За нарушение 152-ФЗ о защите персональных данных грозит довольно серьезная ответственность: размер штрафов достигает 500 000 рублей, причем за каждое выявленное несоответствие взимается отдельная сумма. Поэтому давайте разбираться, кому нужна политика конфиденциальности и как добавить ее на сайт.
Без лишних предисловий сразу к делу: согласно 152-ФЗ, публиковать политику конфиденциальности должны только операторы персональных данных. Значит, первым делом нужно понять, можно ли вас отнести к ним.
Когда необходима политика конфиденциальности для сайта
Персональные данные – это совершенно любые сведения, которые относятся к физическому лицу прямым или косвенным образом. По ним можно определить его личность.
Сейчас в законе отсутствует четкий список того, что именно относится к персональным данным. Если же исходить из определения, то это следующая информация:
· ФИО человека;
· дата рождения;
· адрес проживания;
· контактный телефон;
· email;
· идентификаторы в соцсетях и мессенджерах;
· сведения о семейном положении и родственниках;
· данные паспорта или иных документов;
· информация об образовании, месте работы, заработке;
· раса, национальность;
· отношение к религии;
· политические взгляды;
· состояние здоровья;
· биометрия, а именно – рост, вес, радужная оболочка глаз, генетическая и дактилоскопическая информация.
Оператор – это физическое лицо, компания или государственный орган, совершающий какие-либо действия с получаемыми персональными данными – как пример, собирающий, обрабатывающий или хранящий их.
Оператором персональных данных посчитают владельца того ресурса, где есть форма обратного звонка с предложением оставить свое имя, контактный номер телефона или email для связи. И собираемую информацию в таком случае необходимо обрабатывать согласно 152-ФЗ.
Однако, когда на сайте есть только форма для отправки комментариев, где пользователь указывает свой ник или настоящее имя без отчества и фамилии – размещать политику конфиденциальности не требуется, поскольку по этим данным вряд ли удастся идентифицировать личность.
Как правильно подготовить сайт к 152-ФЗ
В обязательном порядке необходимо разместить:
1. Политику конфиденциальности – отдельный документ об обработке персональных данных, размещаемый в открытом доступе. У пользователя не должно возникнуть сложностей, если он решит с ним ознакомиться, прежде чем даст согласие на обработку персональных данных.
Строго утвержденной законодательством формы нет, однако есть список сведений, которые должны быть в документе. Исходя из этого и стоит включить в текст:
· наименование компании, государственной организации или данные физического лица, контакты и адрес;
· как именно и зачем собираются данные;
· каким образом они могут использоваться;
· какие получаемые данные обрабатываются, из каких источников вы их получаете – здесь помните про куки-файлы;
· на протяжении какого срока хранятся данные, как они защищаются;
· передаются ли данные третьим лицам;
· что не станет происходить с собранными данными.
В качестве примеров посмотрите тексты политики конфиденциальности на официальных сайтах компаний федерального уровня – там все детально проработано. Но учтите: не следует слепо копировать документы – как минимум их необходимо тщательно скорректировать под себя.
Как правило, политику конфиденциальности размещают на отдельной странице сайта – так привычнее для пользователей. Плюс ее делают удобной для восприятия, насколько это возможно – точно так же структурируют, как и любой другой документ.
2. Ссылки на политику конфиденциальности – их принято размещать в подвале и поблизости со всеми имеющимися формами, где посетивший сайт человек выражает согласие на обработку персональных данных. Ссылки нужны для легкого доступа к политике конфиденциальности.
3. Подтверждение согласия на обработку персональных данных – согласно 152-ФЗ, собирать и обрабатывать какие-либо персональные сведения о людях можно исключительно с их согласия. Поэтому и нужна соответствующая возможность на сайте.
Чаще всего используют чек-боксы, где нужно поставить галочку – без этого нельзя оставить заявку или зарегистрироваться.
4. Дисклеймер – то самое необходимое зло – всплывающее окно с оповещением пользователя о том, что на сайте идет сбор данных статистики (речь про куки-файлы, поведенческие факторы, сведения о геопозиции).
152-ФЗ строго не регламентирует размещение дисклеймера на сайте, однако большинство юристов рекомендуют его все-таки устанавливать. А чтобы не раздражать пользователей, настройте показы – пускай отображается исключительно для тех, кто зашел на сайт впервые.
О чем еще важно позаботиться
· Узнайте, где физически располагается хостинг – по требованиям 152-ФЗ он должен быть в России для того, чтобы и персональные данные хранились здесь же. Если базы данных в другой стране, то придется искать новый хостинг для переезда.
· Уведомите Роскомнадзор о том, что планируете работать с персональными данными – сделать это можно на официальном сайте службы. Потребуется пакет документов – взгляните на перечень необходимых сведений в 152-ФЗ.
· Отслеживайте вносимые в 152-ФЗ поправки – чтобы при необходимости успеть среагировать на них и обезопасить себя.
Что будет, если нарушить 152-ФЗ
За обработку персональных данных без согласия субъекта предусмотрена ответственность:
Это – только вершина айсберга, смотрите более подробную информацию здесь. И учитывайте, что сейчас проверка для органов Роскомнадзора довольна простая: достаточно сделать скриншот для подтверждения отсутствия на сайте требующихся форм, документов и ссылок.
Проще и дешевле подготовить сайт к 153-ФЗ, чем в дальнейшем решать возникшие из-за нарушения законодательства проблемы.