Соблюдаем законодательство о персональных данных при создании сайта. О чем нельзя забывать никогда
Государство предпринимает новые шаги для защиты персональных данных, в то время как компании и продавцы продолжают искать способы получить доступ к этой информации. Базы данных с персональными данными клиентов магазинов и банков становятся объектами кражи, перепродажи и размещения в интернете. Рядовые потребители не знают, как защитить свои права и как остановить поток рекламных сообщений различного характера.
Более 10 лет назад в нашей стране был принят Федеральный закон «О персональных данных», который предусматривает штрафы за нарушение требований по обработке, хранению и уничтожению персональных данных. Размер штрафа составляет от 30 до 150 тысяч рублей. Если компания хранит базы с персональными данными россиян на зарубежных серверах в нарушение законодательства, её могут оштрафовать на сумму до 6 миллионов рублей.
Однако всё чаще звучат предложения о том, что существующие наказания за незаконную обработку персональных данных являются слишком мягкими. В Европе, например, действует специальный регламент по защите персональных данных (GDPR), согласно которому нарушители платят штрафы в процентах от оборота. В России также предлагают перейти на подобную практику. Альтернативой оборотным штрафам может стать уголовное преследование нарушителей.
Как безопасно собирать данные на сайте? Как не получить претензии от Роскомнадзора?
Если компания работает через сайт и собирает персональные данные пользователей, необходимо определить, какие именно данные нужны для работы. Например, это может быть фамилия и имя клиента, адрес и контактный номер телефона. Также важно определить, в каких странах будет производиться сбор данных, кто будет предоставлять эти данные и для каких целей они будут использоваться.
Для сбора и хранения персональных данных можно создать реестр в табличной форме. Также необходимо разработать политику работы с файлами cookie.
Когда пользователь заходит на сайт, информация об этом заносится в служебный файл cookie. Собственника сайта могут интересовать данные о том, с какого устройства пользователь зашёл на сайт, проходил ли он авторизацию, какие страницы он просматривал и т.д.
Собственник сайта обязан уведомить потенциальных посетителей о том, что на сайте используются файлы cookie. У пользователя должно быть право принять это условие или отклонить его. Для уведомления посетителей можно использовать всплывающие баннеры.
В оптимальном варианте собственник сайта использует несколько видов файлов cookie: технические, необходимые для работы сайта, и иные, в отдельном файле, для сбора данных о поведении посетителя на сайте. У пользователя должна быть возможность отключить такой файл cookie.
Также необходимо разработать политику в вопросах обработки персональных данных и разместить её в открытом доступе на главной странице сайта. Пользователь должен иметь возможность сразу прочитать политику. Если на остальных страницах сайта также ведётся сбор персональных данных, на главной странице должны быть ссылки на политику.
Важно отметить, что факт прочтения политики не равнозначен выражению согласия на сбор, хранение и обработку персональных данных. Согласие пользователь выражает отдельно. При составлении политики необходимо руководствоваться требованиями закона «О персональных данных». Не стоит просто копировать документ с другого ресурса, не учитывая особенности своей деятельности. И нельзя забывать, что политика в сфере обработки персональных данных, договор оферты и пользовательское соглашение — это разные документы.
Эксперты также выделяют ещё один важный момент: только разработать политику и разместить её на сайте недостаточно. Важно ещё и работать в соответствии с её положениями. Правом контролировать действия операторов персональных данных наделён Роскомнадзор. Его сотрудники проверят не только факт наличия политики, но и то, как оператор работает на практике: где хранит собираемые данные, с какой целью использует и т.д.
**Разработка договора (оферты) для сбора персональных данных**
На сайте необходимо разместить договор, который будет служить основанием для сбора персональных данных. Вы можете выбрать один из следующих вариантов:
* **Публичный договор**. Этот вариант подходит, если вы продаёте товары или оказываете услуги.
* **Уведомление или согласие на обработку персональных данных**. Этот вариант следует выбрать, если невозможно использовать публичный договор. В согласии необходимо кратко указать, с какой целью вы собираете данные и какие данные будут собираться.
**Предоставление пользователю возможности выразить согласие на обработку данных**
Многие владельцы сайтов заранее проставляют «галочки» в окошках, где пользователь соглашается с пользовательским соглашением и политикой в сфере обработки персональных данных. Однако посетитель сайта должен самостоятельно поставить все необходимые «галочки». Не объединяйте все пункты в один.
**Выбор российских серверов для хранения и обработки персональных данных граждан России**
В противном случае Роскомнадзор потребует применения наказания в соответствии с частью 8 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях. Варианты наказания включают полную блокировку сайта и штраф в размере до 6 миллионов рублей.
Важно учитывать следующие моменты:
* Если вы собираете данные граждан России, нельзя использовать базы данных ресурсов, расположенных на зарубежных серверах.
* Нельзя собирать персональные данные, если для этого используются ресурсы сайтов из других стран, при условии, что база данных размещена вне пределов России.
* Запрещено обрабатывать персональные данные, если для этого используются метрические программы, разработанные за пределами России. Однако есть исключение: обработка может быть разрешена, если для этого есть правовые основания.
Статья 13.11 Кодекса Российской Федерации об административных правонарушениях предусматривает достаточно жёсткие наказания за несоблюдение законодательства в вопросах сбора и обработки персональных данных. Многие правоведы считают такие штрафы эффективным способом заставить операторов персональных данных работать без нарушений.
Что нужно знать о таргетированной рекламе?
Сайт может быть доступен для пользователей из разных стран. Поэтому персональные данные будут предоставляться гражданами этих государств. В такой ситуации необходимо изучить и соблюдать законодательство о защите данных сразу нескольких стран, включая размещение таргетированной рекламы.
В Европейском союзе, например, действует регламент GDPR, который незначительно отличается от российского закона «О защите персональных данных».
С точки зрения Роскомнадзора, лучше не использовать Google-аналитику.
Компания Google базируется в США, и, по мнению Роскомнадзора, эта страна не гарантирует надёжную защиту персональных данных клиентов. Аналогичное мнение высказывает и европейский регулятор в вопросах приватности. Google неоднократно штрафовали за нарушения как в России, так и в других странах.
Возможно, работа без Google-аналитики будет невозможна. В таком случае владелец сайта должен обеспечить дополнительные меры защиты данных клиентов.
Цели сбора персданных достигнуты? Удалите собранные данные
**Управление персональными данными: важные аспекты и рекомендации**
Когда истекает срок хранения персональных данных, их необходимо удалить. Это можно сделать вручную или настроить автоматическую очистку баз данных. Не следует ждать, пока эти данные станут известны третьим лицам по каким-либо причинам.
Правильно оформленный сайт — это только начало. Важно, чтобы вся компания работала правильно.
**Алгоритм действий:**
1. Тщательно изучите законодательство, как российское, так и зарубежное (при необходимости).
2. Подготовьте уведомление об обработке персональных данных и отправьте его в Роскомнадзор.
3. Проверьте, будут ли данные клиентов передаваться операторам из третьих стран.
4. Составьте реестры персональных данных и ресурсов, используемых для их обработки.
5. Разработайте политику по сбору, обработке и хранению персональных данных. Также подготовьте уведомление для клиентов о том, что компания собирает их данные, и форму, в которой пользователь сайта сможет выразить своё согласие на их обработку.
6. Назначьте сотрудника, который будет отвечать за сбор и обработку данных в соответствии с законодательством.
7. Доведите до всех работников, которые собирают и обрабатывают данные клиентов, актуальную информацию об изменениях в законодательстве. Также важно своевременно совершенствовать технические и программные средства, используемые в работе, чтобы не нарушать законы.
8. При необходимости оформите сертификаты безопасности.
9. Выявите и оцените возможные угрозы в вопросах сбора и обработки клиентских данных. Потребуется принять меры по их минимизации.
Важный момент! Если никто из сотрудников не обладает всеми необходимым опытом для организации работы, лучше обратиться в специализированную компанию.
К сожалению, не всегда удаётся предотвратить утечку персональных данных. Однако операторы персональных данных обязаны действовать в соответствии с требованиями законодательства, чтобы минимизировать возможные риски.
Государство предпринимает все меры для защиты персональных данных граждан от неправомерного использования. Однако в каждом конкретном случае важно понимать, какие именно данные собираются и с какой целью.
Например, недавно курьеры на электросамокатах стали частыми участниками дорожно-транспортных происшествий. В одном из таких случаев полицейские, ссылаясь на необходимость защиты персональных данных, не сообщили пострадавшим, кто именно их сбил и в какой компании работает виновник.
Если у вас остались вопросы, пишите на https://myjus.ru и наши специалисты ответят на все ваши вопросы. Консультация бесплатная!