редакции Выбор
Политика конфиденциальности: кому, зачем и как подготавливать сайт к 152-ФЗ
За нарушение 152-ФЗ о защите персональных данных грозит довольно серьезная ответственность: размер штрафов достигает 500 000 рублей, причем за каждое выявленное несоответствие взимается отдельная сумма. Поэтому давайте разбираться, кому нужна политика конфиденциальности и как добавить ее на сайт.
Без лишних предисловий сразу к делу: согласно 152-ФЗ, публиковать политику конфиденциальности должны только операторы персональных данных. Значит, первым делом нужно понять, можно ли вас отнести к ним.
Когда необходима политика конфиденциальности для сайта
Персональные данные — это совершенно любые сведения, которые относятся к физическому лицу прямым или косвенным образом. По ним можно определить его личность.
Сейчас в законе отсутствует четкий список того, что именно относится к персональным данным. Если же исходить из определения, то это следующая информация:
· ФИО человека;
· дата рождения;
· адрес проживания;
· контактный телефон;
· email;
· идентификаторы в соцсетях и мессенджерах;
· сведения о семейном положении и родственниках;
· данные паспорта или иных документов;
· информация об образовании, месте работы, заработке;
· раса, национальность;
· отношение к религии;
· политические взгляды;
· состояние здоровья;
· биометрия, а именно — рост, вес, радужная оболочка глаз, генетическая и дактилоскопическая информация.
Оператор — это физическое лицо, компания или государственный орган, совершающий какие-либо действия с получаемыми персональными данными — как пример, собирающий, обрабатывающий или хранящий их.
Оператором персональных данных посчитают владельца того ресурса, где есть форма обратного звонка с предложением оставить свое имя, контактный номер телефона или email для связи. И собираемую информацию в таком случае необходимо обрабатывать согласно 152-ФЗ.
Однако, когда на сайте есть только форма для отправки комментариев, где пользователь указывает свой ник или настоящее имя без отчества и фамилии — размещать политику конфиденциальности не требуется, поскольку по этим данным вряд ли удастся идентифицировать личность.
Как правильно подготовить сайт к 152-ФЗ
В обязательном порядке необходимо разместить:
1. Политику конфиденциальности — отдельный документ об обработке персональных данных, размещаемый в открытом доступе. У пользователя не должно возникнуть сложностей, если он решит с ним ознакомиться, прежде чем даст согласие на обработку персональных данных.
Строго утвержденной законодательством формы нет, однако есть список сведений, которые должны быть в документе. Исходя из этого и стоит включить в текст:
· наименование компании, государственной организации или данные физического лица, контакты и адрес;
· как именно и зачем собираются данные;
· каким образом они могут использоваться;
· какие получаемые данные обрабатываются, из каких источников вы их получаете — здесь помните про куки-файлы;
· на протяжении какого срока хранятся данные, как они защищаются;
· передаются ли данные третьим лицам;
· что не станет происходить с собранными данными.
В качестве примеров посмотрите тексты политики конфиденциальности на официальных сайтах компаний федерального уровня — там все детально проработано. Но учтите: не следует слепо копировать документы — как минимум их необходимо тщательно скорректировать под себя.
Как правило, политику конфиденциальности размещают на отдельной странице сайта — так привычнее для пользователей. Плюс ее делают удобной для восприятия, насколько это возможно — точно так же структурируют, как и любой другой документ.
2. Ссылки
на политику конфиденциальности — их принято размещать в
подвале и поблизости со всеми имеющимися формами, где посетивший сайт человек выражает
согласие на обработку персональных данных. Ссылки нужны для легкого доступа к
политике конфиденциальности. 3. Подтверждение
согласия на обработку персональных данных — согласно 152-ФЗ,
собирать и обрабатывать какие-либо персональные сведения о людях можно
исключительно с их согласия. Поэтому и нужна соответствующая возможность на
сайте. Чаще всего используют чек-боксы, где нужно
поставить галочку — без этого нельзя оставить заявку или зарегистрироваться. 4. Дисклеймер
— то
самое необходимое зло — всплывающее окно с оповещением пользователя о том, что
на сайте идет сбор данных статистики (речь про куки-файлы, поведенческие
факторы, сведения о геопозиции). 152-ФЗ строго не регламентирует размещение
дисклеймера на сайте, однако большинство юристов рекомендуют его все-таки
устанавливать. А чтобы не раздражать пользователей, настройте показы — пускай
отображается исключительно для тех, кто зашел на сайт впервые. · Узнайте, где физически располагается
хостинг — по требованиям 152-ФЗ он должен быть в России для того,
чтобы и персональные данные хранились здесь же. Если базы данных в другой
стране, то придется искать новый хостинг для переезда. · Уведомите Роскомнадзор о том, что
планируете работать с персональными данными — сделать
это можно на официальном
сайте службы. Потребуется пакет документов — взгляните на перечень
необходимых сведений в 152-ФЗ. · Отслеживайте
вносимые в 152-ФЗ поправки — чтобы при необходимости
успеть среагировать на них и обезопасить себя. Что будет,
если нарушить 152-ФЗ За обработку персональных данных без согласия субъекта
предусмотрена ответственность: Это — только вершина айсберга, смотрите более подробную
информацию здесь.
И учитывайте, что сейчас проверка для органов Роскомнадзора довольна простая:
достаточно сделать скриншот для подтверждения отсутствия на сайте требующихся
форм, документов и ссылок. Проще и дешевле подготовить сайт к 153-ФЗ, чем в
дальнейшем решать возникшие из-за нарушения законодательства проблемы.
О чем еще важно позаботиться