Сайты и политика конфиденциальности

Поделиться в vk
Поделиться в facebook
Поделиться в whatsapp
Поделиться в email
Занимаясь разработкой и продвижением сайтов, я часто провожу анализ конкурентов для своих клиентов. Просматривая и анализируя сайты, я пришел к выводу, что многие собственники бизнеса или не знают о ФЗ 152, или не понимают, какие требования предъявляет закон «О персональных данных» к сайтам.
Сайты и политика конфиденциальности

Если сказать кратко, то — под каждой формой, у Вас на сайте, куда пользователь вводит свои данные должен быть чекбокс о согласии с политикой обработки персональных данных, со ссылкой на эту политику. А также ссылка на политику должна быть размещена на всех страницах сайта (обычно это делают в подвале сайта). Этого должно хватить если сотрудник Роскомнадзора случайно или по жалобе конкурентов зайдет проверить Ваш сайт.

Далее в статье я постараюсь полностью раскрыть, как соответствовать требованиям Федерального закона «О персональных данных» от 27.07.2006 года N 152 и не получить штраф, который может составлять от 30 до 75 тысяч рублей.

Определения используемые в законе


Часто собственники бизнеса не приводят сайт в соответствие с законом «О персональных данных» так, как не знают он их затрагивает. Что бы разобраться на кого распространяется ФЗ № 152, необходимо обратиться к определениям, используемым в законе:

  • Оператор – любое лицо (физическое, юридическое, государственные органы и т.д) осуществляющее обработку персональных данных.
  • Обработка персональных данных – любое действие (сбор, запись, хранение, систематизация и.т.д) с персональными данными.
  • Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (далее — субъект персональных данных) (фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных). (Данное определение взято из методических рекомендаций Роскомнадзора.)


Получается, что закон распространяется на любой сайт, где есть форма обратной связи или форма подписки. И, если сайт не соответствует 152 ФЗ, то может грозить штраф от 30 до 75 тысяч рублей на компанию. С размерами штрафов и видами нарушений (на данный момент их семь) можно ознакомиться в КОаП РФ статья 13.11.

10 шагов для соответствия ФЗ 152


Изучив закон «О персональных данных», можно выделить 10 пунктов, которым необходимо соответствовать, чтобы избежать проблем и ненужных штрафов. К каждому пункту приведены ссылки на статьи 152 ФЗ, чтобы, при необходимости, вы могли изучить закон более детально.

  1. Необходимо назначить ответственного в организации за обработку персональных данных. Необходимо издать приказ/указ о назначении ответственного лица за обработку персональных данных. (статья 18.1 пункт 1.1, статья 22.1 пункт 1);
  2. Также нужно разработать и издать документ определяющий политику оператора по обработке персональных данных. Есть методические указания от Роскомнадзора относительно того, что должно содержаться в таком документе. (Об этом мы поговорим чуть позже.) (статья 18.1 пункт 1.2);
  3. Также в законе идет речь о необходимости применения правовых, организационных и технических мер по обеспечению безопасности персональных данных; проведении внутреннего контроля и (или) аудита соответствия обработки персональных данных, оценке вреда, который может быть причинен субъектам персональных данных и ознакомлении работников со всеми этими делами. Эти пункты достаточно абстрактно сформулированы и не содержат конкретных указаний, поэтому мы не будем заострять на них особое внимание. Будем считать, что со всей ответственностью подошли к делу и при необходимости подтвердим их выполнение. (статья 18.1 пункты 1.3, 1.4, 1.5 и 1.6);
  4. По запросу органов оператор обязан подтвердить принятие мер из пунктов 1,2 и 3. То есть необходимо иметь документальное подтверждение. Поэтому многие компании, которые просто позаимствовали политику с других сайтов, слегка изменив текст (например, только внеся название своей фирмы или своего сайта), и разместили ее на своем сайте, рискуют быть оштрафованными. Необходимо напечатать и подписать политику, указ о назначении ответственного, лист ознакомления сотрудников. (статья 18.1 пункт 4);
  5. Оператор обязан предоставить неограниченный доступ к своей политике обработки ПД (т.е. опубликовать на сайте, разместить на стенде в офисе и другое). (статья 18.1 пункт 2);
  6. Оператор также несет ответственность за сохранность конфиденциальности персональных данных. (статья 7);
  7. Важно получить согласие на обработку персональных данных, а, при необходимости, доказать получение такого согласия. Именно по этой причине мы считаем необходимым размещать под каждой формой чекбокс о согласии с политикой обработки персональных данных. Некоторые компании размещают просто текст со сноской о том, что, нажимая кнопку, пользователь дает согласие на обработку его персональных данных, но потом невозможно подтвердить факт получения согласия. Например, мы, используя чекбокс, получаем письмо с персональными данными и отметкой о поставленном или не поставленном согласии на специальную почту для заявок и, уже отталкиваясь от этой отметки, мы обрабатываем персональные данные или нет. (статья 9 пункт 1 и 3, статья 15 пункт 1, статья 6 пункт 1.1);
  8. Обработка персональных данных должна осуществляться на территории РФ. Поэтому если вы имеете хостинг или сервера у зарубежных поставщиков и храните/собираете персональные данные в базы данных на этих серверах, то есть вероятность получить штраф. К тому же для seo продвижения полезно, когда сайт размещен близко к свой целевой аудитории. (статья 18 пункт 5);
  9. Заранее определите цели обработки персональных данных, необходимый объем персональных данных и сроки их обработки согласно этой цели. (статья 5 пункты 2, 4, 5 и 7, статья 6 пункт 2, статья 21 пункт 4);
  10. До начала обработки персональных данных оператор обязан уведомить уполномоченный орган о намерении обрабатывать персональные данные (статья 22 пункт 1). В пункте 3 статьи 22 есть пояснения, что должно содержать данное уведомление. После получения уведомления оператор вносится в реестр и может периодически быть проверен. Но в статье 22 есть интересный пункт 2, говорящий о ряде случаев, когда можно обойтись без уведомления ответственного органа. Из моей практики большинству компаний МСП, и мне в частности, подходит подпункт 8 об обработке персональных данных без использования средств автоматизации. Регулирует данную ситуацию Постановление правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Ниже приведу два важных пункта этого постановления:
  • Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
  • Обработка персональных данных НЕ может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

Статья получилась довольно объемной, поэтому я подготовлю отдельную статью о разработке политики конфиденциальности в соответствии с методическими указаниями.

Поделиться в vk
Поделиться в facebook
Поделиться в whatsapp
Поделиться в email

Оставьте комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *