Приводим сайт в соответствие с законом о персональных данных 152-ФЗ

7 июля 2006 г. был принят Федеральный Закон № 152-ФЗ «О персональных данных» для обеспечения защиты прав и свобод человека на неприкосновенность частной жизни, личную и семейную тайну.

С 1 июля 2017 года вступили в силу поправки в КоАП о нарушениях в работе с персональными данными (далее ПД). Штрафы за нарушения стали на порядок больше (свыше 100000р), и теперь эти штрафы реально будут накладывать.

Это касается всех владельцев сайтов, то есть и юридических, и физлиц. Если вы собираете хоть какие-то персональные данные не в соответствии с законом 152-ФЗ, Роскомнадзор может наказать серьезными штрафами, особенно юрлиц.

Поэтому ниже мы расскажем как избежать штрафов и все сделать правильно.

Что относится к персональным данным?

Персональные данные (ПД) — это информация, по которой можно прямо или косвенно определить человека:

• ФИО;
• телефон;
• дата рождения;
• адрес;
• электронная почта;
• ИНН;
• сведения о работе;
• фотографии;
• ссылки на аккаунты в социальных сетях или личный сайт;
• метрики сайта (ip-адрес, геотеги, cookies и т.д.);
• и многое другое.

Проблема вот в чём: в самом законе нет точного и исчерпывающего объяснения, что и при каких условиях считать персональными данными.

Вот определение согласно ФЗ-152, персональные данные -

любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

По отдельности большинство перечисленных данных не считаются персональными. Нельзя определить человека ТОЛЬКО по дате рождения или ТОЛЬКО по email-адресу. И даже по ФИО нельзя — есть же полные тёзки. А вот если от человека обязательно требуется указать на сайте имя и email — это уже персональные данные.

Персональные данные — почти всегда совокупность нескольких разных данных о человеке.

Но есть исключения. Например, номер телефона. Обычно SIM-карты в салонах связи продают по паспорту, а паспортные данные вносят в базу. А значит, если у вас есть доступ к базе оператора — теоретически вы можете установить личность человека по одному только номеру.

Закон не может регламентировать каждую мелочь и каждый частный случай. Если вы абсолютно уверены, что нельзя установить личность человека по данным, которые собираете на сайте — хорошо. Если не уверены — лучше сразу считайте, что всё-таки собираете персональные данные.

Если сайт собирает персональные данные — его владелец считается оператором персональных данных. Операторами могут быть и юридические, и физические лица.

Также необходимо руководствоваться Трудовым Кодексом, Глава 14. Например, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия (Статья 86 часть 4 ТК).

Как понять, оператор вы или нет?

Иногда владелец сайта и сам не знает, что он — оператор персональных данных. Вот распространённые «сборники» ПД:

• личный кабинет интернет-магазина (имя + адрес, телефон и т.д.);
• формы подписки на рассылку (имя + email, телефон и т.д.);

• форма заявки или обратной связи (имя + email или телефон);

• системы онлайн-чат, онлайн-консультант (имя + email, телефон и т.д.);

• форма размещения комментариев в блоге (имя + email или адрес сайта).

Если что-то из этого есть на сайте и требует от посетителей ввода персональных данных, то владелец автоматически признаётся оператором. И это только частные случаи. Возможно, вы собираете данные каким-то другим образом.

Важно. Если человек сам проявляет инициативу и выкладывает свои ПД на сайте, хотя вы его об этом не просили — вы не становитесь оператором. В комментариях к статье посетитель может выложить хоть скан паспорта и фотографию банковской карты. Вы не несёте за это ответственность.

Как видим, почти все коммерческие сайты попадают под действие закона. Но не обязательно управлять интернет-магазином, чтобы быть оператором — даже сайты с информационными рассылками и блоги собирают персональные данные.

Что делать, если вы собираете персональные данные

Законодатель предъявляет 3 главных требования:

1. Составить политику конфиденциальности и разместить её на сайте (пользовательское соглашение).
2. Уведомить Роскомнадзор, что вы собираете персональные данные.
3. При сборе данных брать согласие с посетителей сайта.

Как составить политику конфиденциальности (пользовательское соглашение)

Вот что нужно прописать в политике:

1. Наименование компании-оператора. Если сайт принадлежит ИП или просто физическому лицу — ФИО.
2. Адрес оператора: юридический (для юрлиц) или фактический (для физлиц).
3. Список собираемых данных: имя, почта, телефон, cookies, геометки и т.д. Список должен быть максимально полным. Посмотрите, какие данные попадают в системы аналитики (и CRM-систему, если пользуетесь).
4. Цель сбора данных. Вы должны объяснить, для чего будете использовать персональные данные. Например, для доставки товара, рассылки рекламных писем, отправки СМС-сообщений с напоминанием о конференции и т.д. Собирайте и обрабатывайте только нужные для работы данные — иначе могут выписать штраф.
5. Действия с данными: это сбор, уточнение, хранение и т.д.
6. Сроки обработки данных. Нельзя хранить ПД вечно — после «использования по назначению» их надо удалять. Интернет-магазин взял email, чтобы присылать уведомления о заказе? Когда человек примет товар — его почту следует стереть из базы. Исключение — если вы собираете данные для регулярной рассылки.
7. Факт привлечения третьих лиц к обработке данных. Если это геотеги или cookies — в качестве третьих лиц выступят Яндекс и Google. Если вы по партнёрской программе приводите покупателей в какой-то интернет-магазин — третьим лицом будет этот магазин.
8. Свои контактные данные — почту, телефон. Это нужно, чтобы человек мог обратиться к вам и попросить изменить, уточнить либо удалить свои персональные данные.
9. Меры обеспечения безопасности данных. Объясните, что персональные данные в безопасности и расположены на защищённых серверах. Каких именно — можно узнать у своего хостинг-провайдера.

Эти принципы обработки персональных данных устанавливает закон 152-ФЗ в статье 5.

Важно:

• текст политики нужно разместить на отдельной странице;
• ссылку на политику поставить в нижней части сайта;
• активная ссылка на политику должна быть на каждой странице.

Как уведомить о сборе данных Роскомнадзор

Уведомление можно подать на сайте Роскомнадзора в специальной форме. Желательно сделать это до того, как начнёте собирать персональные данные — например, перед запуском сайта.

Подавать уведомление в Роскомнадзор надо, даже если вы живёте не в России. Граждане Украины, Беларуси и любой другой страны обязательно должны обратиться в Роскомнадзор, если они собирают ПД российских граждан.

Как получить согласие посетителей на сбор данных

При сборе ПД нужно брать согласие посетителя на обработку персональных данных. Учтите вот что:

• согласие на обработку ПД должно быть «конкретным, информированным и сознательным» — выраженным в явном виде;
• ссылка на политику конфиденциальности — обязательно;
• чек-бокс с галочкой — обязательно.

Выполнение всех этих условий послужит доказательством, что человек добровольно и осознанно согласился на обработку своих ПД. Это выглядит примерно так:

Имя, фамилия, почта и марка автомобиля — это ПД. Если вы просите у человека эти данные при подписке на рассылку (или в другом случае) — он должен подтвердить согласие галочкой в чекбоксе

Обычно эту строчку помещают рядом с полем для ввода данных: под формой подписки, в настройках аккаунта интернет-магазина.

Обратите внимание на чёткость формулировки. Галочка в чекбоксе не проставляется автоматически — посетитель должен сделать это сам

Можно сделать совсем хардкорный вариант, но это не обязательно:

Такую форму заполнят только самые упорные и заинтересованные

Если вы собираете cookies, геотеги, ip и другие данные для систем аналитики — на сайте желательно вывесить дисклеймер. Это уведомление, которое всплывает при заходе на сайт. В дисклеймере кратко укажите:

• какие данные вы собираете;
• зачем они нужны;
• просьбу покинуть сайт, если эти условия не устраивают посетителя.

Всё честно: можно остаться или уйти

Хранить данные можно только на территории РФ

Хранить базы персональных данных можно только на серверах, расположенных на территории РФ. Выбирайте российский хостинг. Если пользуетесь CRM-системой — убедитесь, что её серверы находятся в России.

В каких случаях всё это не нужно

Вам не нужно размещать политику конфиденциальности и общаться с Роскомнадзором, если вы собираете только обезличенные данные — те, по которым определить человека нельзя. Поэтому иногда проще исправить кое-что на сайте. Например, если у вас блог — измените форму комментирования так, чтобы человеку достаточно было оставить имя без других данных.

Для сообществ в социальных сетях писать политику (и брать согласие на обработку данных) тоже необязательно. У социальных сетей есть своя политика конфиденциальности. К тому же продажа товаров через «ВКонтакте» или Instagram считается публичной офертой.

Какие персональные данные лучше не собирать

Выше мы говорили об общих персональных данных. Но ещё закон выделяет специальные и биометрические ПД. Это те, что касаются:

• расовой и национальной принадлежности;
• политических взглядов, религиозных или философских убеждений;
• состояния здоровья, интимной жизни и других физиологических и биологических особенностей человека.

Сюда же относятся отпечатки пальцев и фотографии. Да, лучше не требовать от довольного клиента прикрепить к отзыву фото. Он может сделать это только по собственному желанию.

Все эти данные требуют при сборе согласия на обработку в письменной форме. Человек должен лично написать согласие и поставить свою подпись. Чекбокс с галочкой уже не подойдёт.

Если продвигаете сайт клиники или другого медучреждения — не делайте ничего без согласования со штатными юристами.

Какова вероятность, что Роскомнадзор придёт с проверкой?

В основном Роскомнадзор будет штрафовать компании. Максимальный совокупный штраф для юридических лиц — 290 000 рублей, а для физических — «всего» 15 500. Понятно, с кого начинать выгоднее. Список плановых проверок уже утверждён. Будут и внеплановые.

Небольшим интернет-магазинам с ИП будет легче. Их много, а сотрудников Роскомнадзора не очень. Но риск всё равно есть — Роскомнадзор обязан провести проверку, если поступит жалоба (а жалующихся у нас хватает). Например, человек заходит на сайт и видит: форма подписки на рассылку есть, а политики конфиденциальности — нет. Если он отправит жалобу в Роскомнадзор — тот придёт с проверкой.

Запомните!

• персональные данные — это любая информация, по которой можно прямо или косвенно определить человека;
• если вы собираете персональные данные — нужно разместить на сайте политику конфиденциальности и уведомить Роскомнадзор;
• у людей надо брать согласие на обработку персональных данных — разместите под формой ввода данных соответствующую строку с чекбоксом и ссылкой на политику;
• все персональные данные надо хранить только на российских серверах;
• специальные и биометрические персональные данные можно собирать только по письменному согласию;