Найти тему
Convert Monster Blog
2404 подписчика

Юридические тонкости работы с персональными данными на сайте

50
6 мин
Оглавление

Эта статья будет актуальна для многих – ведь большинство владельцев сайтов и лендингов обрабатывают персональные данные, собирая контакты в формах захвата, не зная о тонкостях обновленного Закона «О персональных данных». Сегодня о нем и поговорим.

Федеральный Закон «О персональных данных»

Федеральный закон «О персональных данных» (далее – ФЗ) обеспечивает защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиту конституционных прав на неприкосновенность частной жизни, личную и семейную тайну. Основные положения Закона подробно можно прочитать тут.

Дадим определение персональным данным, согласно ФЗ:

«Персональные данные (ПД) — это любая информация, относящаяся прямо или косвенно к физическому лицу, с помощью которой можно определить (идентифицировать) человека».

Какая информация относится к персональным данным:

  1. ФИО;
  2. место прописки и проживания;
  3. паспортные данные;
  4. образование;
  5. ИНН;
  6. контактные данные;
  7. сведения о работе;
  8. размер доходов и т.д.

Но персональные данные – не только то, что характеризуют человека, но и данные, которые могут быть использованы для идентификации: динамический IP адрес, cookie-файлы пользователя плюс информация от провайдера.

Есть и исключения: согласно Роскомнадзору телефон, ФИО без привязки к другим данным не являются ПД, т.к. только по номеру или только по имени человека идентифицировать невозможно.

Выделяют также и специальные персональные данные:

  • расовая, национальная принадлежность;
  • политические взгляды;
  • религиозные и философские убеждения;
  • состояние здоровья,
  • интимная жизнь.

Их обработка допускается, только если пользователь дал согласие на обработку именно этих ПД.

В понятие «обработка персональный данных» входит: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача другим лицам, обезличивание, блокирование, удаление, уничтожение информации.

Обработка может вестись как при помощи технических средств (компьютера), так и сугубо на бумажных носителях;

Цели обработки персональных данных

Цели обработки должны быть конкретными, определенными заранее и законными.

Обработка ПД, несовместимая с целями сбора персональных данных, не допускается.

Цели обработки прописываются в документе «Политика обработки ПД», доступном для всех посетителей сайта.

Обработка ПД должна вестись только с согласия пользователя. Письменное разрешение не обязательно, достаточно косвенного, например галочки напротив соответствующего пункта онлайн-анкеты.

Инструменты сбора персональных данных на сайте

Форма обратной связи:

-2

Форма захвата email в обмен на бонус:

-3

Форма регистрации и создания личного кабинета:

-4

Анкета для участия в программе лояльности:

-5

Страница чек-аута при оформлении заказа:

-6

Регистрация через социальные сети:

-7

Cookie-файлы, Google Analytics,  Яндекс.Метрика
:

-8

Наказание за нарушение закона о персональных данных

Закон о персональных данных распространяется на операторов ПД.

Оператор ПД — любая организация, ИП и физическое лицо, которые обрабатывают персональные данные, например, собирает электронные адреса для рассылки.

Вы считаетесь оператором, если у вас есть:

  • форма обратной связи;
  • личный кабинет пользователя;
  • форма заказа обратного звонка;
  • форма заявки;
  • форма подписки на email-рассылку;
  • Яндекс.Метрика или Google Analytics.

Обработка ПД, если она выходит за рамки целей, для которых эти ПД собирались грозит штрафами:

  • штраф для физических лиц в размере от 1000 до 3000 рублей,
  • для юридических лиц — от 30000 тысяч до 50000 рублей.

Обработка ПД без активного согласия человека чревата:

  • штраф для граждан в размере от 3000 до 5000 рублей
  • для юридических лиц — от 15000 до 75000 рублей.

Неосторожность, которая повлекла неправомерный или случайный доступ к ПД, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении ПД:

  • штраф для граждан в размере от 700 до 2000 рублей;
  • для ИП — от 10000 до 20000 рублей;
  • для юридических лиц — от 25000 до 50000 рублей.

Чек-лист проверки вашего сайта на соответствие ФЗ

1. Хостинг и базы данных на территории РФ;

2. Согласие на обработку пд под каждой формой захвата:

  • разместить текст «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных».
  • в тексте должна быть ссылка на документ — Пользовательское соглашение, договор или согласие на обработку персональных данных.
  • текст самого документа можно разместить на отдельной странице.

3. Какая информация должна содержаться в Политике обработки ПД:

  • наименование или ФИО и адрес оператора, запрашивающего ПД;
  • цель обработки ПД;
  • перечень ПД, согласие на обработку которых дает пользователь;
  • наименование или ФИО и адрес лица, которому поручена обработка ПД, если такое лицо имеется;
  • перечень действий с ПД, на которые дается согласие;
  • сроки, в течение которых действует согласие;
  • как ПД могут быть отозваны пользователем;

Конструктор сайтов Тильда написал очень удобный шаблон политики конфиденциальности, вы можете составить свой документ по этому шаблону.

Помимо этого, всем новым пользователям сайта нужно показывать предупреждение с текстом о том, что вы собираете метаданные пользователя (cookie, данные об IP-адресе и местоположении).

Регистрация в реестре операторов Роскомнадзора

Владельцем сайтов следует подать уведомление, чтобы внести свою организацию в реестр операторов персональных данных Роскомнадзора.

Вам не нужно регистрироваться в реестре, если вы:

  • обрабатываете только данные работников и только для исполнения требований трудового законодательства (без передачи данных в банки, например, оформления зарплатного проекта);
  • обрабатываете данные, заключая договор с каждым клиентом и работником, и не передаете данные третьим лицам;
  • обрабатываете персональные данные только на бумажных носителях.

Роскомнадзор выдвигает особые требования для юридических лиц. Они обязаны:

  • назначить ответственных лиц и разработать пакет внутренних документов по обработке и защите ПД;
  • регулировать отношений с физическими лицами, государственными органами и контрагентами;
  • защищать ПД (антивирусы, средства межсетевого экранирования, разграничение прав доступа и др.);

Полный список документов, устраивающий Роскомнадзор тут.

Чтобы отрегулировать отношения с физлицами, контрагентами и другими заинтересованными сторонами, необходимо:

  1. С сотрудниками: подписать соглашение о неразглашении ПД, согласие на обработку ПД и под роспись ознакомить со внутренними документами по ПД;
  2. С другими физлицами: подписать согласие на обработку ПД или добавить пункты об обработке ПД в рабочие договоры; отвечать на запросы физлиц по обработке их ПД;
  3. С клиентами: заключать поручения на обработку ПД, при передаче данных 3-им сторонам;

Суммируем:

  • Законы в сфере сбора и обработки ПД ужесточились, контроль усилился, а штрафы выросли;
  • Почти все юридические лица и ИП, которые собирают информацию о пользователе на сайте, считаются операторами персональных данных и попадают под действие 152-ФЗ.
  • Закон чётко не определяет, что такое персональные данные. К ним относится любая информация о пользователе: имя, фамилия, телефон, ссылка на профиль в социальных сетях и другое.

Чтобы соблюдать 152-ФЗ, как минимум, надо:

  • зарегистрироваться как оператор ПД,
  • составить политику обработки ПД и согласие на обработку персональных данных,
  • повесить на сайт уведомление о сборе метаданных;

2