Горячая линия бесплатной юридической помощи:
Москва и область:
Москва И МО:
+7 (499) 653-60-72 (бесплатно)
Санкт-Петербург и область:
СПб и Лен.область:
+7 (812) 426-14-07 (бесплатно)
Регионы (вся Россия):
8 (800) 500-27-29 (бесплатно)

Как адаптировать сайт под требования о защите персональных данных

Кто может получить штраф

Закон действует для всех операторов персональных данных. Оператор персональных данных — это юридическое лицо или ИП, которое собирает, обрабатывает и хранит данные пользователей. Если на вашем сайте есть форма обратной связи, в которую пользователь вводит своё имя и номер телефона, или вы собираете email-адреса клиентов, чтобы рассылать им рекламные предложения, вы — оператор персональных данных.

Максим Лагутин, сооснователь компании Б-152 и ведущий эксперт по защите персональных данных:

«Закон не распространяется на физических лиц, которые обрабатывают персональные данные исключительно для своих личных целей или семейных нужд, если при этом не нарушаются права других людей. Например, Коля и Света составляют список приглашённых на свадьбу. В этом списке — имена гостей и их контакты, по которым жених и невеста будут рассылать приглашения. Коля и Света обрабатывают данные для семейных нужд и не попадают под действие закона.

152-ФЗ также не распространяется на архивное хранение. Если сотрудник уволился, а его документы переданы на хранение в архив организации, компания не считается оператором персональных данных.

И третье: под действие закона не попадают компании, которые работают с данными, составляющими государственную тайну».

Если на вашем сайте есть хотя бы одно из этого, вы — оператор персональных данных:

  • форма обратной связи;
  • личный кабинет пользователя;
  • форма заказа обратного звонка;
  • форма заявки;
  • форма подписки на email-рассылку;
  • Яндекс.Метрика или Google Analytics.

Кто по закону 152-ФЗ считается оператором персональных данных?

Органы государственной власти и муниципального управления, суды, образовательные и медицинские учреждения, работодатели, любые компании и организации, предоставляющие персональные услуги: банки, юридические фирмы, операторы мобильной связи, строительные компании, интернет-ресурсы – всё это операторы персональных данных, поскольку они в разной мере имеют доступ к личной информации людей.

Чаще всего под персональными данными (ПДн) понимаются:

  • имя,
  • фамилия,
  • возраст,
  • место рождения,
  • фото,
  • адрес проживания,
  • номер телефона.

Также к персональным данным относятся сведения:

  • о семейном положении,
  • религиозных, философских и политических взглядах,
  • интимной жизни,
  • состоянии здоровья.

Обезличенные персональные данные и автоматически собираемая информация:

  • e-mail,
  • IP-адрес,
  • геолокация,
  • файлы cookie.

Как соблюдать 152-ФЗ

Мы разобрались, что обязательно нужно сделать предпринимателю, который собирает данные пользователей онлайн. Следуйте нашей пошаговой инструкции.

Шаг 1. Зарегистрируйтесь как оператор персональных данных.

Как адаптировать сайт под требования о защите персональных данных

Подайте уведомление об обработке персональных данных в Роскомнадзор. Это нужно сделать до публикации сайта, который собирает данные о посетителях (основание — часть 1 статьи 22 Закона). Уведомление подаётся в электронном виде через сайт Роскомнадзора и в бумажном виде по почте в отделение Роскомнадзора по месту вашей регистрации.

Шаг 2. Выложите на сайт политику обработки персональных данных.

Документ можно составить с помощью бесплатного онлайн-конструктора, например, от Tilda. После этого необходимо разместить на сайте активную ссылку на политику — обычно это документ в формате PDF. Ссылка чаще всего располагается в подвале сайта.

Еще по теме  Как заверить трудовую книжку: работает по настоящее время, образец копии, заверения работодателем для банка

Не обязательно вставлять в каждую форму сбора данных ссылку на политику с активной галочкой, нажав на которую, пользователь подтверждает, что ознакомился с этим документом. Такого требования в законе нет.

Шаг 3. Составьте согласие на обработку персональных данных.

Согласие составляется в свободной форме, вот пример. Главное, чтобы в документе было прописано то, что требует часть 4 статьи 9 152-ФЗ:

  • название и адрес вашей компании или фамилия, имя, отчество, адрес индивидуального предпринимателя, который собирает персональные данные;
  • цель обработки персональных данных пользователя;
  • перечень персональных данных, на обработку которых пользователь даёт согласие;
  • наименование или фамилия, имя, отчество и адрес лица, которое осуществляет обработку персональных данных по вашему поручению (если есть);
  • перечень действий, которые вы будете совершать с персональными данными пользователя, и общее описание способов обработки данных, которые вы используете;
  • срок, в течение которого действует согласие пользователя, а также способ отзыва этого согласия.

https://www.youtube.com/watch?v=ytdevru

По закону в согласии должна быть подпись субъекта персональных данных и его паспортные данные. Но это требования к письменному согласию. В онлайне это выполнить невозможно, поэтому при проверках Роскомнадзор не требует этого от предпринимателя.

Максим Лагутин, сооснователь компании Б-152 и ведущий эксперт по защите персональных данных:

«Часто на сайтах под формой сбора данных мы видим такой текст: „Я соглашаюсь с политикой и даю согласие на обработку своих персональных данных“. И ссылка на политику сбора персональных данных. Это плохой вариант, потому что в политике обычно перечислены все цели (если перечислены), для которых обрабатываются данные, и пользователь не может понять, для каких именно целей он вводит свои персональные данные в данной форме.

Лучше написать так: „Нажимая на кнопку „Заказать звонок“, вы даёте согласие на обработку своих персональных данных“. И дать активную ссылку на согласие, в котором прописать цели сбора информации для конкретного случая».

Согласие на обработку персональных данных на сайте Точки

Шаг 4. Дайте ссылку на реестр операторов персональных данных.

После того, как Роскомнадзор зарегистрирует вас как оператора персональных данных, он внесёт эту информацию в реестр и присвоит вам уникальный номер. Ссылаясь на это, вы подтверждаете, что являетесь оператором персональных данных и действуете в соответствии с 152-ФЗ.

Шаг 5. Повесьте на сайт уведомление о сборе cookies и других данных.

К этим данным относятся cookies, информация о местоположении пользователя и его IP-адрес. Прочитав и закрыв такое уведомление, пользователь соглашается, что вы собираете и обрабатываете его персональные данные. Если он с этим не согласен, должен уйти с сайта.

На сайте Точки о сборе cookies написали в самом низу страницы

Шаг 6. Подготовьте бумажные документы.

Роскомнадзор устраивает плановые и внеплановые проверки, а также дистанционно наблюдает за сайтами и проводит профилактику нарушений. В ходе проверок сотрудники Роскомнадзора напрямую общаются с предпринимателями и могут запросить дополнительные документы, например копию устава и справку о статусе оператора как субъекта малого предпринимательства с указанием типа предприятия.

Еще по теме  Заявление на отгул за ранее отработанное время: образец

Если у вас их не окажется, Роскомнадзор может заблокировать сайт, выписать штраф и даже приостановить деятельность. Специалисты из компании Б-152 составили перечень необходимых документов. Он большой, поэтому бумаги лучше собрать заранее.

Какие есть формы сбора персональных данных на сайте?

  • Форма регистрации.
  • Форма заказа.
  • Форма обратной связи.
  • Кнопка «Заказать обратный звонок».
  • Форма подписки на e-mail рассылку.

Номер статьи

Возможные нарушения

Размер штрафа

ч.1 ст.13.11 КоАП

  • Запрос сканов документов у посетителей сайта.
  • SMS- и e-mail рассылка без согласия клиента.
  • Любая дезинформация пользователей относительно цели ввода данных в форму на сайте.

Для физ. лиц – до 3 т.р.

Для юр. лиц – до 50 т.р.

ч.2

ст.13.11 КоАП

  • Обработка, сбор и хранение любых ПДн, в том числе IP-адресов и cookie, без электронной подписи пользователей.
  • Отсутствие на сайте документов «Политика конфиденциальности» и «Пользовательское соглашение».
  • Несоответствие документов требованиям закона, которое может возникнуть из-за ошибок при составлении.
  • Отсутствие дисклеймера при первом посещении сайта пользователем.

Для физ. лиц – до 5 т.р.

Для юр. лиц – до 75 т.р.

ч. 3 ст.13.11 КоАП

  • Отсутствие свободного доступа к Политике конфиденциальности для каждого посетителя сайта.

Для физ. лиц – до 1.5 т.р.

Для ИП – до 10 т.р.

Для юр. лиц – до 30 т.р.

ч. 4 ст.13.11 КоАП

  • Отказ, игнорирование или ложь в ответ на требование пользователя предоставить полную информацию о том, как хранят и обрабатывают его персональные данные.

Для физ. лиц – до 2 т.р.

Для ИП – до 15 т.р.

Для юр. лиц – до 40 т.р.

ч. 5 ст.13.11 КоАП

  • Отказ удалить ПДн из публичного доступа по желанию пользователя.
  • Другие действия, нарушающие право субъекта отозвать согласие на обработку ПДн.

Для физ. лиц – до 2 т.р.

Для ИП – до 20 т.р.

Для юр. лиц – до 45 т.р.

ч. 6 ст.13.11 КоАП

  • Хакерская атака, взлом базы данных третьими лицами, распространение ПДн пользователей.

Для физ. лиц – до 2 т.р.

Для ИП – до 20 т.р.

Для юр. лиц – до 50 т.р.

! При совершении уголовного преступления к штрафу прибавляются дополнительные меры взыскания, в том числе блокировка ресурса и арест нарушителя.

  1. Перенесите базы данных на российские сервера. Это требование закона  N149-ФЗ «Об информации, информационных технологиях и о защите информации». Нарушение закона может привести к блокировке ресурса – так, например,  прекратила свою деятельность на территории России деловая социальная сеть LinkedIn.
  2. Составьте два документа – «Политику обработки персональных данных» и «Пользовательское соглашение». Обратите внимание, что публичная оферта заменяет документ о политике конфиденциальности. Крайне важно, чтобы документы не содержали в себе фактических и юридических ошибок. Лучше всего доверить эту работу профессиональному юристу. В 9 статье закона указано, что виртуальный документ равнозначен документу на бумажном носителе, поэтому никаких физических документов не потребуется.
  3. Подключите форму с согласием на обработку ПДн и обязательным чекбоксом ко всем полям сбора персональных данных на сайте.
  4. Убедитесь, что страница с «Политикой обработки персональных данных» доступна для прочтения каждому пользователю сайта.
  5. Отправьте бумажное и электронное уведомление в Роскомнадзор по установленной форме – ее можно найти на сайте Роскомнадзора. В соответствии со 22 статьей закона этот пункт является обязательным.
Еще по теме  Сроки ремонта по гарантии по законодательству в РФ

Как адаптировать сайт под требования о защите персональных данных

Если вы сомневаетесь в своей юридической компетенции или просто не хотите тратить много времени на формальности, есть более простое и практичное решение проблемы – сервис 152фз.рф. Это простое, дешевое и быстрое решение для Вашего сайта и бизнеса.

https://www.youtube.com/watch?v=ytpressru

Среди наших предложений, Вы, наверняка, сможете подобрать удобное Вам. Если Вы не хотите затягивать с решением проблемы, то можете перейти к выбору тарифного плана уже сейчас. Возникающие юридические вопросы можно задать по телефону нашей службы поддержки 8 800 100 43 45 или ниже в форме комментариев.

Мы будем присылать Вам письма не чаще 1 — 2 раз в месяц.

Коротко:

  1. Законодательство в сфере сбора и обработки персональных данных ужесточилось, а штрафы для предпринимателей выросли в разы. Дальше — больше.
  2. Почти все юридические лица и ИП, которые собирают информацию о пользователе на сайте, считаются операторами персональных данных и попадают под действие 152-ФЗ.
  3. Закон чётко не определяет, что такое персональные данные. К ним относится любая информация о пользователе: имя, фамилия, телефон, ссылка на профиль в социальных сетях и другое.
  4. Для компаний, должностных лиц и ИП штрафы разные. Они также зависят от типа правонарушения.
  5. Чтобы соблюдать 152-ФЗ, надо зарегистрироваться как оператор персональных данных, составить политику обработки персональных данных и согласие на обработку персональных данных, повесить на сайт уведомление о сборе метаданных и подготовить несколько десятков бумажных документов.

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock detector