Закон о персональных данных: что нужно знать владельцу сайта

Сегодня любой сайт — это полноценный инструмент работы с клиентами, который приносит деньги, но неправильно выстроенные процессы могут стать причиной серьезного штрафа. На сайте обрабатываются персональные данные (ПДн), если там есть, например, форма заявки, подписка или онлайн-запись. Мы расскажем, какие нюансы важно учесть владельцу сайта, чтобы не превратить работу с данными в глобальные юридические риски.

Персональные данные: что это

Под персональными данными на сайте подразумевается любая информация, по которой прямо или косвенно можно распознать конкретного человека (ст.3 ФЗ от 27.07.2006 №152-ФЗ). Перечень таких данных законом не ограничен, но на практике к ним относят:

• ФИО, дату рождения, семейное положение;
• номер телефона, адрес проживания;
• паспортные данные, ИНН, СНИЛС;
• сведения о здоровье, анализах, группе крови;
• биометрия: фото, голос, отпечатки пальцев, если они используются для идентификации;
• номер банковской карты;
• сведения об образовании, стаже, доходах;
• геолокацию, IP-адрес, cookie-файлы.

В ряде ситуаций к ПДн могут отнести даже отзывы пользователей: например, если они содержат ФИО, город и фотографии клиентов.

Важно! ФЗ от 27.07.2006 №152-ФЗ распространяется не только на крупные порталы, но и на лендинги, сайты-визитки и личные блоги с формами обратной связи.

Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»

Сделаем заключение на соблюдение требований Роскомнадзора

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Нажимая кнопку "Отправить", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Согласием на обработку персональных данных

Нажимая кнопку "Отправить", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности

Отправить

Главные правила для владельцев сайтов

Опубликуйте Политику обработки ПДн

Если онлайн-ресурс собирает личные сведения пользователей, Политика обработки персональных данных для сайта обязательна. Она должна быть размещена на отдельной странице и доступна со всех разделов, где пользователь вводит данные. Чаще всего ссылку добавляют в подвал сайта.

Политика должна содержать:

• адрес сайта, к которому она применяется;
• сведения об операторе;
• категории субъектов;
• цели обработки;
• перечень собираемых ПДн;
• способы, сроки хранения и обработки;
• порядок уничтожения ПДн.

Берите согласие на обработку персональных данных на сайте

Форма, где пользователь вводит данные, должна сопровождаться явным согласием, если цели обработки выходят за рамки предмета договора. Так, согласие нужно для маркетинговых рассылок или передачи ПДн третьим лицам, которые не задействованы в исполнении заказа. На практике это реализуется через чек-бокс рядом с кнопкой отправки формы.

В согласии обязательно указывают:

• наименование или ФИО и адрес оператора;
• цели, для которых собираются ПДн;
• перечень ПДн;
• описание действий с ПДн;
• способы обработки;
• сведения о третьих лицах, если им поручается обработка;
• срок действия согласия;
• порядок его отзыва.

Работа с ПДн без согласия влечет административную ответственность по ст. 13.11 КоАП РФ и довольно высокие штрафы — от 300 000 до 700 000 рублей, при повторном нарушении — до 1,5 млн рублей.

Но есть исключения, когда согласие не нужно: например, если ПДн собираются для исполнения договора, стороной которого выступает субъект, или при акцепте публичной оферты путем совершения конклюдентных действий (подписания СМС-кодом и т.д.).

Предупреждайте о сборе Cookies

Cookie-файлы относятся к ПДн, если позволяют идентифицировать пользователя. Поэтому всем новым посетителям сайта необходимо показывать уведомление о сборе cookie.

Включите в уведомление:

• краткий текст о сборе данных;
• кнопку согласия;
• ссылку на Политику обработки.

Если пользователь не согласен со сбором cookies, он должен иметь возможность покинуть сайт.

Важно! Если вы используете сервисы веб-аналитики (например, Яндекс.Метрику), обязательно разместите Политику конфиденциальности. Причина проста: в данном случае технические данные пользователя автоматически передаются на сервер третьего лица, и субъект ПДн должен быть об этом проинформирован. В Политике должен быть полный перечень используемых сервисов веб-аналитики с указанием их владельцев, а ссылку на документ разместите в самом баннере.

Предусмотрите возможность отозвать согласие

Пользователь вправе в любой момент отозвать согласие на обработку ПДн, которое он давал ранее. Это право закреплено в ст. 9 ФЗ №152-ФЗ. Отзыв направляется тем же способом, каким было получено согласие: через сайт, электронную почту или иной канал. После получения отзыва оператор обязан прекратить обработку в течение 30 дней и уничтожить ПДн, если нет законных оснований для их хранения.

Локализуйте обработку в базах на территории РФ

При сборе ПДн граждан РФ их запись, систематизация, накопление и ряд иных действий должны осуществляться с использованием баз данных, расположенных на территории Российской Федерации (ч. 5 ст. 18 ФЗ №152-ФЗ).

Соответственно, вы не можете использовать сервисы с базами в других государствах для работы с ПДн. Обратите внимание на российские аналоги — это безопаснее. Если нарушить правило локализации, вас могут оштрафовать на сумму до 6 млн рублей (ч.8 ст.13.11 КоАП РФ).

Зарегистрируйтесь в реестре операторов

Владелец сайта обязан подать в Роскомнадзор уведомление об обработке ПДн, это можно сделать на сайте ведомства. По результатам его добавят в реестр операторов.

Уведомление можно не подавать только в случаях, прямо указанных в ст.22 ФЗ №152-ФЗ:

• данные обрабатываются только на бумаге;
• ПДн нужны для обеспечения госбезопасности или для соблюдения законодательства в сфере транспорта.

Заключите договор поручения обработки

Если работа с ПДн передается третьим лицам — хостинг-провайдеру, CRM-сервису, маркетинговому подрядчику — это должно быть оформлено договором поручения.

В договоре указывают:

• перечень ПДн;
• цели обработки;
• допустимые действия с ПДн;
• требования к конфиденциальности и безопасности;
• обязанность хранить ПДн в базах на территории РФ;
• обязанность подтверждать соблюдение требований закона.

Заключение

ФЗ №152-ФЗ требует от каждого владельца сайта системного подхода. Политика, согласия, уведомления, локализация и договоры с подрядчиками — это единая цепочка обязанностей. Грамотно выстроенная обработка персональных данных на сайте снижает риск штрафов и проверок и становится признаком ответственного отношения к бизнесу и личной информации пользователей.