Как соответствовать закону о персональных данных

609

Практически каждый сайт собирает, хранит и обрабатывает персональные данные, но не все задумываются о том, правильно ли они это делают и соответствует ли это закону.

Как принято сейчас: собрали сайт, сваяли политику конфиденциальности и сидим довольные. Но именно такой подход грозит штрафами до 300к рублей. Да-да, за такую мелочь можно получить такой огромный штраф.

В этой статье мы расскажем вам что такое 152 ФЗ и как не попасть на крупную сумму. Также научим вас приводить сайт к полному соответствию с законом.

Сколько можно получить

Наверно, этот вопрос волнует всех. Итак, сумма общего штрафа по всем параметрам может достигать 295 000 рублей для юридических лиц. К слову, до лета 2017 года максимальная сумма штрафов составляла всего 10 000 рублей.

Конечно, у вас могут найти не все возможные нарушения и штраф будет меньше. Разложим его по полочкам:

  • Если на вашем сайте отсутствует политика Конфиденциальности и вы ИП, то получите всего 10к штрафа, если юр лицо - 30к
  • Если вы в формах обратной связи не ссылаетесь на политику, то тут можно получить уже 50к штрафа.
  • Если вы проигнорировали запрос пользователя о персональных данных, то как физ лицо получите 2000, ИП - 20 000, Юр лицо 45 000 рублей
  • Еще 4 штрафа...

В общем, только за отсутствие политики и ссылок на нее вырисовывается 80к.

152 ФЗ

Теперь давайте разберем сам закон. Он довольно большой, в нем много терминов и понятий, но мы перечислим лишь основные:

  • Персональные данные
  • Оператор
  • Обработка персональных данных

Оператор персональных данных - это вы. Если у вас есть свой сайт, не зависимо от вашего статуса (физ или юр), и вы собираете хоть какие-то данные то всё, вы оператор. В законе это конечно описано сложнее и витиеватее, но суть мы вам передали.

Персональные данные - любые данные, по которым можно идентифицировать человека.

К персональным данным можно отнести:

  • ФИО
  • Телефон
  • Почту
  • Адрес
  • Фотографию
  • Ссылку на сайт или профиль в социальных сетях
  • IP-адрес
  • Местоположение
  • Cookie

Но это не всё. В законе встречается понятие биометрических данных, а это:

  • Рост
  • Вес
  • ДНК
  • Оболочка глаз
  • Дактилоскопические данные

И специальные данные:

  • Раса
  • Национальность
  • Политические взгляды
  • Отношение к религии
  • Состояние здоровья

Вообще, точного понятия “персональных данных” в законе нет. Но судя по всему, если вы где-то напишите “Тот 100 килограммовый индус атеист”, кто-то может распознать в это разглашение персональных данных. В общем как и многие законы РФ, этот не обладает высокой точностью содержания.

Обработка персональных данных - процесс, который начинается уже на стадии сбора. Даже если вы сразу же удаляете собранные данные, это уже считается их обработкой. Так что сказать “я только собираю, но ничего с ними не делаю” не выйдет. Данные могут даже улетать в никуда, это все равно будет считаться обработкой.

С основными понятиями 152 ФЗ разобрались. Теперь будем думать как ему соответствовать.

Приводим сайт в соответствие

В целом, для физических и юридических лиц работы схожие, только для вторых нужно будет сделать больше действий.

Первое, что вам нужно сделать - начать соответствовать 242 ФЗ (да-да, еще один ФЗ). Разбирать его не будем, он нам не очень интересен. Главное его требование - все данные, которые вы собираете должны храниться в РФ, Работает закон еще с 2015 года, именно тогда из-за него и заблокировали социальную сеть Linkedin.

Самый простой способ узнать соответствуете или нет - спросить у хостинга, где локально находится сервер, на котором хранится ваш сайт.

Второй шаг - это под каждой формой на сайте разместить текст “Нажимая на кнопку “отправить”, вы соглашаетесь на обработку своих персональных данных” ну и ссылку на саму политику.

Третье - на сайте должна быть доступная для всех страница с самой политикой.

В документе вы должны указать свои ФИО или название организации как оператора, который получит согласие на обработку перс. данных, цель сбора и обработки, полный перечень данных, которые вы собираете и обрабатываете, все действия, которые вы производите с данными, срок, в течении которого вы храните и обрабатываете данные и лица, которые вы эти данные имеете право передавать.

Обязательно уведомите пользователей, как они могут забрать у вас свои данные.

Четвертое - сделать всплывающее окно-подсказку для всех новых пользователей, уведомляющее их о том, что вы собираете данные.

Пятое - вы должны направить в Роскомнадзор уведомление, что вы собираете данные. Они добавят вас в специальные реестр.

Теперь для юридических лиц:

  • У вас должен быть внутренний регламент и ответственный за обработку и защиту персональных данных
  • Подписать с каждым своим работником обязательство о неразглашении персональных данных пользователей.
  • Заключать поручение на обработку данных, если вы передаете их третьим лицам.
  • Отвечать на все пользовательские запросы о персональных данных
  • Защищать персональные данные всеми возможными способами.

К слову проверить вас могут такие организации как:

  • ФСБ (редко, но метко)
  • ФСТЭК - Федеральная служба по техническому и экспортному контролю
  • Роскомнадзор (наиболее вероятно. Тысячи проверок сайтов в год)

А что там в Европе

А с Европы всё собственно и началось. Именно там был впервые разработан общий регламент по защите данных или GDPR. Именно с помощью этого регламента Европейский парламент и регулирует процедуру сбора, хранения и обработки данных.

В целом, закон полностью схож с нашим и отличается незначительными требованиями.

Если коротко, то требования следующие:

  • Оператор должен получить согласие на сбор и обработку данных
  • Данные должны собираться и обрабатываться согласно прописанной цели и никак иначе
  • Как только цель будет достигнута - данные должны быть уничтожены
  • Если владелец потребовал - данные должны быть уничтожены
  • Оператор обязан обеспечить безопасность данных
  • Данные не должны передаваться третьим лицам без согласия их владельца

Как именно вы будете соответствовать этим требованиям - не важно. Главное соответствовать.

GDPR не распространяется на Россию, а только на резидентов Европы. Однако, если у вас интернет-магазин и вы доставляете в Европу - вы должны соответствовать. Если же резидент Европы закажет у вас что-то в Москве и расплатится рублями - вы можете и не соблюдать GDPR в данном случае.

В остальном там всё также как и у нас. Так что соответствуя одному закону, вы будете соответствовать и второму.

Как сделать политику конфиденциальных данных

Как и всё у нас в России - стянуть у конкурента. Это самый распространенный способ. Стянуть то стянете, но не забывайте её переделать под себя, ведь ваши принципы сбора и обработки могут отличаться.

Второй способ - написать самому. Тут можно либо с нуля, либо воспользоваться шаблоном (к слову, Wordpress в последних версиях предлагает шаблон), либо плагин для своей CMS. Обычно такие вещи всегда актуальны и вам нужно лишь заполнить пустые поля.

Третий способ самый надежный - заказать у специалистов. Они то уж точно учтут все ваши особенности и составят правильную политику конфиденциальности.

Заключение

Какой бы у вас не был сайт, обязательно сделайте все возможное по обеспечению безопасного хранения персональных данных и проработайте все нюансы указанные в этой статье. Будет очень неприятно получить штраф на несколько десятков тысяч рублей, просто потому, что у вас нет ссылки на политику под формой заявок.

Не стоит игнорировать такие вещи, ведь проверки происходят постоянно и тысячи сайтов ежегодно проверяются. Будьте уверены, скоро очередь дойдет и до вас.

Да и с человеческой точки зрения. Персональные данные - это ценный ресурс. Не разбазаривайте данные своей аудитории и не относитесь к ним халатно.

0
Теги:
Штрафы Руководства
Об авторе
Дмитрий
Дмитрий
Читайте также:
 
Напишите ваш комментарий
или разместить анонимно
Loading comment... The comment will be refreshed after 00:00.
Новые обзоры
Недавно добавили на сайт эти обзоры. Если работали с ними, оставляйте свои отзывы.
Выбор редакции
Самые популярные статьи на сайте. Выбор редакции и наших постоянных читателей.