Разработка и продвижение сайтов
МЕНЮ
Эффективные сайты
для Вашего бизнеса!
+7 (812) 600-54-11
Агентство сертифицировано Яндексом
CТОИМОСТЬ УСЛУГ
Выбор сайта, типовые услуги ОНЛАЙН-КОНТРОЛЬ ЗА РАЗРАБОТКОЙ САЙТА ПРОДВИЖЕНИЕ САЙТОВ
Кейсы и точный расчет
  • /
  • Советы
  • /
  • О защите персональных данных

О защите персональных данных

Что необходимо знать при создании сайта, чтоб не попасть в поле зрения Роскомнадзора.

После внесения изменений в Кодекс об административных правонарушениях, штрафы за нарушения законодательства о работе с персональными данными стали значительно выше. Кроме того, количество санкций накладываемых на нарушителей за последнее время увеличилось.

Под действие закона о работе с персональными данными подпадают как физические, так и юридические лица, владеющие сайтами. Если с помощью сайта вы собираете какие-либо личные данные пользователей, то вы вполне можете попасть в поле зрения Роскомнадзора.

В данной статье мы расскажем вам, какие правила необходимо соблюдать при создании сайта, чтоб не нарушать вышеуказанный закон, как избежать штрафов и что такое "Персональные данные". Эта информация будет вам полезна вне зависимости о того, заказываете вы разработку сайта или блога, или ведёте продажи с лендингов.

Ссылка на статью 13.11 КоАП

Чтобы избежать проблем необходимо понимать, что под собой подразумевает понятие "Персональные данные".

Персональные данные (ПД) - это любого рода информация, с помощью которой можно напрямую или по косвенным признакам распознать конкретного человека.

В список ПД входят:

  • Ф.И.О.;
  • дата рождения;
  • адрес регистрации или проживания;
  • номер телефона;
  • фотографии;
  • адрес электронного почтового ящика;
  • ИНН;
  • место работы или службы;
  • ссылки на личный сайт посетителя или блог, а также на страницы в социальных сетях;
  • метрики сайта (ip-адрес, куки, географические координаты снимков и др);
  • множество иной информации.

Подвох состоит в том, что в законе чётко не прописано, при каких обстоятельствах, и какая информация может считаться персональными данными. Поодиночке большая часть вышеуказанных параметров не может быть названа ПД.

Невозможно распознать конкретного человека ИСКЛЮЧИТЕЛЬНО по дате рождения или ТОЛЬКО по электронной почте. Даже по Ф.И.О., при использовании его отдельно, нельзя точно определить конкретного пользователя, так как могут встречаться полные тёзки. При использовании двух и более данных (к примеру, имя и e-mail), уже можно определить посетителя сайта, поэтому такой сбор данных уже подпадает под закон 152-ФЗ.

Преимущественно, персональные данные представляют собой комплекс материалов, но бывают и исключения.

При оформлении SIM-карты в салоне мобильной связи мы указываем свои паспортные данные. Теоретически владелец сайта может обладать доступом к базе данных операторов мобильной связи, что даёт ему возможность распознать конкретного человека ВСЕГО ЛИШЬ по номеру мобильного телефона. В этом случае запрос ИСКЛЮЧИТЕЛЬНО номер телефона может рассматриваться как сбор персональных данных.

В закон невозможно внести все возможные варианты, включая уникальные случаи, поэтому при создании сайта стоит опирать не только на закон, но и на логику. Если хотя бы теоретически с помощью получаемой от пользователя сайта информации вы можете определить конкретного человека, то к этой информации стоит относиться как к персональным данным. Если использование каких-либо данных вызывает у вас сомнения, то лучше создавать сайт, соблюдая все необходимые правила согласно закону о персональных данных, чем в последствии иметь дело с Роскомнадзором и оплачивать немалые штрафы.

К примеру, если на сайте вы будете запрашивать только адрес электронной почты для подписки, то это не будет являть сбором персональных данных, так как email не несёт в себе личной информации и является обезличенным (при создании почтового ящика не является обязательным условием указывать свои реальные данные или подтверждать их документами). Но если кроме email вы будете запрашивать имя, то это уже будет подпадать под действие закона 152-ФЗ, и вы, как владелец, будете считаться оператором персональных данных.

Как распознать в себе оператора персональных данных.

Оператором персональных данных может быть как любое физическое лицо, так и юридическое.

Так как закон имеет много тонкостей, то владельцы сайтов часто могут даже не подозревать, что они подпадают под вышеуказанный закон.

Вы подпадаете по действие закона, если у вас на сайте есть:

  • формы подписки на рассылки, в которых пользователю необходимо указать имя + почтовый ящик, телефон или другие данные;
  • личный кабинет, в который нужно внести личные данные (имя + адрес, телефон, e-mail, дата рождения и т.д.);
  • формы заявки на обратную связь, в которых необходимо указать имя, а ещё e-mail, телефон или другую личную информацию;
  • системы онлайн-чат или предоставляются онлайн-консультации с указанием имени человека посещающего сайт и других его данных;
  • форма размещения комментариев или отзывов с указанием больше одного пункта ПД.

Если ваш сайт соответствует хотя бы одному из вышеуказанных пунктов, то вы автоматически признаётесь оператором персональных данных.

Практически все коммерческие сайты являются операторами персональных данных, но не обязательно владеть интернет-магазином, чтоб тоже попасть в эту категорию. Даже владельцы блогов или сайтов, созданных для рассылки информации, могут собирать ПД.

Что следует учесть перед началом сбора персональных данных.

Законодательством предусмотрено три основных правила:

  1. Необходимо прописать подробную политику конфиденциальности ПД и разместить её на вашем сайте.
  2. Сообщить в Роскомнадзор, что вы планируете собирать персональные данные.
  3. В обязательном порядке брать согласие посетителей на систематизацию ПД.

Правила составления политики конфиденциальности согласно законодательству:

  1. Указать название компании-оператора. Ф.И.О. владельца, если сайт принадлежит физ. лицу, и название ИП, если владельцем сайта является юридическое лицо.
  2. Отобразить на сайте адрес оператора. Фактический для частного лица, юридический для юрлица.
  3. Составить перечень собираемых данных. Перечь должен максимально отобразить все необходимые данные. Обратите внимание, какие данные оказываются в системах аналитики, а также в CRM-системах, в том случае, если вы планируете её использовать.
  4. Указать с какой целью вы будете использовать ПД. Для доставки товаров, для рассылки сообщений и прочее.
  5. Сообщить какие действия вы будете совершать с полученной информацией (сбор, хранение, использование, передача иным лицам).
  6. Указать сроки, в которые вы будете использовать полученную информацию. ПД невозможно хранить вечно. После отправки заказа данные заказчика следует удалить, если вы не собираетесь в дальнейшем использовать их для рекламной или информационной рассылки.
  7. Довести до сведения посетителей о факте привлечения третьих лиц к обработке ПД. В случае с геолокацией или куками этими третьими лицами будут Гугл и Яндекс. Если вы переводите посетителя на сайт партнёра, то это партнёр должен быть указан в качестве третьего лица.
  8. Прописать контактные данные оператора (номер телефона и электронный почтовый ящик). Это необходимо для того, что пользователь мог обратиться к вам с просьбой удалить или изменить информацию о себе.
  9. Сообщить о предпринимаемых мерах по обеспечению безопасности ПД. Вы должны убедить пользователей сайта, что их ПД находятся в безопасности на защищённых серверах. На каких серверах лучше хранить информацию может подсказать ваш хостинг-провайдер.

При размещении политики конфиденциальности следует соблюсти несколько правил:

  • текст политики необходимо разместись на отдельной странице;
  • ссылки на неё должны находиться в нижней части (футере) сайта;
  • на каждой странице должна находиться активная ссылка на политику.

Способ уведомления Роскомнадзора о сборе ПД.

Роскомнадзор предоставляет возможность любому подать заявку прямо на их сайте. Для этого у них есть специальная форма. Лучше всего подать уведомление до начала сбора ПД. К примеру, до запуска сайта.

Уведомлять Роскомнадзор необходимо, даже если вы находитесь за пределами РФ, но собираетесь собирать данные с граждан Российской Федерации.

Получение согласия на сбор и обработку ПД от посетителей сайта.

Согласие на систематизацию ПД должно соответствовать некоторым требованиям:

  • оно должно быть выражено в явном виде (содержать конкретный посыл, полную информацию и говорить о том, что пользователь сам сознательно согласился на указанные условия);
  • обязательно должна быть ссылка на политику конфиденциальности;
  • согласие не должно быть автоматическим, желательно чтобы пользователь сам нажал на чек-бокс (галочку) для подтверждения своих намерений.

В случае спорных ситуаций соблюдение этих правил обеспечит вас доказательством того, что посетитель сознательно и без принуждения согласился на сбор его данных.

Собирая какие-либо данные (куки, геолакация и пр.) для аналитических систем, вам обязательно необходимо сообщить об этом посещающим ваш сайт людям.

Донести до сведения посетителей эту информацию можно с помощью всплывающих сообщений (дисклеймеров), в которых вы можете сообщить краткую информацию о том, какие данные вы собираете и с какой целью, а также просьбу покинуть сайт, если посетителя не устраивают данные условия.

Правила хранения данных.

Хранить ПД разрешается только на серверах, которые располагаются в России. Отдавайте предпочтение российским хостингам, а если вы решили воспользоваться CRM-системой, то сначала удостоверьтесь в том, что её серверы расположены на территории РФ.

Проверки Роскомнадзора и вероятность попадания в поле их зрения.

Роскомнадзор больше заинтересован в проверке крупных компаний, и это вполне обосновано. Максимально совокупно оштрафовать юридические лица Роскомнадзор имеет право на 290 тыс. рублей, в то время как физические лица или ИП они могут оштрафовать максимум на 15 500. Операторов по сбору ПД огромное количество, а сотрудников этой государственной структуры в разы меньше. Соответственно проверять всех Роскомнадзор не будет. Есть утверждённый список плановых проверок, но могут быть и внеплановые проверки. Именно они и могут нанести вам вред, если вы не соблюли все вышеуказанные правила. Внеплановая проверка может осуществляться по жалобе обладателя персональных данных. К примеру, посетитель сайта нашёл форму согласия на обработку данных, но в ней нет ссылки на политику конфиденциальности. Это противоречит закону 152-ФЗ, поэтому Роскомнадзор будет просто обязан наведаться с проверкой к такому недобросовестному оператору. Если же вы учли все законные требования и правила, то никакая проверка вам не страшна, ибо вы всё сделали согласно букве закона.

Постановление Тамбовского областного суда № 4А-288/2016

Определение КС № 100-О от 28.01.16 по делу директора УК