Политика конфиденциальности: кому, зачем и как подготавливать сайт к 152-ФЗ

За нарушение 152-ФЗ о защите персональных данных грозит довольно серьезная ответственность: размер штрафов достигает 500 000 рублей, причем за каждое выявленное несоответствие взимается отдельная сумма. Поэтому давайте разбираться, кому нужна политика конфиденциальности и как добавить ее на сайт.

Без лишних предисловий сразу к делу: согласно 152-ФЗ, публиковать политику конфиденциальности должны только операторы персональных данных. Значит, первым делом нужно понять, можно ли вас отнести к ним.

Когда необходима политика конфиденциальности для сайта

Персональные данные — это совершенно любые сведения, которые относятся к физическому лицу прямым или косвенным образом. По ним можно определить его личность.

Сейчас в законе отсутствует четкий список того, что именно относится к персональным данным. Если же исходить из определения, то это следующая информация:

· ФИО человека;

· дата рождения;

· адрес проживания;

· контактный телефон;

· email;

· идентификаторы в соцсетях и мессенджерах;

· сведения о семейном положении и родственниках;

· данные паспорта или иных документов;

· информация об образовании, месте работы, заработке;

· раса, национальность;

· отношение к религии;

· политические взгляды;

· состояние здоровья;

· биометрия, а именно — рост, вес, радужная оболочка глаз, генетическая и дактилоскопическая информация.

Оператор — это физическое лицо, компания или государственный орган, совершающий какие-либо действия с получаемыми персональными данными — как пример, собирающий, обрабатывающий или хранящий их.

Оператором персональных данных посчитают владельца того ресурса, где есть форма обратного звонка с предложением оставить свое имя, контактный номер телефона или email для связи. И собираемую информацию в таком случае необходимо обрабатывать согласно 152-ФЗ.

Однако, когда на сайте есть только форма для отправки комментариев, где пользователь указывает свой ник или настоящее имя без отчества и фамилии — размещать политику конфиденциальности не требуется, поскольку по этим данным вряд ли удастся идентифицировать личность.

Как правильно подготовить сайт к 152-ФЗ

В обязательном порядке необходимо разместить:

1. Политику конфиденциальности — отдельный документ об обработке персональных данных, размещаемый в открытом доступе. У пользователя не должно возникнуть сложностей, если он решит с ним ознакомиться, прежде чем даст согласие на обработку персональных данных.

Строго утвержденной законодательством формы нет, однако есть список сведений, которые должны быть в документе. Исходя из этого и стоит включить в текст:

· наименование компании, государственной организации или данные физического лица, контакты и адрес;

· как именно и зачем собираются данные;

· каким образом они могут использоваться;

· какие получаемые данные обрабатываются, из каких источников вы их получаете — здесь помните про куки-файлы;

· на протяжении какого срока хранятся данные, как они защищаются;

· передаются ли данные третьим лицам;

· что не станет происходить с собранными данными.

В качестве примеров посмотрите тексты политики конфиденциальности на официальных сайтах компаний федерального уровня — там все детально проработано. Но учтите: не следует слепо копировать документы — как минимум их необходимо тщательно скорректировать под себя.

Как правило, политику конфиденциальности размещают на отдельной странице сайта — так привычнее для пользователей. Плюс ее делают удобной для восприятия, насколько это возможно — точно так же структурируют, как и любой другой документ.

2. Ссылки на политику конфиденциальности — их принято размещать в подвале и поблизости со всеми имеющимися формами, где посетивший сайт человек выражает согласие на обработку персональных данных. Ссылки нужны для легкого доступа к политике конфиденциальности.

3. Подтверждение согласия на обработку персональных данных — согласно 152-ФЗ, собирать и обрабатывать какие-либо персональные сведения о людях можно исключительно с их согласия. Поэтому и нужна соответствующая возможность на сайте.

Чаще всего используют чек-боксы, где нужно поставить галочку — без этого нельзя оставить заявку или зарегистрироваться.

4. Дисклеймер — то самое необходимое зло — всплывающее окно с оповещением пользователя о том, что на сайте идет сбор данных статистики (речь про куки-файлы, поведенческие факторы, сведения о геопозиции).

152-ФЗ строго не регламентирует размещение дисклеймера на сайте, однако большинство юристов рекомендуют его все-таки устанавливать. А чтобы не раздражать пользователей, настройте показы — пускай отображается исключительно для тех, кто зашел на сайт впервые.

О чем еще важно позаботиться

· Узнайте, где физически располагается хостинг — по требованиям 152-ФЗ он должен быть в России для того, чтобы и персональные данные хранились здесь же. Если базы данных в другой стране, то придется искать новый хостинг для переезда.

· Уведомите Роскомнадзор о том, что планируете работать с персональными данными — сделать это можно на официальном сайте службы. Потребуется пакет документов — взгляните на перечень необходимых сведений в 152-ФЗ.

· Отслеживайте вносимые в 152-ФЗ поправки — чтобы при необходимости успеть среагировать на них и обезопасить себя.

Что будет, если нарушить 152-ФЗ

За обработку персональных данных без согласия субъекта предусмотрена ответственность:

Это — только вершина айсберга, смотрите более подробную информацию здесь. И учитывайте, что сейчас проверка для органов Роскомнадзора довольна простая: достаточно сделать скриншот для подтверждения отсутствия на сайте требующихся форм, документов и ссылок.

Проще и дешевле подготовить сайт к 153-ФЗ, чем в дальнейшем решать возникшие из-за нарушения законодательства проблемы.