Как привести сайт в соответствие с законом о персональных данных?
Использование личной информации посетителей интернет-ресурсов регламентируется N 152-ФЗ. Практически все владельцы веб-ресурсов собирают о пользователях личную информацию, к примеру, для последующих рассылок по электронной почте. За нарушения закона о личной информации следует ответственность. Расскажем, как привести сайт в соответствии с законом о персональных данных, что нужно сделать, чтобы избежать штрафов.
Что относится к информации персонального характера?
Это любые сведения, прямым или косвенным образом относящиеся к физическому лицу, а именно:
- ФИО.
- Дата рождения, место с постоянной, временной регистрацией, место проживания.
- Фото, видео лица, по которым можно провести его идентификацию.
- Информация о родственниках, наличии, отсутствии зарегистрированного брака.
- Информация о зарплате, доходе.
- Оценка личных характеристик.
- Личная информация (религия, политические убеждения, наличие хронических заболеваний).
- Данные о судимости.
- Адрес электронной почты, страницы в социальной сети, телефон.
- Данные из паспорта.
- Биометрия.
Понятие о такой информации закреплено в ст. 3 вышеуказанного нормативного акта.
Особенности обработки
Обработкой личной информации занимаются операторы – лица, которые ведут сбор, систематизацию, хранение, применение, распространение, удаление данных. В ходе обработки могут использоваться такие методы, как:
- Автоматизированные методики (применяются компьютеры, телефоны, различное программное обеспечение).
- Комбинированный способ (информацию обрабатывает человек с помощью технических средств).
- Неавтоматизированный метод.
После обработки сведения поступают в специальное электронное хранилище (для сайтов это облачные сервисы).
Ответственность за нарушение правил обработки
При нарушении нормативного акта N 152-ФЗ предусмотрена ответственность по административному законодательству (статья 13.11 КоАП РФ). По этой норме должностному лицу назначается штраф до 40 тыс. рублей, а организации – до 150 тыс. рублей (при обработке без согласия пользователя). При повторном совершении нарушения штраф увеличивается. Как видите, суммы серьезные, поэтому малейшая ошибка может обернутся серьезными расходами, потерей репутации для вашего бизнеса.
Что делать владельцам сайтов?
Можно встретить возражения: владельцы интернет-ресурсов не занимаются обработкой, они только получают информацию от пользователей, хранят ее на сервере. Но с точки зрения закона это уже является обработкой.
Даже если на вашем сайте есть только форма для обратной связи, посетители все равно передают вам личную информацию, а значит, при ее неправильной обработке вы столкнетесь со штрафами.
Соблюдение правил контролируется Роскомнадзором. Чтобы избежать претензий со стороны этого органа, необходимо выполнять следующие рекомендации:
- Составление политики для обработки информации. Лица, занимающиеся использованием личных данных на интернет-ресурсе, должны разместить на странице сайта в режиме общего доступа политику конфиденциальности. В ней указываются категории информации, цели работы с ней, методы защиты, способы изменения, удаления. Не следует использовать типовые документы, найденные онлайн, конструкторы для составления политики. Эти формы не будут учитывать специфику вашего бизнеса, а значит, вы разместите недостоверные сведения.
- Согласие субъекта на процесс обработки. Если данные используются только в целях договора, заключенного с гражданином, получать его согласие не обязательно. Однако в большинстве случаев применение данных не ограничивается только исполнением условий соглашения. К примеру, интернет-магазин после выполнения заказа хранит сведения о покупателях на сервере, может использовать их в целях маркетинга для массовых рассылок. Поэтому согласие лучше получать в любом случае. Это делается с помощью проставления лицом «галочки» перед указанием нужной информации.
- Определитесь, будете ли вы отправлять уведомление в Роскомнадзор. По ст. 22 ФЗ 152 до начала работы со сведениями лицо-оператор должен сообщать об этом в контролирующий орган. Однако для онлайн-коммерции существуют исключения. Если ваша компания использует данные только для оформления, выполнения соглашений с потребителями (для подтверждения заказов, доставки товаров), не занимается их распространением, отправка уведомлений не обязательна.
- Важно учитывать, что хостинг сайта должен располагаться на территории РФ. Правило распространяется на иностранные компании с российским представительством, на российские организации, использующие облачные сервисы.
- Для удобства пользователей тексты политики, соглашения рекомендуется опубликовать в отдельном разделе.
- Разместите на главной странице предупреждение, что сайт ведет сбор информации (местоположение, IP устройства). Если посетитель не хочет этого, он должен покинуть страницу. Предупреждение лучше разместить в виде всплывающего окна, которое сразу будет заметно.
Как оформляется соглашение?
По ст. 9 вышеупомянутого закона, в этом документе должно быть указано следующее:
- Наименование компании-оператора, ФИО руководителя.
- Цель сбора информации у посетителей веб-ресурса.
- Список персональных данных, на использование которых вторая сторона выражает согласие.
- Если владелец интернет-ресурса получает обработку другому лицу, должны быть указаны его ФИО.
- Список действий с персональной информацией, описание методов обработки (например, рассылка по электронной почте и мессенджерам).
- Период, в течение которого согласие будет действительно.
- Пункт о том, что физлицо может в любой момент отозвать данное согласие.
Что еще нужно сделать организациям?
Компании должны выполнять следующие требования:
- Назначить ответственных сотрудников, разработать внутренние документы, регламентирующие работу с данными от клиентов.
- Подписать с работниками соглашения о сохранении в тайне конфиденциальной информации, ознакомить их с внутренней документацией под роспись.
- Оформлять поручения на работу с информацией, если вы передаете полномочия рекламным агентствам, другим лицам.
- Сохранять обратную связь с физлицами, отвечать на их вопросы, по поводу использования таких сведений.
- Защитить информацию техническими инструментами, антивирусными программами, установить права доступа для различных категорий сотрудников (это особенно важно для платежных реквизитов, номеров банковских карт).
Соблюдая эти правила, вы не столкнетесь с проверками со стороны Роскомнадзора. Важно: при выявлении нарушений контролирующая инстанция может не только наложить штраф, но и заблокировать веб-ресурс, в редких случаях деятельность организации приостанавливается. Поэтому отнестись к разработке политики и соглашения нужно ответственно. Для создания этих документов обратитесь к юристу, который составит пункты с учетом специфики вашей деятельности.
Если вам необходима помощь профессиональных юристов адвокатов в Москве с отличной репутацией, которые могут решить самые сложные споры, то звоните по телефону:
Коллегия адвокатов Рогачев, Высоцкий и партнеры специализируется на юридическом сопровождении и защите бизнеса. Среди наши основных специализаций: проведение процедур банкротства юридических лиц, защита от субсидиарной ответственности, представительство и защита интересов доверителей в арбитражном суде. Мы всегда предоставляем бесплатные консультации своим клиентам и даем письменные гарантии перед заключением договора.