Как обрабатывать персональные данные на сайте по 152-ФЗ в 2022 году

Как только вы запускаете сайт своей компании, открываете интернет-магазин и начинаете собирать информацию о клиентах, вы становитесь оператором персональных данных и попадаете под действие 152-ФЗ. Эта статья поможет разобраться, как работать по закону и избежать штрафов.

Что относится к персональным данным на сайте

Работу с персональными данными регулирует 152-ФЗ «О персональных данных». Такими данными считается любая информация, которая прямо или косвенно относится к физическому лицу — субъекту персональных данных. Если ориентироваться на реальную практику применения закона, то персональные данные — это информация, позволяющая идентифицировать конкретного человека.

Все действия с собранной информацией будут считаться обработкой. К ней относятся:

• сбор;
• запись;
• передача;
• хранение;
• анализ;
• изменение;
• удаление.

Например, владелец сайта получил телефон, почту и имя покупателя, загрузил их в свою CRM-систему и использует для рассылки информационных сообщений.

В законе не прописаны чёткие критерии, какую информацию можно отнести к персональным данным, то есть по какой комбинации сведений о человеке можно его идентифицировать.

В то же время одни и те же данные по отдельности могут не иметь статус персональных. Например, если пользователь сайта укажет только свой номер телефона, но не назовёт имя и фамилию.

На практике это создаёт дополнительные сложности.

Чаще всего к персональным данным относят:

• фамилию, имя, отчество;
• дату рождения;
• адрес;
• телефон;
• электронный адрес;
• фотографию;
• ссылку на персональный сайт;
• ссылку на профиль в социальных сетях.

Вот два похожих случая, в каждом из которых суд принял противоположные решения:

1. Суд не нашёл нарушение.

Суть дела: «Яндекс.Справочник» опубликовал номера мобильных телефонов, но без имён их владельцев.

Решение суда: в решении суда говорится, что нарушения закона в этом нет. Только номер телефона без указания на владельца не считается персональными данными, ведь по нему нельзя идентифицировать человека.

2. Суд нашёл нарушение.

Суть дела: коллекторское агентство использовало базу телефонов, в которой не было имён их владельцев. Речь шла о должниках и их поручителях. Коллекторы звонили по телефонам и требовали погасить долги.

Решение суда: суд признал использование данных незаконным и оштрафовал коллекторов на 30 000 рублей.

Когда вы становитесь оператором персональных данных

Как только начинаете собирать через свой сайт личную информацию пользователей, по которой их можно идентифицировать.

Типичные случаи, когда владелец сайта будет считаться оператором персональных данных:

1. Посетитель сайта подписался на рассылку и указал свои имя и адрес электронной почты.
2. Посетитель зарегистрировался в личном кабинете и указал имя и номер телефона.
3. В онлайн-магазине покупатель оформил заказ и указал свои имя, телефон и адрес.
4. Посетитель сайта заполнил заявку на обратный звонок, на участие в бесплатном мероприятии, на тестовый доступ к продукту.
5. Пользователь скачал на телефон мобильное приложение и авторизовался через свой номер. Так как это аналог регистрации в личном кабинете на сайте, владелец приложения также становится оператором персональных данных.
6. Посетитель написал владельцу сайта через мессенджер, например, WhatsApp, Telegram.
7. В комментариях к публикации на сайте посетитель авторизовался через аккаунт в социальной сети.

Операторами персональных данных могут быть юридические лица, индивидуальные предприниматели и обычные граждане.

Виктория Ванюшкина, помощник юриста юридической компании «Правовой анклав»:

«Если при заказе товара на сайте онлайн-магазина покупатель укажет только адрес доставки, то такая информация не будет считаться персональными данными. Но если кроме адреса он укажет свои имя и фамилию, номер телефона и другие сведения о себе, то по совокупности этих сведений его можно будет идентифицировать. Это значит, что мы имеем дело с персональными данными».

Что делать, если вы оператор персональных данных

В этом случае нужно:

1. Подготовить все необходимые документы.
2. Подать уведомление в Роскомнадзор и зарегистрироваться как оператору персональных данных.
3. Выложить на сайт политику по обработке персональных данных и пользовательское соглашение.
4. Повесить на сайт уведомление о сборе cookies и других данных.

Теперь расскажем о каждом этапе подробнее.

Шаг 1. Подготовьте все необходимые документы.

На официальном сайте Роскомнадзора есть шаблоны и рекомендации по оформлению документов.

Конструктор политики обработки персональных данных

Вам потребуются:

1. Политика по обработке персональных данных.
2. Внутреннее положение об обработке персональных данных.
3. Приказ о назначении ответственных за работу с персональными данными.
4. Регламент по доступу к персональным данным.
5. Согласие на обработку персональных данных. Посетителю сайта достаточно поставить галочку в чекбоксе, чтобы выразить согласие с правилами. Важно указать в документе все домены, связанные с этим сайтом.
6. Обязательство о неразглашении персональных данных. Его заполняют сотрудники компании с доступом к собранным данным.

Это не полный список всех документов, касающихся обработки персональных данных. Могут потребоваться и другие. Всё зависит от того, какие данные вы собираете, как обрабатываете и храните их.

Образец согласия на обработку персональных данных

Шаг 2. Сообщите в Роскомнадзор о начале сбора данных и зарегистрируйтесь в качестве оператора.

Когда документы готовы, нужно уведомить Роскомнадзор, что сайт начинает собирать персональные данные. Сделать это нужно заранее, то есть до того, как сайт начнёт обработку информации пользователей.

Чтобы уведомить Роскомнадзор, нужно:

1. Заполнить форму на официальном сайте ведомства.
2. После отправки формы оригинал заявления нужно направить в территориальное отделение Роскомнадзора. Документ должен быть подписан руководителем, на нём должна стоять печать организации.
3. Регулятор внесёт сведения в реестр операторов персональных данных в течение 30 дней с даты поступления уведомления.

Когда ещё нужно уведомить Роскомнадзор:

1. Если прекращаете сбор личных сведений. Например, компания изменила сайт, убрала личный кабинет клиента и форму подписки на рассылку, сделала простой сайт без регистрации и указала только свои контакты для связи.
2. Если в компании изменились условия обработки и хранения персональных данных. Например, у вашего юрлица сменился адрес, код деятельности, структура сбора данных.

Шаг 3. Опубликуйте на сайте согласие на обработку персональных данных.

Как правило, достаточно дать ссылку на политику в формате PDF.

Согласие на обработку персональных данных можно получить удалённо. Для этого достаточно добавить на сайт чекбокс — пункт, который должен отметить пользователь. В чекбоксе обязательно должна быть гиперссылка на согласие по обработке персональных данных.

Ставя отметку в чекбоксе, пользователь соглашается, что его данные будут использованы. Без этой отметки посетитель не сможет отправить запрос, оформить заказ или перейти на следующую страницу сайта. При этом важно, чтобы форма с чекбоксом была на всех разделах сайта.

Шаг 4. Повесьте на сайт уведомление о сборе cookies и других данных.

Помимо личной информации, которую указывает посетитель сайта, есть ещё технические данные, оптимизирующие работу с сайтом — cookies. Это небольшой файл, который сохраняется на компьютере или мобильном устройстве пользователя при загрузке веб-страницы.

Меню cookies может появляться в углу сайта или всплывающим окном в центре

В cookies обычно записывают:

• логин и пароль от личного кабинета;
• сведения о товарах в корзине онлайн-магазина;
• другие пользовательские настройки.

Cookies помогают владельцу сайта отследить путь пользователя, его поведение на сайте, время и место выхода в интернет.

Практически все сайты используют cookies. Так как эту информацию тоже можно отнести к персональным данным, необходимо предупредить посетителя о её сборе. Чаще всего используют всплывающие уведомления, которые появляются при первом посещении сайта.

Условия использования этих данных также можно описать в отдельном разделе политики по обработке персональных данных или в отдельном документе.

Штрафы за нарушения обработки персональных данных по 152-ФЗ

Корректность обработки персональных данных по 152-ФЗ контролирует Роскомнадзор. С марта 2021 года административная ответственность за нарушения в области персональных данных ужесточена.

Размер штрафа зависит:

• от статуса нарушителя: физическое лицо, ИП, юридическое или должностное лицо;
• от тяжести нарушения;
• от количества нарушений в прошлом.

Размеры штрафов:

• от 2 до 100 тысяч рублей для физлица;
• от 5 тысяч до 18 миллионов рублей для ИП;
• от 6 до 800 тысяч рублей для должностного лица;
• от 30 тысяч до 18 миллионов рублей для юрлица.

Штрафы за нарушение закона о персональных данных

Когда можно получить предписание или штраф по 152-ФЗ

Роскомнадзор следит за соблюдением 152-ФЗ и проводит проверки. Они могут быть плановыми, внеплановыми, выездными или документарными.

О плановой проверке компанию предупреждают заранее. Также можно посмотреть график проверок на сайте Роскомнадзора. Внеплановые проверки проводятся, если на компанию пожаловались. О такой проверке инспекторы предупреждают за 24 часа.

К самым частым нарушениям при обработке персональных данных на сайте относятся:

1. Отсутствие на сайте регламента по обработке персональных данных и формы согласия на обработку персональных данных. Чтобы избежать штрафа, эксперты советуют тщательно проверить все разделы и страницы, где могут запрашиваться личные данные.
2. Сбор избыточной информации. Например, для оформления заказа в онлайн-магазине требуют паспортные данные, сведения о банковской карте и реквизиты счёта.
3. Неправильное хранение и обработка данных. К примеру, инспекторы обнаружили, что в компании нет регламента доступа к хранилищу данных.

Предписания Роскомнадзора не стоит игнорировать. Это специальная мера, которая позволяет устранить нарушения и не платить штраф. На это даётся определённый срок. Он устанавливается индивидуально в каждом случае, но не может превышать 6 месяцев.

Если компания или физлицо не исправит ситуацию, то Роскомнадзор вынесет решение о привлечении к ответственности. Если и после этого нарушения не устраняют, владельца сайта привлекут к ответственности повторно.

За повторное нарушение сумма штрафа уже будет больше. Максимальный штраф для граждан — 100 тысяч рублей, для должностных лиц — 800 тысяч, а для юридических лиц и индивидуальных предпринимателей — до 18 миллионов рублей.

Что изменилось в законе «О персональных данных» с 1 сентября

C 1 сентября 2022 года действуют поправки к 152-ФЗ, по которым:

• Срок ответа операторов на обращения субъектов персональных данных, то есть человека, чьи данные оператор обрабатывает, сократится до 10 дней. По запросу его могут продлить ещё на пять дней.
• Все организации до 1 марта 2023 года должны сообщить в Роскомнадзор о трансграничной передаче данных, то есть о передаче информации иностранным госструктурам, юридическим и физическим лицам за пределами России. При этом регулятор сможет запрещать отправку данных.
• Работодатель обязан уведомлять РКН об обработке данных сотрудников в связи с трудовыми правоотношениями, а также при оформлении пропусков. Ещё компании должны сообщать в Роскомнадзор, когда заключают соглашения с физлицами или исполняют договоры, например, оформляют доставку на сайте по Ф.И.О. и номеру телефона.
• Операторам персональных данных нужно подключиться к системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Через неё нужно будет в течение 24 часов сообщать в ФСБ об инцидентах с базами персональных данных и причинах утечки личных данных.
• Операторам данных запретили отказывать в услугах, если человек не хочет соглашаться на обработку данных, когда это необязательно. За принуждение к предоставлению персональных грозят штрафы: от 5000 до 10 000 рублей для должностных лиц и от 30 000 до 50 000 рублей для компаний.

В телеграм-канале Справочной больше полезных материалов для бизнеса, открытые комментарии для нетворкинга и прямые эфиры с экспертами. Подписывайтесь!