Уникальная возможность стать соавтором нового медиа. Предложи редакции свою новость или статью.

152-ФЗ: персональные данные на сайтах

152-ФЗ: персональные данные на сайтах

У каждой компании есть сайт. Чаще всего заказать какой-то товар или услугу можно через специальную форму на нем. А еще на сайтах нужно регистрироваться. Все эти действия входят в зону действия Федерального закона №152-ФЗ.

Роскомнадзор опубликовал сведения по жалобам от россиян за первое полугодие 2019 года. Всего поступило 25 тысяч обращений — это на 44% больше, чем в 2018 году. Среди наибольшего количества обращений — жалобы в адрес владельцев сайтов и вопросы об условиях размещения персональных данных на сайтах.

Мы уже разобрались, что такое персональные данные и кто является их оператором. Сегодня выясним, как не попасть на штрафы владельцам сайтов.

К кому это относится

Персональные данные — это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор — тот, кто организует и обрабатывает персональные данные. 

Обработка персональных данных — любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, обновление, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

Чаще всего в формах на сайте требуется заполнять такие поля:

  • ФИО;
  • email; 
  • телефон; 
  • адрес; 
  • дата рождения; 
  • фотография; 
  • ссылка на персональный сайт и профиль в соцсетях.

Неважно, используете ли вы эту информацию по отдельности или в сочетании. Если на вашем сайте есть любая форма сбора данных — обратной связи, подписки на рассылку, регистрации или личный кабинет, это считается обработкой персональных данных.

Важно: исходя из позиции судов и Роскомнадзора даже cookie, данные об IP-адресе, местоположении без указания фамилии и имени являются персональными данными. Именно поэтому на многих сайтах можно встретить всплывающее окно-предупреждение о сборе cookie.

Что делать с сайтом

Сайт должен соответствовать требованиям закона. Для этого нужно соблюдать два условия:

1. Хостинг и база данных с персональными данными должна располагаться на территории России. 

Об этом говорится в законе № 242-ФЗ. Он обязывает с 1 сентября 2015 года обрабатывать и хранить персональные данные граждан РФ в базах данных только на территории России.

Особое внимание — иностранным компаниям с юрлицом в России и без него, а также российским компаниям, которые пользуются иностранными хостингами и дата-платформами.

Если вы не знаете, где хранить данные, обратитесь в Роскомнадзор или Минкомсвязи. 

2. Под каждой формой сбора данных должен быть текст «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных». 

Внутри этой приписки —  ссылка на пользовательское соглашение, договор или согласие на обработку персональных данных. Текст самого документа можно разместить на отдельной странице. Советы по составлению согласия можно посмотреть в предыдущей статье о персданных.

3. Разместить на сайте в общем доступе политику конфиденциальности. 

Чаще всего в подвале сайта оставляют ссылку на документ. Утвержденной законом формы этого документа нет, но в нем нужно отразить все нюансы обработки персональных данных на сайте.

4. Показывать пользователям сайта предупреждение, что вы собираете метаданные пользователя. 

К таким данным относятся cookie, данные об IP-адресе и местоположении. Они нужны для полного и правильного функционирования сайта. Если пользователь не хочет, чтобы эти данные обрабатывались, то он должен уйти с сайта.

Важно: если вы собираете данные пользователей, уведомите об этом Роскомнадзор. Для этого необходимо подать уведомление об обработке персональных данных. 

Что еще нужно сделать юрлицам

Ваше перечислены общие требования для любых владельцев сайтов. Юрлица к вопросу работы с персданными должны подойти немного тщательней. Они должны:

  • назначить ответственных лиц и разработать пакет внутренних документов по процессам обработки и защиты персональных данных;
  • отрегулировать взаимодействие с физическими лицами, государственными органами и контрагентами:
    • подписать с сотрудниками обязательства о неразглашении персональных данных, согласие на обработку персональных данных и ознакомить их с внутренними документами по персональным данным;
    • подписывать с физическими лицами согласие на обработку персональных данных или добавить его в текст договора; 
    • заключать поручения на обработку персональных данных, если вы передаете кому-то данные физических лиц;
    • отвечать на запросы физических лиц по поводу обработки их персональных данных. 
  • Защитить персональные данные — установить антивирусные системы, межсетевое экранирование, разграничить права доступа. Все это прописано в приказе ФСТЭК № 21.

Важно: компанию могут проверять Роскомнадзор, ФСТЭК и ФСБ России. Самые редкие случаи проверки — проверка технической защиты персональных данных представителями ФСБ. Самые частые проверки устраивает Роскомнадзор — больше тысячи в год.

Зачем защищать сайты

Главный повод для владельцев компаний — административная и гражданская ответственность. Никто не хочет подрывать доверие своих пользователей и потом расплачиваться за это штрафами и репутацией.

Второй повод — частная жизнь граждан, злоупотребление правом и недобросовестная реклама продавцов. Никто не любит, когда на телефон приходит спам, а ночью раздается звонок с предложением взять кредит. Такие случаи происходят из-за плохого исполнения обязательств по обработке персональных данных. 

***

Не ждите «письмо счастья». Начните выполнять все основные требования, чтобы избежать плачевных последствий и штрафов. 

Статьи по теме
Отпуск за «вредность»

Отпуск за «вредность»

Какой объект выбрать для бизнеса на УСН

Какой объект выбрать для бизнеса на УСН

ЭП: зачем нужно фото с паспортом

ЭП: зачем нужно фото с паспортом

Как реагировать на вызовы в ИФНС

Как реагировать на вызовы в ИФНС

Подпишись на рассылку
Только важные новости, никакого спама

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Go to top of page