+7 (3842) 76-19-02

Новости

Актуальные новости и полезные статьи из мира интернет маркетинга

Зачем нужна “Политика конфиденциальности” на сайте?

661 1 Июля 2017

Зачем нужна “Политика конфиденциальности” на сайте?

С 1 июля 2017 г. в связи с ужесточением законодательства (Закон №152-ФЗ «О персональных данных») выдвигаются новые требования к владельцам сайтов и агентствам. Особенно это касается сайтов компаний.

Что является персональными данными?

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Так выглядит трактовка термина в законе 152-ФЗ «О персональных данных» и она более чем размытая. Исходя из позиции судов и Роскомнадзора, персональными данными является информация вплоть до пользовательских данных, по которым можно установить личность пользователя. 

Суды стали относить данные о поведении пользователя на сайте, cookie, сведения о его геопозиции и IP-адрес к персональным данным. Из-за этого уже «попали» LinkedIn и МГТС. Роскомнадзор того же мнения и в списке запрашиваемой информации у проверяемых организаций добавил трактовку того, что он относит к пользовательским (персональным) данным.

Если на вашем сайте в форме обратной связи есть поле «Имя» или «Представьтесь», то вкупе с автоматически передаваемыми cookie и другими метаданными это будет являться персональными данными.

Разницы нет, используете вы эту информацию по отдельности или в сочетании — если вы как-то получаете ее от пользователей, то вы — оператор персональных данных. Примеры персональных данных, которые часто запрашивают на сайтах:

  • Email

  • Телефон

  • Имя, фамилия, отчество (и по отдельности)

  • Адрес

  • Дата рождения

  • Фотография

  • Ссылка на персональный сайт и профиль в соцсетях

Просто считайте это правилом: если на вашем сайте есть любая форма сбора данных — обратной связи, подписки на рассылку, регистрации или личный кабинет, это является обработкой персональных данных.

Обработка персональных данных (согласно закону №152-ФЗ) — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Нововведения станут сюрпризом для Интернет-магазинов, которые поставляют товары или услуги. Как правило, при оформлении заказа они собирают данные, по которым можно идентифицировать личность: фамилию, адрес. Предвидя возражения, что не все указывают реальное имя, советуем все же избежать нарушений заблаговременно. И естественно, что у каждого владельца Интернет-магазина или корпоративного сайта должен быть подготовлен ряд необходимых документов, фиксирующих все данные о том, как в компании следят за соблюдением закона «О персональных данных».

Чем грозит невыполнение

С 1 июля 2017 года кратно увеличены число и размер штрафов за нарушения требований обработки персональных данных. Если раньше сумма штрафов в большинстве случаев не превышала 10 000 рублей, то теперь она может спокойно доходить до 300 000 рублей.

Теперь штрафовать Роскомнадзор может не по одной статье 13.11 Кодекса об административных правонарушениях (КоАП), а по семи:

1) ч.1 ст.13.11 КоАП - До 50 000 рублей для юр. лиц

1. Когда через сайт собираются сканы паспортов и иных документов. Роскомнадзор считает именно сканы документов избыточной информацией.
2. Обработка не в тех целях, когда это требуется (например, взяли для исполнения договора, но попутно рассылаем email-рассылки)

2) ч.2 ст.13.11 КоАП- До 75 000 рублей для юр. лиц

1. Сбор, хранение и обработка специальных персональных данных (сведения о здоровье, о вероисповедании, политических взглядах и тд) на сайте без явного согласия на обработку таких данных.
2. Проведение онлайн-скоринга его данных (включая IP, cookie и сведения из аккаунтов в соц.сетях) без явного согласия на обработку персональных данных в целях скоринга
3. Отсутствие в согласии или оферте списка третьих лиц, кому могут передаваться персональные данные
4. Неисполнение требований к форме согласия на обработку персональных данных, описанных в ч.4 ст.9 152-ФЗ

3) ч.3 ст.13.11 КоАП - До 30 000 рублей для юр. лиц

1. Отсутствие на сайте или странице мобильного приложения общедоступной ссылки на Политику организации в отношении обработки персональных данных.

4) ч.4 ст.13.11 КоАП - До 40 000 рублей юр. лиц

1. Игнорирование запросов физических лиц по поводу обработки и защиты их персональных данных.
2. Ответ на запрос в сроки, превышающие установленные законом
3. Предоставление ложной информации

5) ч.5 ст.13.11 КоАП - До 45 000 рублей для юр. лиц

1. Игнорирование запросов физических лиц и Роскомнадзора по поводу прекращения обработки персональных данных и их уничтожении
2. Нарушение сроков предоставления ответов на поступившие запросы

6) ч.6 ст.13.11 КоАП - До 50 000 рублей для юр. лиц

1. Отсутствие списка лиц, допущенных к такой обработке
2. Отсутствие раздельного хранения данных

7) ч.7 ст.13.11 КоАП - до 6 000 рублей для должностных лиц

Роскомнадзор получил право выносить административные дела по вышеперечисленным статьям нарушений без Прокуратуры. То есть теперь от штрафа точно не отделаться.

Все базы персональных данных должны первоначально собираться и обрабатываться на территории Российской Федерации. С учётом того, что Роскомнадзор считает персональными данными также и данные посетителей сайта, то это касается практически любого сайта. За нарушение этого требования Роскомнадзор их блокирует.

Список минимальных требований для владельцев сайта и агентств

Чтобы не попасть на штрафы и не получить блокировку сайта, советуем применить следующие меры:

1. Под каждой формой ввода данных на сайтах и в мобильных приложениях (форма регистрации, заявки, обратной связи и т.д.) разместить текст «Нажимая на кнопку НАЗВАНИЕ_КНОПКИ, я даю согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на сам документ. Вместо согласия можно использовать единую публичную оферту, но в ней нужно прописать, в каких целях, какие данные обрабатываются, то есть указать всё, согласно ч.4 ст.9 152-ФЗ. В этом случае обязательно хранить логи, чтобы в случае чего доказать Роскомнадзору, что тот или иной пользователь действительно заходил на сайт и оставлял там свои персональные данные.

Screenshot_1.png

2. Владельцу сайта необходимо утвердить приказом Политику в отношении обработки персональных данных и разместить её в своём офисе, на сайте и в мобильном приложении в общем доступе. Проще всего это реализовать, вставив ссылку на документ в нижней части сайта (подвале). Рекомендуем размещать политику конфиденциальности на фирменном бланке компании в формате pdf. При этом с данным документом регистрирующийся должен соглашаться при заполнении формы.

3. Перенести сайт на территорию РФ и узнать у технической поддержки хостинг-провайдера или ЦОДа адрес месторасположения вашего сервера (узнать вплоть до здания). Эту информацию Роскомнадзор умеет проверять, так как также контролирует операторов связи, обмануть его не получится.

4. Указать email, куда физическое лицо может обратиться за тем, чтобы его персональные данные были удалены, заблокированы и вообще куда он может задать вопрос по персональным данным. Можно всё отправлять и на общую почту, но вы тогда должны проконтролировать, что письмо, касающееся персональных данных, будет отфильтровано и не проигнорировано.

5. Владельцу сайта необходимо подать уведомление об обработке персональных данных и помимо всего прочего указать там адреса местонахождения баз персональных данных и перечень персональных данных, которые в ней содержатся.

6. Веб-студии и владельцу сайта, в случае если студия имеет доступ к персональным данным из заявок, БД или просто привлекает клиентов, необходимо заключить соглашение об обеспечении безопасности персональных данных, в котором будет указано, какие персональные данные веб-студия может обрабатывать, в каких целях и какие действия с ними выполнять. Также там должны быть требования по защите персональных данных, но защиту у частных компаний не проверяют.

7. Разместить на сайте сообщение, уведомляющее посетителя сайта, что его персональные данные обрабатываются на сайте в целях его функционирования и если он не согласен, то должен покинуть сайт. В противном случае это будет являться согласием на обработку его персональных данных.

Данный список содержит лишь минимальный перечень требований Роскомнадзора, полный список содержится в законе №152-ФЗ «О персональных данных». Наша студия может помочь вам выполнить требования данного закона, подготовить для вас все необходимые документы, разметить их на сайте и подать заявку в Роскомнадзор.

Возврат к списку

Подпишитесь на новости


Будьте в курсе последних событий в мире digital