ФЗ 152: инструкция для владельцев сайтов
Нарушение федерального закона о персональных данных карается штрафами и блокировками сайтов. При чём, за последние годы размеры штрафов прилично выросли — даже не будучи юр.лицом за нарушение можно заплатить 75 тысяч рублей. Чтобы избежать неприятных последствий, нужно знать, о чём вообще закон и какие требования к операторам данных в интернете он предъявляет.
Какие данные считаются персональными
В законе прописано, что персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). То есть, любая.
Кто является и не является оператором персональных данных
По сути, если у вас есть сайт — вы оператор персональных данных. Даже если на сайте нет личного кабинета и форм обратной связи — к персональным данным на данный момент относятся IP пользователя, информация о местоположении, типе устройства, операционной системе и файлы cookies.
Какие персональные данные можно обрабатывать и как
Закон говорит, что обрабатываемые персональные данные должны отвечать целям их обработки. Вы точно должны знать, что и зачем собираете. E-mail для рассылки, телефон для обратного звонка, местонахождение для доставки. Но нельзя, например, требовать с пользователя паспортные данные просто для регистрации в личном кабинете или той же рассылки. Обработка избыточных данных, не соответствующих целям — нарушение закона.
Оператор также должен обеспечить точность, достаточность и актуальность персональных данных и не хранить их дольше, чем требуют того цели обработки (их можно уничтожить или обезличить).
Чтобы обрабатывать данные, вы должны получить согласие субъекта персональных данных. Если вы планируете передавать эти данные третьим лицам или распространять, это обязательно должно быть указано.
Само согласие на обработку должно быть «конкретным, информированным и сознательным», и может быть получено в любой форме, позволяющей доказать факт согласия. Фразы в правилах «покиньте сайт, если не хотите, чтобы данные обрабатывались» для этого будет недостаточно.
Сервера, на которых хранятся персональные данные, должны находится на территории РФ. Вам также нужно знать точный адрес местонахождения сервера (уточните у хостинг-провайдера)
Какие документы должны быть на сайте согласно федеральному закону
Оператор обязан опубликовать на сайте документы, определяющие правила обработки персональных данных. Это может быть единый документ — политика конфиденциальности, правила использования сайта, или несколько, например политика и отдельно пользовательское соглашение. Правила обработки персональных данных можно прописать в публичной оферте или договоре.
Согласно рекомендациям Роскомнадзора, в документе о правилах обработки персональных данных нужно прописать:
- Общие положенияОписать назначение политики, обозначить основные понятия (сайт, обработка, оператор)
- Цели обработки персональных данных (предоставление услуг, маркетинговая рассылка)
- Правовые основания обработки данных (законы, уставные документы). Сам ФЗ 152 не может быть основанием для обработки.
- Объем и категории персональных данных(клиенты, посетители сайта, работники). Для каждой категории нужно прописать, какие именно данные вы обрабатываете (ФИО, e-mail, паспортные данные, IP, cookie). Если вы используете сервисы сбора статистики, нужно указать их название.
- Порядок обработки данных, а именно, какие действия вы с ними планируете совершать — сбор, хранение, обезличивание, уничтожение, передачу третьим лицам. Также нужно указать сроки хранения данных.
- Порядок поддержания актуальности данных и регламент реагирования на обращения субъектов персональных данных, а также форму связи с Оператором, которой можно воспользоваться, чтобы уточнить/запросить данные или отозвать согласие.
Помимо политики на сайте нужно разместить:
- Предупреждение об использовании cookies и инструментов аналитики, в нём чекбокс и ссылки на политику конфиденциальности.
- Во всех формах обратной связи чекбокс с ссылкой на политику конфиденциальности или кнопку с текстом «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных»
Шаблоны политики конфиденциальности
Бесплатно составить политику конфиденциальности можно на Advegital
Образец рекомендуется проверить и при необходимости подстроить под себя.
На сайте 152.kontur можно составить полный пакет документов, включая политику, все внутренние документы и уведомление в Роскомнадзор. К сожалению, бесплатный сервис действует только до 16 сентября.
Если сайт небольшой и вы уверены в своих силах, можно составить нужные документы самому. Изучите текст закона, придерживайтесь официальных рекомендаций Роскомнадзора.
Во избежание каких-либо ошибок, лучший вариант — обратиться к юристу. Достаточно ввести соответствующий запрос в поисковик — и он выдаст нужные сервисы платных услуг.
Как составить уведомление в Роскомнадзор
Образец уведомления размещён на сайте Роскомнадзора. Все необходимые данные для заполнения уже должны быть в вашей политике конфиденциальности. Заполните форму онлайн, затем распечатайте в двух экземплярах, подпишите и доставьте один в отделение Роскомнадзора по месту жительства, почтой или лично.
Уведомление нужно отправить до начала сбора персональных данных. Несвоевременное уведомление наказуемо штрафом/ Затем дождитесь ответа. Обработка запроса занимает до месяц.
При каждом изменении политики, а также при прекращении обработки персональных данных, Роскомнадзор необходимо уведомить в течении десяти дней со вступления изменений в силу.