Если веб-сайт вашего бизнеса предоставляет возможность оставлять контактную информацию, совершать покупки или подписываться на новостные рассылки, то компания автоматически занимается обработкой персональных данных своих пользователей. Это обязывает соблюдать принципы и требования, установленные Федеральным законом №152.
Давайте разберемся, как правильно управлять персональной информацией ваших клиентов, не нарушая при этом закон.
Какие данные считаются персональными
Любая информация, непосредственно или косвенно связанная с физическим лицом и позволяющая его идентифицировать, квалифицируется как персональные данные. Закон не предоставляет четкого перечня таких данных, что иногда становится причиной для судебных споров.
В перечень чаще всего входят:
- Имя, фамилия, отчество;
- Дата и место рождения;
- Адрес проживания и регистрации;
- Сведения о доходах, образовании, профессии;
- Данные паспорта, ИНН, СНИЛС;
- Сведения о семейном, социальном, имущественном статусе.
- Дополнением Правительства от 13.09.2019 №1197 было внесено:
- Номер мобильного телефона;
- Электронный адрес.
Также к персональным данным относятся уникальные идентификаторы, присвоенные информационными системами.
Виды персональных данных по ФЗ:
- общедоступные персональные данные;
- специальные категории;
- биометрические данные.
Общедоступные персональные данные – это те, что пользователь самостоятельно предоставляет, заполняя заявку или совершая покупку, и информация, не требующая соблюдения конфиденциальности.
Биометрические данные – это уникальные физиологические и биологические характеристики, по которым можно идентифицировать личность (например, отпечатки пальцев, фото и видео), их обработка возможна лишь после получения согласия.
Обработка биометрических данных без согласия допускается только в ряде случаев, в том числе для правосудия, миграционных процедур, в антикоррупционных и антитеррористических целях.
Что представляют собой специальные категории ПД:
- Информация о здоровье;
- Этническая и гендерная принадлежность;
- Личная жизнь, включая сексуальную ориентацию;
- Философские, религиозные убеждения и политические взгляды.
Для их обработки необходимо либо письменное согласие субъекта, либо наличие индивидуальных условий, таких как использование данных из общедоступных источников или действия в рамках судебного решения.
Также важно отметить, что данные могут собираться автоматически через файлы cookies, которые хранят информацию о действиях пользователя на сайте.
Осуществлять действия по сбору, изменению, хранению и т.д. персональных данных можно только после регистрации в Роскомнадзоре как оператора данных.
Классификация прочих персональных сведений
В правовых документах не дается точное определение того, какие данные могут быть включены в эту категорию. Уточняется лишь, что это данные, не попадающие под ранее определенные категории. Таким образом, чтобы классифицировать информацию как «прочую», необходимо предварительно удостовериться, что она не соответствует критериям биометрических, общедоступных или специализированных данных.
Разновидности лиц, чьи данные обрабатываются
При обеспечении необходимой степени защиты личных данных, задача каждого оператора включает анализ не только самой информации, но и определение типов лиц, чьи данные подлежат обработке.
В общих чертах под такими лицами понимаются индивидуумы, идентификация которых возможна через те или иные данные, касающиеся их личности.
Однако, когда речь заходит о формировании конечного индекса для оценки способности информационной системы противостоять угрозам, государственное законодательство в лице постановления № 1119 разделяет лиц на две группы:
- тех, кто не находится в штате или не является внештатным сотрудником;
- и тех, кто привлечен к работе по трудовому договору.
Кроме того, важно определить объем обрабатываемых данных — затрагивает ли он более или менее 100 000 лиц.
Затем следует выявить возможные угрозы для последующего разработки соответствующих мероприятий по их нейтрализации.
Регистрация в Роскомнадзоре
Перед тем как отправить уведомление в Роскомнадзор, необходимо подготовить все нужные документы, примеры которых размещены на официальном сайте ведомства:
- Политика по обработке ПДн;
- Внутреннее положение об обработке ПДн;
- Приказ о назначении ответственного;
- Приказ о работе с ПДн;
- Регламент доступа к ПДн;
- Согласие на обработку ПДн;
- Обязательство о неразглашении ПДн.
Согласие на обработку данных от пользователя является выбором самого пользователя, поэтому важно получить его подтверждение, например, через отметку в специальном поле, подтверждающее согласие и ознакомление с политикой защиты данных.
После подготовки необходимых документов следует уведомить Роскомнадзор о намерении обрабатывать личные данные, заполнив форму на сайте, а бумажную копию заявления отправить по почте, если не использовалась электронная подпись или Госуслуги.
Однако регистрация не потребуется, если:
- данные включены в государственные базы для обеспечения безопасности;
- обработка ведется без автоматизации;
- цель обработки — обеспечение транспортной безопасности.
При изменении условий обработки или прекращении обработки личных данных следует оповестить Роскомнадзор в установленный срок, используя уведомление по форме № 2 к приказу 180.
Отдельное уведомление требуется при передаче данных за рубеж, особенно в страны с недостаточным уровнем защиты данных, согласно перечню Роскомнадзора. Коммуникация с Роскомнадзором позволяет уточнить допустимость такой передачи.
В случае утечки данных из-за взлома сайта необходимо максимально быстро, в течение 24 часов, сообщить об инциденте Роскомнадзору и предоставить результаты расследования в течение 72 часов.
Для обеспечения безопасности данных посетителей, необходимо интегрировать SSL-сертификат на веб-сайт. Этот сертификат создает шифрованное соединение, отсекая возможность для злоумышленников украсть информацию пользователей. Важность этого мероприятия растет, когда на сайте осуществляется заполнение личных и финансовых данных клиентами.
Необходимо также разместить документы, подтверждающие согласие пользователя на обработку его персональных данных (ПДн), а также политику приватности. В данном документе следует обозначить:
- ИНН и название организации, или ФИО в случае обработки данных физическим лицом;
- адрес регистрации или фактическое местоположение фирмы, контактные данные;
- какие личные данные собираются;
- условия и порядок обработки данных;
- третьи стороны, задействованные в обработке данных;
- методы защиты собираемой информации.
Публикация политики конфиденциальности обязательна на всех страницах сайта, где происходит сбор данных.
Также добавьте информацию о cookies через всплывающие окна или баннеры, предлагающие пользователю подтвердить согласие на обработку его персональных данных.
Что касается нарушений Закона №152-ФЗ, то предусмотрены административные штрафы, размер которых варьируется в зависимости от категории нарушителя и серьезности проступка, а также от того, является ли данное нарушение первым.
Штрафы могут составлять:
- от 2 до 100 тысяч рублей для обычных граждан;
- от 5 тысяч до 18 миллионов рублей для индивидуальных предпринимателей;
- от 6 до 800 тысяч рублей для должностных лиц;
- от 30 тысяч до 18 миллионов рублей для юридических лиц.
За соблюдением данных требований следит Роскомнадзор.
Для получения профессиональной помощи в вопросах обработки персональных данных, подготовки соответствующих документов или юридической консультации по этой тематике, вы можете обратиться в «ДАС групп», предлагающую широкий спектр консультационных услуг для бизнеса.