Как собирать персональные данные пользователей не нарушая закон

Если у вас есть веб-сайт, где пользователи могут регистрироваться, подписываться на рассылку, делать заказы или оставлять заявки, вероятно, вы обрабатываете их персональные данные. Давайте разберем, как правильно собирать и обрабатывать персональные данные пользователей, не нарушая закон.

Если вы собираете данные пользователей из России, вы должны соблюдать Федеральный закон № 152-ФЗ "О персональных данных". В этой статье мы объясним его основные моменты и как соблюдать правила обработки персональных данных.

Что такое персональные данные?

Согласно закону № 152-ФЗ, персональные данные - это информация, которая относится к прямо или косвенно идентифицируемому физическому лицу (субъекту персональных данных).

Другими словами, персональные данные - это информация, с помощью которой можно определить личность человека. Закон не предоставляет конкретный перечень персональных данных, но, например, номер телефона или email являются персональными данными.

Способы сбора персональных данных

1. Напрямую от пользователя: Это происходит, когда пользователь предоставляет вам информацию о себе, такую как ФИО, номер телефона, email, адрес и другие данные, при регистрации на сайте или оформлении заказа.

2. Автоматически через cookie: Cookie - это текстовые файлы, которые сохраняются на устройстве пользователя после посещения вашего сайта. Они содержат информацию о действиях пользователя на сайте, такие как данные об авторизации, товары в корзине, IP-адрес и данные о местоположении.

Как соблюсти закон:

- Вы должны получить согласие пользователя на сбор и обработку персональных данных.
- Соблюдайте меры безопасности, чтобы защитить персональные данные от утечки.
- Пользователь имеет право на доступ к своим данным, их изменение и удаление.
- Нельзя использовать персональные данные для рассылки нежелательной рекламы без согласия пользователя.

На какие действия распространяется понятие обработки персональных данных

Обработка данных применяется к любым действиям, выполняемым с персональными данными, даже если данные перемещаются и мгновенно удаляются. Это означает, что даже временное хранение и использование данных также считается обработкой.

Кто обрабатывает персональные данные:

Любое физическое или юридическое лицо, которое осуществляет обработку данных, и определяет цели обработки, состав обрабатываемых данных и операций, выполняемых с персональными данными, называется оператором персональных данных. Оператор может быть как государственным органом, так и частным лицом.

Если в процессе обработки данных будет допущено нарушение закона о защите данных, оператор несет полную юридическую ответственность за нарушение.

Что поможет правильно обрабатывать персональные данные на вашем сайте:

1. SSL-сертификат: Установка SSL-сертификата необходима для безопасного обмена данными между вашим сайтом и пользователями. Это создает шифрованное соединение, которое означает перехват трафика и несанкционированное использование цифровых данных.
2. Политика конфиденциальности: Для правильной обработки данных на вашем сайте вы должны разработать и опубликовать политику конфиденциальности. В этом документе должна содержаться информация о том, какие данные вы собираете, для каких целей, какие меры безопасности применяются и каким третьим лицам могут быть переданы данные. Политика конфиденциальности должна быть доступна на всех страницах сайта, где собираются персональные данные, и должна включать контактные данные оператора.

Соглашение по обработке цифровых

Пользователь должен иметь право решать, передавать ли свои персональные данные и согласовывать их обработку. Поэтому при размещении форм сбора данных на вашем веб-сайте необходимо включить флажок с тем, что пользователь соглашается на сбор и обработку своих личных данных и ознакомление с политикой конфиденциальности.

Срок действия соглашения по обработке персональных данных не ограничен законом, поэтому вы можете установить любой срок. Например, согласие может быть действительным до дня его отзыва.

Уведомление о сборе файлов cookie: Как информировать пользователей

Поскольку файлы cookie содержат персональные данные, посетители вашего сайта должны дать согласие на их сбор. Для этого вы можете создать баннер с кнопкой «Согласен» и предупреждением: «Этот сайт использует файлы cookie. Продолжая использовать сайт, вы даете свое согласие на работу с этими файлами». Кроме того, в текст следует включить ссылку на политику конфиденциальности. Если пользователь не желает, чтобы его данные обрабатывались, он может покинуть сайт.

Уведомление Роскомнадзору: Как информировать о сборе персональных данных

Согласно закону о персональных данных, вы должны уведомить Роскомнадзор о сборе и обработке данных пользователей. Это можно сделать с помощью предварительной формы.

Однако это не требуется в следующих случаях:

1. Если данные включены в государственные информационные системы персональных данных, созданных для обеспечения безопасности государства и общественного порядка.
2. Если оператор обрабатывает персональные данные без использования средств автоматизации и хранит их на материальных носителях.
3. Если данные обрабатываются в соответствии с законодательством Российской Федерации о транспортной безопасности.

Если вы передаете персональные данные на территории иностранного государства, вам также необходимо уведомить Роскомнадзор о такой трансграничной передаче данных. Для этого следует заполнить форму. Если в течение 10 рабочих дней после отправки уведомления вы не получите ответ, вы можете осуществлять передачу данных. Ответ придет только в том случае, если передача данных запрещена или разрешена с ограничениями.

Регламент обработки запросов посетителей сайта

Посетители вашего сайта имеют право потребовать объяснений, для чего вы храните и обрабатываете их данные, узнать ваши меры и действия по обработке и хранению этих данных. Владелец сайта обязан ответить на такой запрос в течение 10 дней. Этот срок должен быть прописан во всех внутренних документах компании.

Если пользователь требует прекращения обработки своих данных, это также должно быть выполнено в течение 10 дней.

Пользователи имеют право не предоставлять личную информацию, которая не требуется для исполнения договора. Например, если клиент забирает товар самовывозом, и запрос на предоставление адреса не имеет смысла, пользователь может отказаться от предоставления таких данных.

Обработка данных третьими лицами

Если ваша компания передает персональные данные третьим лицам для обработки, это должно быть оговорено в договоре с ними. В тексте поручения обработки следует указать следующие моменты:

1. Перечень персональных данных.
2. Предполагаемые действия по обработке данных.
3. Цели обработки данных.
4. Гарантии конфиденциальности и безопасности данных.
5. Обязанность обработчика данных по запросу оператора предоставить информацию о соблюдении мер безопасности и конфиденциальности.
6. Обязанность хранения данных граждан России на территории РФ.
7. Требования к защите персональных данных.

Дополнительные требования для юридических лиц

Юридические лица должны выполнять дополнительные правила:

1. Назначить ответственных лиц и создать основные документы, определяющие процессы обработки и защиты персональных данных.
2. Сотрудники должны подписать соглашение об обработке персональных данных и ознакомиться со стандартными документами по работе с ними.
3. В случае утечки персональных данных оператор обязан уведомить об этом Роскомнадзор в течение 24 часов и провести расследование в течение 72 часов, после чего определить результаты расследования.
4. Необходимо обеспечить защиту персональных данных в соответствии с требованиями Федеральной службы по техническому и экспортному контролю.