Вебмастерам: ответственность за обработку персональных данных

Защита персональных данных

Закон «О персональных данных» принят несколько лет назад. Если на сайте нет политики конфиденциальности, не получено согласие на обработку персональных данных, предусмотрены штрафы, причем они могут суммироваться.

Персональные данные — это любая информация, прямо или косвенно относящаяся к определенному физ. лицу.

Что подпадает по ФЗ?

Что конкретно на сайте подпадает под персональные данные:

  • Форма подписки, когда пользователь вводит свой ник и email.
  • В форме обратной связи пользователь также указывает имя (часто выдуманное) и почту. В судебной практике есть случай, когда к персональным данным отнесли форму обратной связи, в которой было только имя и сообщение.
  • Комментарии и сообщения на сайте, когда требуется сообщить имя и почту.
  • Регистрация на сайте, данные в личном кабинете (адрес, город проживания, ФИО, почта, год рождения).
  • Заказ товаров через сайт, покупка в интернет-магазине без регистрации пользователь указывает имя и телефон, иногда почту.
  • Форма обратного звонка, когда требуется указать свое имя и номер телефона.
  • Moneyback, т.е. возврат денег за купленный товар. Пользователь указывает ФИО и банковские реквизиты.
  • Анкеты, тесты и опросники по результатам тренингов, сделанных покупок — ФИО и почта.
  • Заявки на оффлайн мероприятия: проведение праздников, вечеринок, свадеб и т.п. Здесь пользователь указывает свои контактные данные.
  • Отзывы на сайте. Фото пользователя, email — сбор персональных данных.
  • Персональные данные в статье о человеке, например, во время интервью, когда спрашивают о деталях личной жизни.
  • Заявка на публикацию объявления — на сайте объявлений, СМИ.

Персональные данные

На своем интернет ресурсе вам нужно определить, где у вас точки сборки персональных данных. Даже если вы физ. лицо и владеете сайтом, то все равно являетесь оператором персональных данных, а значит подпадаете под ФЗ «О персональных данных» и несете ответственность. Единственный плюс — штрафы для физ. лиц маленькие, в отличие от ИП и юр. лиц.

Роскомнадзор следит за соблюдением соотвестствующего закона на всех сайтах. Хозяин сайта отправляет туда уведомление об обработке персональных данных. На основании уведомлений ведется реестр операторов. Контора также рассматривает все жалобы пользователей об использовании нелегально их персональной информации. Некоторые пользователи даже подают иски в суд.

Как обрабатывать персональные данные?

Форма согласия на сайте:

  • устная, труднодоказуемая перед Роскомнадзором или судом;
  • письменная — не подходит для интернета. Используется для обработки данных религиозного характера, расовой и интимной принадлежности, биометрических данных, политических и философских взглядов, о состоянии здоровья;
  • в форме действия: поставить галочку в соглашении об обработке персональных данных.

Лучше сделать согласие отдельным документом. Если на сайте у вас несколько мест для ввода персональных данных (регистрация, комментарии, отзывы, подписка), то должно быть несколько вариантов согласий — под каждый случай.

Форма согласия

В согласии нужно указать конкретный объем обрабатываемых персональных данных, в какой форме и для каких целей они будут обрабатываться. Цели могут быть разные: таргетированная реклама, рассылка, обратная связь с клиентом, маркетинговые исследования, возврат денег за товар, если это интернет-магазин.

В идеале разместить в подвале сайта ссылку на политику конфиденциальности, с любой страницы ресурса гиперсылка будет видна.

Текст согласия на сайте
Я даю согласие Администрации сайта на _______ (способы обработки) следующих персональных данных: _______ (имя и email), для целей _______ (например, рассылки информации о новостях сайта, о новых услугах, спецпредложениях, другой полезной информации от Администрации ресурса или ее партнеров).

Согласие на обработку персональных данных не является бессрочным, его можно в любое время отозвать.

Уведомление Роскомнадзора. Уведомление можно отправить по электронной почте, простым заказным письмом, и вас включают в единый реестр, как оператора персональных данных.

Отправлять уведомление не нужно, если вы используете только ФИО пользователя, если его данные общедоступны, если действуете в рамках ранее заключенного договора (на сайте) и не распространяете информацию третьим лицам.

Хранить персональные данные граждан РФ можно только на территории РФ. По закону можно использовать только хостинг внутри страны.

Удалять или изменять персональные данные вы должны по заявлению их владельца. Лучше делать это по первому же запросу, иначе человек может пожаловаться в Роскомнадзор на сайт или пойти в суд. Или по завершению договора с пользователем.

Политика конфиденциальности. Лучше сделать отдельным документом и расположить ссылку в подвале сайте, чтобы был доступ со всех страниц ресурса.

Политика конфиденциальности

Основные положение документа:

  • в каких случаях пользователь дает свои персональные данные Администрации сайта;
  • собирается 2 типа информации: информация, которую пользователь дал сам и техническая информация (ip-адрес, браузер,  ПО, разрешение экрана, пол, возраст, местонахождение и другое);
  • какие данные мы получаем от пользователя и в каком месте сайта (форма подписки, регистрации, комментирование);
  • указание персональных данных при пользовании какими-то услугами на сайте; при заполнении формы на конкретной странице, при написании претензии;
  • реквизиты карты при оплате товара администрации сайте недоступны и обрабатываются платежным интегратором (Интеркасса, например);
  • положение о регистрации на сайте через соц.сети;
  • если на сайте используется система идентификации пользователей через Cookies , надо рассказать про это;
  • гарантия безопасности персональных данных пользователей и непередача данных третьим лицам без согласия пользователей; предусмотреть те случаи передачи личных данных, когда это возможно;
  • для каких целей собираются личные данные;
  • срок обработки данных: от регистрации пользователя до удаления его учетной записи с сайта;
  • куда обратиться, если пользователь хочет удалить свои персональные данные, указать email администрации;
  • пользователь может изменить, дополнить или удалить частично свои данные — как это сделать;
  • информация о рассылку пользователям, возможность отказаться от рассылки.
Регистрация через соцсети

Регистрация пользователя на сайте _______ может осуществляться через социальную сеть ______. Данный способ регистрации избирает сам пользователь путем совершения на сайте действий в момент регистрации.

При регистрации через социальную сеть _____ сайт в целях автоматического заполнения аналогичных данных о пользователе, а также для оптимизации работы фильтра сайта по соответствующему критерию собирает следующие сведения о пользователе из социальной сети: ФИО, никнейм, пол, место пребывания (город, населенный пункт).

Штрафы

Штрафы, действующие с 1 января 2017г. за нарушение законодательства в области персональных данных.

Штрафы за персональные данные

Как видим из таблицы, штрафы на физ. лиц небольшие, поэтому многие вебмастера не заморачиваются с выполнением закона о сборе и хранении персональных данных.

Уведомление в Роскомнадзор

Уведомление подается до начала обработки персональных данных. Оно подается одновременно и через интернет (email), и отправляется по почте заказным письмом с описью вложения  и уведомлением о вручении в территориальный орган Роскомнадзора (адреса на официальном сайте).

Уведомление направляется 1 раз, но если какие-то сведения изменились, необходимо направить информационное письмо о внесении изменений в сведения в реестре оператором персональных данных.

После заполнения на сайте вы получите номер уведомления и секретный ключ. По нему вы узнаете, когда вас включат в реестр операторов персональных данных.

Если вы состоите с кем-то в договорных отношениях или оказываете услуги на сайте, уведомлять Роскомнадзор не нужно.

Содержание уведомления:

  • Куда вы отправляете это уведомление.
  • Тип оператора:
    • физ. лицо (указываете ФИО);
    • юр. лицо (полное наименование, сокращенное название, филиалы).
  • Адрес оператора: юридический и почтовый адрес для юрлиц, ИНН, ОГРН или ОГРНИП для ИП, ссылки на коды ОКВЭД.
  • Правовое основание обработки персональных данных. Указываем законы, на основании которых собираем персональные данные.
  • Для каких целей обрабатываем персональные данные.
  • Чьи персональные данные мы обрабатываем: сотрудники, клиенты, подписчики, пользователи сайта.
  • Если вы собираете данные через интернет, на сайте надо опубликовать политику конфиденциальности.
  • Какие персональные данные вы обрабатываете и каким способом (с передачей третьим лицам, с пересылкой через интернет или нет, с передачей или без внутри юридического лица, автоматизированная система ли ручная).
  • Сроки и условия прекращения обработки персональных данных.

Как альтернативу, можно рассмотреть  другой подход. Что ваш сайт оказывает безвозмездные услуги информационного характера. Это прописать в политике конфиденциальности. В этом случае не нужно вообще заботиться о хранении персональных данных и уведомлять Роскомнадзор.

Например, вы предоставляете площадь на своем сайте в аренду: человек написал отзыв — вы его опубликовали на сайте, разместил фото и указал ФИО с почтой  — вы это опубликовали на сайте, пользователь подписался на рассылку — получил бесплатные материалы (услуга).

Заполнить форму на официальном сайте Роскомнадзора.

Обработка персональных данных юр. лицами и ИП

Персональные данные сотрудников:

  • могут обрабатываться в строго ограниченных целях: содействие в трудоустройстве, продвижение по службе, обеспечение личной безопасности, контроль выполняемой работы, обеспечение сохранности имущества фирмы;
  • все данные можно получать непосредственно от самого работника;
  • запрещено обрабатывать данные о нац. принадлежности, религиозных и философских взглядов, интимной жизни, состоянии здоровья, членстве в организациях;
  • нельзя передавать персональные данные без письменного согласия, если только это необходимо в целях предупреждения его жизни и здоровья или в рамках закона.

Руководитель компании должен утвердить положение о персональных данных работников, ознакомить с ним всех сотрудников под расписку. Необходимо подготовить перечень лиц, которые имеют доступ к данной информации. Обычно это директор, бухгалтер, юрист и менеджер по кадрам. Но здесь важно разграничить, к каким персональным данным тот или иной сотрудник имеет доступ, какие необходимы ему в работе. Далее эти данные могут быть предоставлены самому сотруднику по запросу.

Работник имеет право получить информацию о том, кто еще имеет доступ к его данным, где и сколько по времени хранятся эти данные, как обрабатываются.

Сотрудники, допущенные к обработке данных, должны подписать обязательство о неразглашении информации, содержащей персональные данные. Его можно делать отдельным документом или сделать отдельной главой в трудовом договоре или должностной инструкции.

Ответственные сотрудники:

  • Ответственный за обработку персональных данных (назначается приказом) контролирует соблюдение всеми сотрудниками порядка обработки персональных данных.
  • Администратор безопасности информационных систем персональных данных (назначается приказом) обеспечивает защищенность персональных данных в организации, ведет журналы. Это может быть 1 или несколько человек. Эти инструкции лучше прописать дополнением к трудовому договору.
  • Сотрудники должны принимать меры по пресечению доступа к персональным данным посторонних лиц, должны фиксировать все факты нарушений.

В компании необходимо принять положение об обработке персональных данных: какие данные обрабатываются, с какой целью, порядок обработки.

Документы для юридических лиц и ИП

Все необходимые шаблоны документов по обработке персональных данных для юр. лиц вы можете скачать ниже.

Все документы вы можете применить для своей организации, чтобы обеспечить необходимый уровень защиты персональных данных.

Вопросы — ответы

  1. У меня стоит виджет обратного звонка или сообщения — он собирает номера телефонов на свой сайт, т.е. у меня они скапливаются в личном кабинете в виде статистики или заявки на звонок — это считать сбором, обработкой или хранением персональных данных? Нужно ли об этом сообщать в Роскомнадзор?
    Если вы видите телефон и сообщение пользователя — это сбор персональных данных. Если вы имеете доступ к этим данным, то это хранение данных (данные хранить можно даже на стороннем сервисе). Сообщать в Роскомнадзор нужно.
  2. Сообщения от пользователей, когда они авторизуются через виджет вконтакте, фейсбук — это считается сбором персональных данных?
    Если вы храните сообщения от пользователей и видите, кто что написал — это сбор персональных данных.
  3. В чем разница между сбором, записью и накоплением данных пользователей?
    Сбор — это первичное целенаправленное ваше действие, в результате которого вы получаете персональные данные.
    Запись — это последующее после сбора действие, запись данных пользователей на материальный носитель (бумажный или электронный).
    Накопление — создание банных по многим пользователям: их ФИО, адреса, телефоны и т.п.
  4. Push-уведомления — это обработка персональных данных?
    Нет, вы не получаете личные данные пользователей.
  5. Размещение отзывов из соцсетей можно скопировать на сайт со ссылкой на автора?
    Данные авторов отзывов и и х фотографии из соцсетей общедоступны, поэтому их можно копировать на сайт с фото пользователя. Другой момент, когда вы собираете отзывы через свой сайт через форму комментирования. Здесь необходимо согласие пользователей на сбор персональных данных.
  6. Можно ли публиковать фотографии детей на сайте? например, в рамках какого-то конкурса?
    Для публикации любых персональных данных детей до 18 лет необходимо согласие их родителей или законных представителей.

Добавить комментарий

Ваш e-mail не будет опубликован.