В данной статье расскажем, как существовать в современных реалиях с внушительным количеством требований к персональным данным (далее – «ПД») и не плучить штраф в сотни тысяч рублей за обычный сайт.
Как определить, есть ли сбор ПД через сайт?
Прсональные данные - это любая информация, по которой можно идентифицировать конкретное лицо.
Чтобы понять, собираете ли вы персональные данные (и, соответственно, являетесь оператором ПД), ответьте на вопросы:
1) Есть ли на сайте форма для заявок / обратной связи?
2) Можно ли зарегистрироваться на сайте?
3) Собираются ли куки-файлы (в том числе, через сервисы веб-аналитики)?
Есть хоть один ответ «да»? Это означает, что на сайте осуществляется сбор ПД, и нужно быть во всеоружии.
Чем так опасно несоблюдение требований?
1) Повышенное внимание к соблюдению требований: за последнее время активно вносятся поправки в законодательство в сфере ПД, ужесточающие требования к операторам персональных данных.
2) Возможный переход к использованию ИИ-систем анализа сайтов: в таком случае «под прицел» попадает любой сайт, даже не самый популярный и активно не используемый.
3) Блокировки сайтов и большие штрафы: если вовремя не исправить ошибки, можно остаться без сайта и денег.
Как понять, соблюдаю ли я требования по ПД?
Есть моменты, которым требуется особое внимание:
1. Политика обработки персональных данных (Политика конфиденциальности) - документ, на основе которого оператор обрабатывает персональные данные.
В Политике обязательно должны быть указаны цели обработки (для чего оператору нужны ПД пользователя): например, заключение договоров, доступ к интернет-сервису. Собирать больше сведений, чем указано в целях обработки, нельзя – это тоже нарушение.
Укажите необходимые цели, а к каждой - перечень обрабатываемых данных. Например, если для доступа к интернет-сервису нужны имя и номер телефона пользователя, важно прописать это в Политике.
Не забудьте добавить:
• Ссылку на сайт, для которого составлена Политика;
• Наименование или ФИО оператора ПД (того, кто собирает ПД) – например, Вашу компанию или ИП. Если Вы ведете деятельность как самозанятый, то Вы тоже можете быть оператором ПД;
• Порядок хранения, сбора, обработки, передачи и уничтожения ПД.
Политика всегда должна быть доступна для ознакомления: можно закрепить ее в «шапке» или «подвале» сайта.
2. Согласие на обработку ПД - документ, подтверждающий, что пользователь готов передать оператору ПД сведения о себе.
Оно требуется в случаях, если на сайте есть окно: «Оставьте ваше имя и телефон, мы вам перезвоним» или другие формы, где пользователь оставляет контакты. Согласие служит правовым основанием, без которого оператор не может использовать данные пользователя, в том числе перезвонить по заявке.
Важно проверить, что согласие содержит:
• Наименование оператора ПД;
• Цели обработки и перечень ПД к каждой из них;
• Описание действий с персональными данными (хранение, передача и т.д.);
• Сведения о третьих лицах, которым данные будут переданы;
• Срок действия: по достижении целей обработки данные должны быть уничтожены;
• Способ отзыва согласия: пользователь должен знать, куда обратиться, чтобы компания больше не использовала его данные.
А чтобы пользователь мог активно подтвердить согласие, дайте ему такую возможность: добавьте на сайт ссылку на текст согласия и чек-бокс.
Галочка не должна стоять заранее - пусть пользователь сам решит, хочет он дать согласие или нет.
3. Cookie-баннер (куки-баннер)
Куки - сведения о действиях пользователя на сайте: куда зашел, что открыл, сколько времени находился на странице.
Если сайт собирает такие данные, пользователь должен быть осведомлен об этом. Добавьте на главную страницу баннер с указанием на сбор куки и обозначьте программу, собирающую сведения (например, Яндекс Метрика).
Если программа сбора куки иностранная, важно удостовериться в том, «адекватную» ли защиту ПД обеспечивает страна, где создана программа. Перечень стран доступен по ссылке.
Если страны нет в перечне, программу сбора куки нужно заменить российским аналогом или подать уведомление в Роскомнадзор о трансграничной передаче ПД (об этом - дальше).
Не забываем про Политику: если на сайте есть куки, то в Политике должна быть такая цель обработки ПД и прописан четкий порядок хранения, сбора, передачи и уничтожения сведений.
4. Согласие на рекламные рассылки - документ, который подтверждает согласие пользователя на рассылку сообщений рекламного характера.
Его нельзя «встроить» в текст Политики или согласия на обработку ПД: пользователю должно быть однозначно понятно, на что он дает согласие. Но есть исключение из этого правила: если единственная цель обработки данных - отправка рекламных материалов, то можно предусмотреть только одно согласие.
Согласие должно содержать:
• Наименование оператора ПД;
• Цель обработки ПД и перечень обрабатываемых ПД;
• Способы направления рекламной рассылки;
• Способ отзыва согласия.
Порядок размещения согласия может быть аналогичен порядку размещения согласия на обработку ПД: добавьте ссылку на текст согласия и чек-бокс.
5. Уведомление в Роскомнадзор.
Сайт полностью оформлен, Политика опубликована, текст согласия есть, галочка не проставлена. Но и это не всё: оператор ПД до начала обработки обязан оповестить Роскомнадзор о том, что он собирает ПД. Для этого подается уведомление в Роскомнадзор по специальной форме.
Чтобы подать уведомление, нужно сформировать его на сайте Роскомнадзора или отправить в бумажном виде, а после этого дождаться внесения сведений об операторе в Реестр операторов ПД.
Если же Вы осуществляете передачу персональных данных за границу, нужно подать в Роскомнадзор отдельное уведомление о трансграничной передаче и обеспечить дополнительные способы защиты передаваемой информации.
Предусмотрели все? Теперь сайт успешно пройдет проверку Роскомнадзор будет доволен сайтом, и никакие ИИ-алгоритмы не заподозрят Вас в нарушении требований.
А чтобы обезопасить себя даже от небольших недочетов, пройдитесь по пунктам ниже:
• На сайте указаны реквизиты оператора ПД: название, ИНН, ОГРН (ОГРНИП);
• Домен сайта принадлежит оператору ПД;
• Назначено лицо, ответственное за защиту персональных данных.
Чек-лист по персональным данным на сайте
В нашем тг-канале мы составили для вас небольшой чек-лист, к которому можно обращаться для проверки соблюдения требований по ПД. Он поможет Вам не потеряться в мире ПД и соблюсти основные требования законодательства в сфере персональных данных к сайту.
Если Вы хотите проверить сайт на соблюдение требований, составить документы по персональным данным для сайта - обращайтесь к нам!