Составьте документ «Согласие на обработку персональных данных»

В тексте документа прописываете данные, предусмотренные текущей и действующей редакцией федерального закона.

Например:

  • Типы персональных данных, которые вы собираете
  • С какой целью вы это делаете
  • Срок, на который пользователь дает вам свое согласие
  • Действия с персональными данными, которые вы планируете совершать: собирать, хранить, передавать третьим лицам, систематизировать и т.д.
  • Если собираетесь передавать персональные данные третьим лицам, то кому
  • Указать как пользователю можно отозвать разрешение на обработку своих данных

Если ваше «Согласие на обработку персональных данных» не будет соответствовать требованием текущего законодательства, то это может повлечь за собой привлечение к административной ответственности.

Например, условия обработки персональных данных на нашем сайте выглядят так.

Штрафы за выявление факта нарушения:

  • Физ.лица: 6 – 20 тыс. рублей
  • Юр.лица: 30 – 500 тыс. рублей
  • ИП: до 300 тыс. рублей
  • Должностные лица: 20 – 100 тыс. рублей.

Составьте документ «Политика конфиденциальности»

Это будет отдельный документ, где будут прописаны правила сбора, хранения и обработки персональных данных. Он похож по содержанию на «Согласие», только более детальный.

Роскомнадзор даже дал свои рекомендации по его составлению, ознакомиться можно тут

Ссылка на эту страницу должна быть на каждой странице сайта, где вы собираете пользовательские данные.

На нашем сайте политика выглядит так.

Не стоит забывать, что как «Политику конфиденциальности», так и «Согласие на обработку персональных данных» лучше скрыть от индексации, ничего кардинально нового вы на ней не напишете, а для поисковиков любой неуникальный контент на сайте не будет сулить ничего хорошего.

Штрафы за выявление факта нарушения:

  • Физ.лица: 1,5 – 3 тыс. рублей
  • Юр.лица: 30 – 60 тыс. рублей
  • ИП: 10 - 20 тыс. рублей
  • Должностные лица: 6 – 12 тыс. рублей.

Пользователь должен дать согласие на обработку своих данных

Для этого клиент должен быть ознакомлен с обоими текстами документов, о которых мы писали в пунктах 3 и 4 (ссылки на сами документы должны быть хорошо видны пользователю на сайте или в моб. приложении).

А затем должен подтвердить свое согласие, например, с помощью формы для сбора данных на сайте, где можно либо вставить текст о том, что отправляя форму клиент согласен с обработкой персональных данных, либо вставить поле для простановки галочки о согласии.

Галочку клиент должен поставить сам, никаких автоматически заполненных полей в форме быть не должно!

Если у вас есть форма на рассылку, то с ней пользователь должен согласиться отдельно. Как и со сбором cookie-файлов.

Согласие считается выраженным, если пользователь явно вам его дал, поставил где нужно галочку или нажал на кнопку, уведомил об этом устно менеджера, расписался в бланке и т.д. Повторимся еще раз: никакие автоматически заполненные графы и бездействие пользователя в ответ на просьбу согласиться с политикой сбора данных не дает вам права на сбор и обработку данных такого пользователя. И это будет штрафоваться в ответ на какую-либо жалобу.

Храните согласие всех пользователей

Как в течение всего времени, пока вы работаете с персональными данными, так и 3 года после. Если клиент обратится с жалобой, вы будете обязаны предоставить Роскомнадзору эти данные.

Собирайте только необходимую вам для работы информацию

По закону вы не имеете права собирать персональные данные пользователей, которые для вашей работы не пригодятся.

Пример: клиент заказал у вас доставку, чтобы оказать услугу, вам нужно знать только адрес и контактный номер телефона встречающего. Вся остальная информация не имеет к вашей услуге отношения и собираться не должна.

Штрафы за выявление факта нарушения:

  • Физ.лица: 2 – 12 тыс. рублей
  • Юр.лица: 60 – 300 тыс. рублей
  • ИП: до 100 тыс. рублей
  • Должностные лица: 10 – 50 тыс. рублей.

Имейте ответственное за сбор персональных данных лицо

Это может быть как сотрудник в рамках вашей компании, так и отдельная компания на аутсорсе, занимающаяся сбором и хранением информации.

Ответственный должен:

  • Следить за изменениями в федеральном законодательстве по этой теме
  • Обновлять «Согласие на обработку» и «Политику конфиденциальности», согласно последним требованиям закона
  • Писать инструкции по работе и раздавать указания сотрудникам, занимающимся сбором и хранением персональных данных
  • Реагировать на просьбы субъектов персональных данных – это могут быть просьбы о прекращении сбора данных или уточнения данных, которыми владеет оператор. Сроки реагирования должны составлять до 10 рабочих дней.

Штрафы за выявление факта нарушения:

  • Физ.лица: 2 – 30 тыс. рублей
  • Юр.лица: 40 – 500 тыс. рублей
  • ИП: 20 - 100 тыс. рублей
  • Должностные лица: 8 – 50 тыс. рублей.

Обеспечьте безопасность и сохранность персональных данных.

Вы можете сделать это как самостоятельно, так и с помощью специальных агентств с лицензией Федеральной службы по техническому и экспортному контролю (ФСТЭК) на деятельность по технической защите конфиденциальной информации.

Если вы работаете с подрядчиком, то между вами должен быть составлен Договор, в котором вы обязаны отразить следующие моменты:

  • Перечислить все персональные данные, цели их обработки и операции, с ними совершаемые
  • Обязанности обработчика информации
  • Требования, предъявляемые к защите персональных данных.

В случае утечки персональных данных оператор обязан в течение суток уведомить об инциденте Роскомнадзор и в течение 72 часов разобраться в ситуации и сообщить Роскомнадзору о его результатах.

Штрафы за выявление факта нарушения:

  • Физ.лица: 1,5 – 4 тыс. рублей
  • Юр.лица: 50 – 100 тыс. рублей
  • ИП: 20 - 40 тыс. рублей
  • Должностные лица: 8 – 20 тыс. рублей.

Соблюдайте законодательство и это убережет вас от большого количества проблем и денежных штрафов, некоторые из которых являются весьма ощутимыми.