редакции Выбор
Обработка персональных данных на сайте: как избежать штрафов
Какая информация относится к персональным данным?
Деятельность по обработке, хранению и защите персональных данных граждан РФ регулируется Федеральным законом от 27.07.2006 N 152-ФЗ О персональных данных (далее – ФЗ № 152).
Персональные данные – это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных) – п. 1 ст. 3 ФЗ № 152.
Таким образом, практически любая информация, указанная на сайте пользователем, будь то информация, указанная при регистрации или заполнении формы на сайте (фамилия, имя, отчество, дата и место рождения, образование/профессия, адрес, семейное, имущественное, социальное положение и другое), попадает под действие ФЗ № 152.
Помимо информации, которую сам пользователь указывает на сайте, Роскомнадзор относит к персональным данным также сведения о геопозиции пользователя, IP-адрес, cookie.
Что такое обработка персональных данных?
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. - п. 1 ст. 3 ФЗ № 152.
Иными словами, если на вашем сайте имеется форма обратной связи, форма заказа, форма комментариев, регистрация и личные кабинеты, формы подписки по e-mail, то вместе с автоматически передаваемыми cookie и другими данными, указанные сведения будут являться персональными данными, а вы как владелец сайта – оператором персональных данных, который обязан обрабатывать такие данные в соответствии с требованиями ФЗ № 152.
Какие штрафы ожидают нарушителей?
За нарушение законодательства в области персональных данных статьей 13.11 Кодекса Российской Федерации об административных правонарушениях предусмотрена административная ответственность в виде административного штрафа в размере до 75 000 рублей в зависимости от вида нарушения. Если нарушений несколько, то штрафы по ним будут суммироваться и максимально могут достигать 295 000 рублей.
Что сделать, чтобы избежать штрафа?
1. Перевести свой сайт на сервер. находящийся на территории Российской Федерации.
Согласно ФЗ РФ №242 операторы интернет-сайтов "обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ".
Место нахождения сервера, на котором расположен ваш сайт, можно уточнить у своего хостинг-провайдера.
2. Разработать и разместить на своем сайте документ Политика в отношении обработки персональных данных.
Указанный документ должен быть размещен на сайте в свободном доступе, в нем необходимо прописать процедуры обработки, хранения и защиты персональных данных пользователей сайта.
В данном документе Роскомнадзор рекомендует указывать следующую информацию:
- Общие положения, в которых указывается назначение Политики и основные понятия, используемые в ней, перечисляются основные права и обязанности оператора и субъекта (-ов) персональных данных.
- Цели сбора персональных данных.
- Правовые основания обработки персональных данных (например, уставные документы, договора и т.д.).
- Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных.
- Порядок и условия обработки персональных данных.
- Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.
- Также необходимо указать информацию о возможности отзыва физическим лицом согласия на обработку персональных данных.
3. Получить согласие пользователей/посетителей сайта на обработку персональных данных.
С этой целью под каждой формой ввода данных на сайте необходимо разместить текст Нажимая на кнопку, я даю согласие на обработку своих персональных данных. Также здесь необходимо предусмотреть ссылку на Политику в отношении обработки персональных данных, разработанную и размещенную на вашем сайте.
4. Указать e-mail для обращений пользователей по вопросам, связанным с обработкой персональных данных.
E-mail, по которому пользователь сайта может обратиться по любому вопросу, касающемуся работе с персональными данными, можно указать в Политике в отношении обработки персональных данных.
При этом e-mail, созданный для вышеуказанных целей, должен постоянно проверяться, чтобы своевременно реагировать на полученные пользователями сайта запросы.
5. Подать заявление о внесении вашей компании в реестр операторов, осуществляющих обработку персональных данных.
Форму и порядок подачи такого заявления можно найти на сайте Роскомнадзора. Там же можно заполнить электронную форму.
Кроме того, согласно приказа ФСТЭК России №21, вы обязаны защитить персональные данные техническими и организационными мерами: антивирусными системами, средствами межсетевого экранирования, а также разграничить права доступа. Выполнение данного условия не менее важно, и подлежит проверке наряду с остальными требованиями.
Мы надеемся, что указанные советы будут полезными при разработке и работе вашего сайта и помогут избежать нарушений закона о персональных данных.