Закон о персональных данных

Приводим сайт в соответствие с законом о персональных данных

С 1 июля вступили в силу поправки в КоАП о нарушениях в работе с персональными данными.

 

Штрафы за нарушения стали на порядок больше, и теперь эти штрафы реально будут накладывать.

Это касается всех владельцев сайтов — юридических и физических лиц.

Если вы собираете хоть какие-то персональные данные не в соответствии с законом 152-ФЗ, Роскомнадзор может наказать рублём.

 

✏ Персональные данные и что о них надо знать

Персональные данные (ПД) — это любая информация, по которой можно прямо или косвенно определить человека:

- ФИО;
- дата рождения;
- телефон;
- адрес;
- электронная почта;
- ИНН;
- фотографии;
- сведения о работе;
- ссылки на аккаунты в соцсетях или личный сайт;
- метрики сайта (ip-адрес, геотеги, cookies и т.д.);
- и очень многое другое.

Проблема вот в чём: в самом законе нет точного и исчерпывающего объяснения, что и при каких условиях считать персональными данными.

По отдельности большинство перечисленных данных не считаются персональными.

Нельзя определить человека ТОЛЬКО по дате рождения или ТОЛЬКО по email-адресу.

И даже по ФИО нельзя — есть же полные тёзки.

А вот если от человека обязательно требуется указать на сайте имя и email — это уже персональные данные.

Персональные данные — почти всегда совокупность нескольких разных данных о человеке.

Но есть исключения. Например, номер телефона. Обычно SIM-карты в салонах связи продают по паспорту, а паспортные данные вносят в базу.

А значит, если у вас есть доступ к базе оператора — теоретически вы можете установить личность человека по одному только номеру.

Закон не может регламентировать каждую мелочь и каждый частный случай. Приходится руководствоваться здравым смыслом.

Если вы абсолютно уверены, что нельзя установить личность человека по данным, которые собираете на сайте — хорошо.

Если не уверены — лучше сразу считайте, что всё-таки собираете персональные данные.

 

Если сайт собирает персональные данные — его владелец считается оператором персональных данных.

Операторами могут быть и юридические, и физические лица.

 

 Как понять, оператор вы или нет

Иногда владелец сайта и сам не знает, что он — оператор персональных данных.

Вот распространённые «сборники» ПД:
✅ формы подписки на рассылку (имя + email, телефон и т.д.);
✅ личный кабинет интернет-магазина (имя + адрес, телефон и т.д.);
✅ форма заявки или обратной связи (имя + email или телефон);
✅ системы онлайн-чат, онлайн-консультант (имя + email, телефон и т.д.);
✅ форма размещения комментариев в блоге (имя + email или адрес сайта).

Если что-то из этого есть на сайте и требует от посетителей ввода персональных данных, то владелец автоматически признаётся оператором. И это только частные случаи.

Возможно, вы собираете данные каким-то другим образом.

✅ Важно. Если человек сам проявляет инициативу и выкладывает свои ПД на сайте, хотя вы его об этом не просили — вы не становитесь оператором.

В комментариях к статье посетитель может выложить хоть скан паспорта и фотографию банковской карты. Вы не несёте за это ответственность.

Как видим, почти все коммерческие сайты попадают под действие закона.

Но не обязательно управлять интернет-магазином, чтобы быть оператором — даже сайты с информационными рассылками и блоги собирают персональные данные.

Что делать, если вы собираете персональные данные

Законодатель предъявляет 3 главных требования:
✅ Составить политику конфиденциальности и разместить её на сайте.
✅ Уведомить Роскомнадзор, что вы собираете персональные данные.
✅ При сборе данных брать согласие с посетителей сайта.

Обо всём по порядку.

Как составить политику конфиденциальности?

Вот что нужно прописать в политике:

Наименование компании-оператора.

Если сайт принадлежит ИП или просто физическому лицу — ФИО.

Адрес оператора: юридический (для юрлиц) или фактический (для физлиц).

Список собираемых данных: имя, почта, телефон, cookies, геометки и т.д. Список должен быть максимально полным.

Посмотрите, какие данные попадают в системы аналитики (и CRM-систему, если пользуетесь).

Цель сбора данных.

Вы должны объяснить, для чего будете использовать персональные данные.

Например, для доставки товара, рассылки рекламных писем, отправки СМС-сообщений с напоминанием о конференции и т.д.

Собирайте и обрабатывайте только нужные для работы данные — иначе могут выписать штраф.

Действия с данными: это сбор, уточнение, хранение и т.д.

 Сроки обработки данных. 

Нельзя хранить ПД вечно — после «использования по назначению» их надо удалять.

Интернет-магазин взял email, чтобы присылать уведомления о заказе? Когда человек примет товар — его почту следует стереть из базы. Исключение — если вы собираете данные для регулярной рассылки.

Факт привлечения третьих лиц к обработке данных. Если это геотеги или cookies — в качестве третьих лиц выступят Яндекс и Google.

Если вы по партнёрской программе приводите покупателей в какой-то интернет-магазин — третьим лицом будет этот магазин.

Свои контактные данные — почту, телефон. Это нужно, чтобы человек мог обратиться к вам и попросить изменить, уточнить либо удалить свои персональные данные.

Меры обеспечения безопасности данных.

Объясните, что персональные данные в безопасности и расположены на защищённых серверах. Каких именно — можно узнать у своего хостинг-провайдера.

Эти принципы обработки персональных данных устанавливает закон 152-ФЗ в статье 5.

Важно:

✅ текст политики нужно разместить на отдельной странице;
ссылку на политику поставить в футере (нижней части) сайта;
активная ссылка на политику должна быть на каждой странице.

 Как уведомить о сборе данных Роскомнадзор

Уведомление можно подать на сайте Роскомнадзора в специальной форме. Желательно сделать это до того, как начнёте собирать персональные данные — например, перед запуском сайта.

Подавать уведомление в Роскомнадзор надо, даже если вы живёте не в России. Граждане Украины, Беларуси и любой другой страны обязательно должны обратиться в Роскомнадзор, если они собирают ПД российских граждан.

 Как получить согласие посетителей на сбор данных

При сборе ПД нужно брать согласие посетителя на обработку персональных данных.

Учтите вот что:
-- согласие на обработку ПД должно быть «конкретным, информированным и сознательным» — выраженным в явном виде;
-- ссылка на политику конфиденциальности — обязательно;
-- чек-бокс с галочкой — обязательно.

Выполнение всех этих условий послужит доказательством, что человек добровольно и осознанно согласился на обработку своих ПД. 

Имя, фамилия, почта и марка автомобиля — это ПД.

Если вы просите у человека эти данные при подписке на рассылку (или в другом случае) — он должен подтвердить согласие галочкой в чекбоксе

Обычно эту строчку помещают рядом с полем для ввода данных: под формой подписки, в настройках аккаунта интернет-магазина.

Обратите внимание на чёткость формулировки.

Галочка в чекбоксе не проставляется автоматически — посетитель должен сделать это сам.

Такую форму заполнят только самые упорные и заинтересованные.

Если вы собираете cookies, геотеги, ip и другие данные для систем аналитики — на сайте желательно вывесить дисклеймер. Это уведомление, которое всплывает при заходе на сайт.

 В дисклеймере кратко укажите:

какие данные вы собираете;
зачем они нужны;
просьбу покинуть сайт, если эти условия не устраивают посетителя.

Всё честно: можно остаться или уйти.

Хранить данные — только на территории РФ

Хранить базы персональных данных можно только на серверах, расположенных на территории РФ.

Выбирайте российский хостинг. Если пользуетесь CRM-системой — убедитесь, что её серверы находятся в России.

Передавать данные за границу можно. Но только в случае, если сначала они попали в «материнскую» базу, расположенную в России.

Поэтому будьте осторожнее с рассылками. Не стоит пользоваться теми иностранными сервисами рассылок, которые «подтягивают» данные о подписчиках сразу на свои серверы.

А вот если вы собираете с будущих подписчиков только email — закон о персональных данных вас не коснётся, и иностранными сервисами рассылок пользоваться можно.

В каких случаях всё это не нужно:

Вам не нужно размещать политику конфиденциальности и общаться с Роскомнадзором, если вы собираете только обезличенные данные — те, по которым определить человека нельзя.

Поэтому иногда проще исправить кое-что на сайте.

Например, если у вас блог — измените форму комментирования так, чтобы человеку достаточно было оставить имя без других данных.

Для сообществ в социальных сетях писать политику (и брать согласие на обработку данных) тоже необязательно.

У социальных сетей есть своя политика конфиденциальности. К тому же продажа товаров через «ВКонтакте» или Instagram считается публичной офертой.

Какие персональные данные лучше не собирать:

Выше мы говорили об общих персональных данных. Но ещё закон выделяет специальные и биометрические ПД.

Это те, что касаются:
-- расовой и национальной принадлежности;
-- политических взглядов, религиозных или философских убеждений;
-- состояния здоровья, интимной жизни и других физиологических и биологических особенностей человека.

Сюда же относятся отпечатки пальцев и фотографии.

Да, лучше не требовать от довольного клиента прикрепить к отзыву фото. Он может сделать это только по собственному желанию.

Все эти данные требуют при сборе согласия на обработку в письменной форме.

Человек должен лично написать согласие и поставить свою подпись. Чекбокс с галочкой уже не подойдёт.

Если продвигаете сайт клиники или другого медучреждения — не делайте ничего без согласования со штатными юристами.

Какова вероятность, что Роскомнадзор придёт с проверкой?

В основном Роскомнадзор будет штрафовать компании. Максимальный совокупный штраф для юридических лиц — 290 000 рублей, а для физических — «всего» 15 500.

Понятно, с кого начинать выгоднее. Список плановых проверок уже утверждён. Будут и внеплановые.

Небольшим интернет-магазинам с ИП будет легче. Их много, а сотрудников Роскомнадзора не очень.

Но риск всё равно есть — Роскомнадзор обязан провести проверку, если поступит жалоба от субъекта персональных данных.

Например, человек заходит на сайт и видит: форма подписки на рассылку есть, а политики конфиденциальности — нет.

Если он отправит жалобу в Роскомнадзор — тот придёт с проверкой.

Поэтому требования 152 ФЗ нужно исполнять.

На заметку! 

персональные данные — это любая информация, по которой можно прямо или косвенно определить человека;
если вы собираете персональные данные — нужно разместить на сайте политику конфиденциальности и уведомить Роскомнадзор;
у людей надо брать согласие на обработку персональных данных — разместите под формой ввода данных соответствующую строку с чекбоксом и ссылкой на политику;
все персональные данные надо хранить только на российских серверах;
специальные и биометрические персональные данные можно собирать только по письменному согласию;

Роскомнадзор может прийти за каждым.

 

 Сохраните себе на стену, чтоб не потерять, эта информация поможет Вам и вашим знакомым.

БлагоДарю команду А.С. Белановского за разъяснения.

Комментарии:

Оставить комментарий