Приводим сайт в соответствие с законом о персональных данных

С 1 июля вступили в силу поправки в КоАП о нарушениях в работе с персональными данными. Штрафы за нарушения стали на порядок больше, и теперь эти штрафы реально будут накладывать.
Это касается всех владельцев сайтов — юридических и физических лиц. Если вы собираете хоть какие-то персональные данные не в соответствии с законом 152-ФЗ, Роскомнадзор может наказать рублём.
В этой статье мы расскажем, как сделать всё правильно и избежать штрафов. Она будет полезна, если вы раскручиваете сайты клиентов или собственные проекты, продаёте что-то с лендингов или ведёте личный блог.
Немного теории: персональные данные и что о них надо знать

Персональные данные (ПД) — это любая информация, по которой можно прямо или косвенно определить человека:
ФИО;
дата рождения;
телефон;
адрес;
электронная почта;
ИНН;
фотографии;
сведения о работе;
ссылки на аккаунты в соцсетях или личный сайт;
метрики сайта (ip-адрес, геотеги, cookies и т.д.);
и очень многое другое.
Проблема вот в чём: в самом законе нет точного и исчерпывающего объяснения, что и при каких условиях считать персональными данными.

По отдельности большинство перечисленных данных не считаются персональными. Нельзя определить человека ТОЛЬКО по дате рождения или ТОЛЬКО по email-адресу. И даже по ФИО нельзя — есть же полные тёзки. А вот если от человека обязательно требуется указать на сайте имя и email — это уже персональные данные.
Персональные данные — почти всегда совокупность нескольких разных данных о человеке.
Но есть исключения. Например, номер телефона. Обычно SIM-карты в салонах связи продают по паспорту, а паспортные данные вносят в базу. А значит, если у вас есть доступ к базе оператора — теоретически вы можете установить личность человека по одному только номеру.

Закон не может регламентировать каждую мелочь и каждый частный случай. Приходится руководствоваться здравым смыслом. Если вы абсолютно уверены, что нельзя установить личность человека по данным, которые собираете на сайте — хорошо. Если не уверены — лучше сразу считайте, что всё-таки собираете персональные данные.

Посмотрите на примеры.
Если посетитель должен ввести только email, чтобы подписаться на рассылку. Email в этом случае — обезличенные данные.

Если обязательно нужно указать и имя, и адрес почты. Это уже персональные данные.

Если сайт собирает персональные данные — его владелец считается оператором персональных данных. Операторами могут быть и юридические, и физические лица.
Как понять, оператор вы или нет

Иногда владелец сайта и сам не знает, что он — оператор персональных данных. Вот распространённые «сборники» ПД:

  • формы подписки на рассылку (имя + email, телефон и т.д.);

    личный кабинет интернет-магазина (имя + адрес, телефон и т.д.);

    форма заявки или обратной связи (имя + email или телефон);

    системы онлайн-чат, онлайн-консультант (имя + email, телефон и т.д.);

  • форма размещения комментариев в блоге (имя + email или адрес сайта).
    Если что-то из этого есть на сайте и требует от посетителей ввода персональных данных, то владелец автоматически признаётся оператором. И это только частные случаи. Возможно, вы собираете данные каким-то другим образом.
    Важно. Если человек сам проявляет инициативу и выкладывает свои ПД на сайте, хотя вы его об этом не просили — вы не становитесь оператором. В комментариях к статье посетитель может выложить хоть скан паспорта и фотографию банковской карты. Вы не несёте за это ответственность.
    Как видим, почти все коммерческие сайты попадают под действие закона. Но не обязательно управлять интернет-магазином, чтобы быть оператором — даже сайты с информационными рассылками и блоги собирают персональные данные.
    Что делать, если вы собираете персональные данные

    Законодатель предъявляет 3 главных требования:
    Составить политику конфиденциальности и разместить её на сайте.
    Уведомить Роскомнадзор, что вы собираете персональные данные.
    При сборе данных брать согласие с посетителей сайта.
    Обо всём по порядку.
    Как составить политику конфиденциальности

    Вот что нужно прописать в политике:
    Наименование компании-оператора. Если сайт принадлежит ИП или просто физическому лицу — ФИО.
    Адрес оператора: юридический (для юрлиц) или фактический (для физлиц).
    Список собираемых данных: имя, почта, телефон, cookies, геометки и т.д. Список должен быть максимально полным. Посмотрите, какие данные попадают в системы аналитики (и CRM-систему, если пользуетесь).
    Цель сбора данных. Вы должны объяснить, для чего будете использовать персональные данные. Например, для доставки товара, рассылки рекламных писем, отправки СМС-сообщений с напоминанием о конференции и т.д. Собирайте и обрабатывайте только нужные для работы данные — иначе могут выписать штраф.
    Действия с данными: это сбор, уточнение, хранение и т.д.
    Сроки обработки данных. Нельзя хранить ПД вечно — после «использования по назначению» их надо удалять. Интернет-магазин взял email, чтобы присылать уведомления о заказе? Когда человек примет товар — его почту следует стереть из базы. Исключение — если вы собираете данные для регулярной рассылки.
    Факт привлечения третьих лиц к обработке данных. Если это геотеги или cookies — в качестве третьих лиц выступят Яндекс и Google. Если вы по партнёрской программе приводите покупателей в какой-то интернет-магазин — третьим лицом будет этот магазин.
    Свои контактные данные — почту, телефон. Это нужно, чтобы человек мог обратиться к вам и попросить изменить, уточнить либо удалить свои персональные данные.
    Меры обеспечения безопасности данных. Объясните, что персональные данные в безопасности и расположены на защищённых серверах. Каких именно — можно узнать у своего хостинг-провайдера.
    Эти принципы обработки персональных данных устанавливает закон 152-ФЗ в статье 5.
    Важно:
    текст политики нужно разместить на отдельной странице;
    ссылку на политику поставить в футере (нижней части) сайта;
    активная ссылка на политику должна быть на каждой странице.
    Как уведомить о сборе данных Роскомнадзор

    Уведомление можно подать на сайте Роскомнадзора в специальной форме. Желательно сделать это до того, как начнёте собирать персональные данные — например, перед запуском сайта.
    Подавать уведомление в Роскомнадзор надо, даже если вы живёте не в России. Граждане Украины, Беларуси и любой другой страны обязательно должны обратиться в Роскомнадзор, если они собирают ПД российских граждан.
    Как получить согласие посетителей на сбор данных

    При сборе ПД нужно брать согласие посетителя на обработку персональных данных. Учтите вот что:
    согласие на обработку ПД должно быть «конкретным, информированным и сознательным» — выраженным в явном виде;
    ссылка на политику конфиденциальности — обязательно;
    чек-бокс с галочкой — обязательно.

    Имя, фамилия, почта и марка автомобиля — это ПД. Если вы просите у человека эти данные при подписке на рассылку (или в другом случае) — он должен подтвердить согласие галочкой в чекбоксе
    Обычно эту строчку помещают рядом с полем для ввода данных: под формой подписки, в настройках аккаунта интернет-магазина.

    Обратите внимание на чёткость формулировки. Галочка в чекбоксе не проставляется автоматически — посетитель должен сделать это сам

    Если вы собираете cookies, геотеги, ip и другие данные для систем аналитики — на сайте желательно вывесить дисклеймер. Это уведомление, которое всплывает при заходе на сайт. В дисклеймере кратко укажите:
    какие данные вы собираете;
    зачем они нужны;
    просьбу покинуть сайт, если эти условия не устраивают посетителя.

    Всё честно: можно остаться или уйти
    Хранить данные — только на территории РФ

    Хранить базы персональных данных можно только на серверах, расположенных на территории РФ. Выбирайте российский хостинг. Если пользуетесь CRM-системой — убедитесь, что её серверы находятся в России.
    Передавать данные за границу можно. Но только в случае, если сначала они попали в «материнскую» базу, расположенную в России.
    Поэтому будьте осторожнее с рассылками. Не стоит пользоваться теми иностранными сервисами рассылок, которые «подтягивают» данные о подписчиках сразу на свои серверы.
    А вот если вы собираете с будущих подписчиков только email — закон о персональных данных вас не коснётся, и иностранными сервисами рассылок пользоваться можно.
    В каких случаях всё это не нужно

    Вам не нужно размещать политику конфиденциальности и общаться с Роскомнадзором, если вы собираете только обезличенные данные — те, по которым определить человека нельзя. Поэтому иногда проще исправить кое-что на сайте. Например, если у вас блог — измените форму комментирования так, чтобы человеку достаточно было оставить имя без других данных.
    Для сообществ в социальных сетях писать политику (и брать согласие на обработку данных) тоже необязательно. У социальных сетей есть своя политика конфиденциальности. К тому же продажа товаров через «ВКонтакте» или Instagram считается публичной офертой.
    Какие персональные данные лучше не собирать

    Выше мы говорили об общих персональных данных. Но ещё закон выделяет специальные и биометрические ПД. Это те, что касаются:
    расовой и национальной принадлежности;
    политических взглядов, религиозных или философских убеждений;
    состояния здоровья, интимной жизни и других физиологических и биологических особенностей человека.
    Сюда же относятся отпечатки пальцев и фотографии. Да, лучше не требовать от довольного клиента прикрепить к отзыву фото. Он может сделать это только по собственному желанию.
    Все эти данные требуют при сборе согласия на обработку в письменной форме. Человек должен лично написать согласие и поставить свою подпись. Чекбокс с галочкой уже не подойдёт.
    Если продвигаете сайт клиники или другого медучреждения — не делайте ничего без согласования со штатными юристами.
    Какова вероятность, что Роскомнадзор придёт с проверкой?

    В основном Роскомнадзор будет штрафовать компании. Максимальный совокупный штраф для юридических лиц — 290 000 рублей, а для физических — «всего» 15 500. Понятно, с кого начинать выгоднее. Список плановых проверок уже утверждён. Будут и внеплановые.
    Небольшим интернет-магазинам с ИП будет легче. Их много, а сотрудников Роскомнадзора не очень. Но риск всё равно есть — Роскомнадзор обязан провести проверку, если поступит жалоба от субъекта персональных данных. Например, человек заходит на сайт и видит: форма подписки на рассылку есть, а политики конфиденциальности — нет. Если он отправит жалобу в Роскомнадзор — тот придёт с проверкой.
    Поэтому требования 152 ФЗ нужно исполнять.
    Запомнить

    персональные данные — это любая информация, по которой можно прямо или косвенно определить человека;
    если вы собираете персональные данные — нужно разместить на сайте политику конфиденциальности и уведомить Роскомнадзор;
    у людей надо брать согласие на обработку персональных данных — разместите под формой ввода данных соответствующую строку с чекбоксом и ссылкой на политику;
    все персональные данные надо хранить только на российских серверах;
    специальные и биометрические персональные данные можно собирать только по письменному согласию;
    Роскомнадзор может прийти за каждым.

    Источник

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *