Как соответствовать закону о персональных данных
Практически каждый сайт собирает, хранит и обрабатывает персональные данные, но не все задумываются о том, правильно ли они это делают и соответствует ли это закону.
Как принято сейчас: собрали сайт, сваяли политику конфиденциальности и сидим довольные. Но именно такой подход грозит штрафами до 300к рублей. Да-да, за такую мелочь можно получить такой огромный штраф.
В этой статье мы расскажем вам что такое 152 ФЗ и как не попасть на крупную сумму. Также научим вас приводить сайт к полному соответствию с законом.
Сколько можно получить
Наверно, этот вопрос волнует всех. Итак, сумма общего штрафа по всем параметрам может достигать 295 000 рублей для юридических лиц. К слову, до лета 2017 года максимальная сумма штрафов составляла всего 10 000 рублей.
Конечно, у вас могут найти не все возможные нарушения и штраф будет меньше. Разложим его по полочкам:
- Если на вашем сайте отсутствует политика Конфиденциальности и вы ИП, то получите всего 10к штрафа, если юр лицо - 30к
- Если вы в формах обратной связи не ссылаетесь на политику, то тут можно получить уже 50к штрафа.
- Если вы проигнорировали запрос пользователя о персональных данных, то как физ лицо получите 2000, ИП - 20 000, Юр лицо 45 000 рублей
- Еще 4 штрафа...
В общем, только за отсутствие политики и ссылок на нее вырисовывается 80к.
152 ФЗ
Теперь давайте разберем сам закон. Он довольно большой, в нем много терминов и понятий, но мы перечислим лишь основные:
- Персональные данные
- Оператор
- Обработка персональных данных
Оператор персональных данных - это вы. Если у вас есть свой сайт, не зависимо от вашего статуса (физ или юр), и вы собираете хоть какие-то данные то всё, вы оператор. В законе это конечно описано сложнее и витиеватее, но суть мы вам передали.
Персональные данные - любые данные, по которым можно идентифицировать человека.
К персональным данным можно отнести:
- ФИО
- Телефон
- Почту
- Адрес
- Фотографию
- Ссылку на сайт или профиль в социальных сетях
- IP-адрес
- Местоположение
- Cookie
Но это не всё. В законе встречается понятие биометрических данных, а это:
- Рост
- Вес
- ДНК
- Оболочка глаз
- Дактилоскопические данные
И специальные данные:
- Раса
- Национальность
- Политические взгляды
- Отношение к религии
- Состояние здоровья
Вообще, точного понятия “персональных данных” в законе нет. Но судя по всему, если вы где-то напишите “Тот 100 килограммовый индус атеист”, кто-то может распознать в это разглашение персональных данных. В общем как и многие законы РФ, этот не обладает высокой точностью содержания.
Обработка персональных данных - процесс, который начинается уже на стадии сбора. Даже если вы сразу же удаляете собранные данные, это уже считается их обработкой. Так что сказать “я только собираю, но ничего с ними не делаю” не выйдет. Данные могут даже улетать в никуда, это все равно будет считаться обработкой.
С основными понятиями 152 ФЗ разобрались. Теперь будем думать как ему соответствовать.
Приводим сайт в соответствие
В целом, для физических и юридических лиц работы схожие, только для вторых нужно будет сделать больше действий.
Первое, что вам нужно сделать - начать соответствовать 242 ФЗ (да-да, еще один ФЗ). Разбирать его не будем, он нам не очень интересен. Главное его требование - все данные, которые вы собираете должны храниться в РФ, Работает закон еще с 2015 года, именно тогда из-за него и заблокировали социальную сеть Linkedin.
Самый простой способ узнать соответствуете или нет - спросить у хостинга, где локально находится сервер, на котором хранится ваш сайт.
Второй шаг - это под каждой формой на сайте разместить текст “Нажимая на кнопку “отправить”, вы соглашаетесь на обработку своих персональных данных” ну и ссылку на саму политику.
Третье - на сайте должна быть доступная для всех страница с самой политикой.
В документе вы должны указать свои ФИО или название организации как оператора, который получит согласие на обработку перс. данных, цель сбора и обработки, полный перечень данных, которые вы собираете и обрабатываете, все действия, которые вы производите с данными, срок, в течении которого вы храните и обрабатываете данные и лица, которые вы эти данные имеете право передавать.
Обязательно уведомите пользователей, как они могут забрать у вас свои данные.
Четвертое - сделать всплывающее окно-подсказку для всех новых пользователей, уведомляющее их о том, что вы собираете данные.
Пятое - вы должны направить в Роскомнадзор уведомление, что вы собираете данные. Они добавят вас в специальные реестр.
Теперь для юридических лиц:
- У вас должен быть внутренний регламент и ответственный за обработку и защиту персональных данных
- Подписать с каждым своим работником обязательство о неразглашении персональных данных пользователей.
- Заключать поручение на обработку данных, если вы передаете их третьим лицам.
- Отвечать на все пользовательские запросы о персональных данных
- Защищать персональные данные всеми возможными способами.
К слову проверить вас могут такие организации как:
- ФСБ (редко, но метко)
- ФСТЭК - Федеральная служба по техническому и экспортному контролю
- Роскомнадзор (наиболее вероятно. Тысячи проверок сайтов в год)
А что там в Европе
А с Европы всё собственно и началось. Именно там был впервые разработан общий регламент по защите данных или GDPR. Именно с помощью этого регламента Европейский парламент и регулирует процедуру сбора, хранения и обработки данных.
В целом, закон полностью схож с нашим и отличается незначительными требованиями.
Если коротко, то требования следующие:
- Оператор должен получить согласие на сбор и обработку данных
- Данные должны собираться и обрабатываться согласно прописанной цели и никак иначе
- Как только цель будет достигнута - данные должны быть уничтожены
- Если владелец потребовал - данные должны быть уничтожены
- Оператор обязан обеспечить безопасность данных
- Данные не должны передаваться третьим лицам без согласия их владельца
Как именно вы будете соответствовать этим требованиям - не важно. Главное соответствовать.
GDPR не распространяется на Россию, а только на резидентов Европы. Однако, если у вас интернет-магазин и вы доставляете в Европу - вы должны соответствовать. Если же резидент Европы закажет у вас что-то в Москве и расплатится рублями - вы можете и не соблюдать GDPR в данном случае.
В остальном там всё также как и у нас. Так что соответствуя одному закону, вы будете соответствовать и второму.
Как сделать политику конфиденциальных данных
Как и всё у нас в России - стянуть у конкурента. Это самый распространенный способ. Стянуть то стянете, но не забывайте её переделать под себя, ведь ваши принципы сбора и обработки могут отличаться.
Второй способ - написать самому. Тут можно либо с нуля, либо воспользоваться шаблоном (к слову, Wordpress в последних версиях предлагает шаблон), либо плагин для своей CMS. Обычно такие вещи всегда актуальны и вам нужно лишь заполнить пустые поля.
Третий способ самый надежный - заказать у специалистов. Они то уж точно учтут все ваши особенности и составят правильную политику конфиденциальности.
Заключение
Какой бы у вас не был сайт, обязательно сделайте все возможное по обеспечению безопасного хранения персональных данных и проработайте все нюансы указанные в этой статье. Будет очень неприятно получить штраф на несколько десятков тысяч рублей, просто потому, что у вас нет ссылки на политику под формой заявок.
Не стоит игнорировать такие вещи, ведь проверки происходят постоянно и тысячи сайтов ежегодно проверяются. Будьте уверены, скоро очередь дойдет и до вас.
Да и с человеческой точки зрения. Персональные данные - это ценный ресурс. Не разбазаривайте данные своей аудитории и не относитесь к ним халатно.