Обработка персональных данных на сайте: как избежать штрафов

Какая информация относится к персональным данным?

Деятельность по обработке, хранению и защите персональных данных граждан РФ регулируется Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – ФЗ № 152).

Персональные данные – это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных) – п. 1 ст. 3 ФЗ № 152.

Таким образом, практически любая информация, указанная на сайте пользователем, будь то информация, указанная при регистрации или заполнении формы на сайте (фамилия, имя, отчество, дата и место рождения, образование/профессия, адрес, семейное, имущественное, социальное положение и другое), попадает под действие ФЗ № 152.

Помимо информации, которую сам пользователь указывает на сайте, Роскомнадзор относит к персональным данным также сведения о геопозиции пользователя, IP-адрес, cookie.

Что такое обработка персональных данных?

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. - п. 1 ст. 3 ФЗ № 152.

Иными словами, если на вашем сайте имеется форма обратной связи, форма заказа, форма комментариев, регистрация и личные кабинеты, формы подписки по e-mail, то вместе с автоматически передаваемыми cookie и другими данными, указанные сведения будут являться персональными данными, а вы как владелец сайта – оператором персональных данных, который обязан обрабатывать такие данные в соответствии с требованиями ФЗ № 152.

Какие штрафы ожидают нарушителей?

За нарушение законодательства в области персональных данных статьей 13.11 Кодекса Российской Федерации об административных правонарушениях предусмотрена административная ответственность в виде административного штрафа в размере до 75 000 рублей в зависимости от вида нарушения. Если нарушений несколько, то штрафы по ним будут суммироваться и максимально могут достигать 295 000 рублей.

Что сделать, чтобы избежать штрафа?

1. Перевести свой сайт на сервер. находящийся на территории Российской Федерации.

Согласно ФЗ РФ №242 операторы интернет-сайтов "обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ".

Место нахождения сервера, на котором расположен ваш сайт, можно уточнить у своего хостинг-провайдера.

2. Разработать и разместить на своем сайте документ «Политика в отношении обработки персональных данных».

Указанный документ должен быть размещен на сайте в свободном доступе, в нем необходимо прописать процедуры обработки, хранения и защиты персональных данных пользователей сайта.

В данном документе Роскомнадзор рекомендует указывать следующую информацию:

1. Общие положения, в которых указывается назначение Политики и основные понятия, используемые в ней, перечисляются основные права и обязанности оператора и субъекта (-ов) персональных данных.
2. Цели сбора персональных данных.
3. Правовые основания обработки персональных данных (например, уставные документы, договора и т.д.).
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных.
5. Порядок и условия обработки персональных данных.
6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.
7. Также необходимо указать информацию о возможности отзыва физическим лицом согласия на обработку персональных данных.

3. Получить согласие пользователей/посетителей сайта на обработку персональных данных.

С этой целью под каждой формой ввода данных на сайте необходимо разместить текст «Нажимая на кнопку, я даю согласие на обработку своих персональных данных». Также здесь необходимо предусмотреть ссылку на «Политику в отношении обработки персональных данных», разработанную и размещенную на вашем сайте.

4. Указать e-mail для обращений пользователей по вопросам, связанным с обработкой персональных данных.

E-mail, по которому пользователь сайта может обратиться по любому вопросу, касающемуся работе с персональными данными, можно указать в «Политике в отношении обработки персональных данных».

При этом e-mail, созданный для вышеуказанных целей, должен постоянно проверяться, чтобы своевременно реагировать на полученные пользователями сайта запросы.

5. Подать заявление о внесении вашей компании в реестр операторов, осуществляющих обработку персональных данных.

Форму и порядок подачи такого заявления можно найти на сайте Роскомнадзора. Там же можно заполнить электронную форму.

Кроме того, согласно приказа ФСТЭК России №21, вы обязаны защитить персональные данные техническими и организационными мерами: антивирусными системами, средствами межсетевого экранирования, а также разграничить права доступа. Выполнение данного условия не менее важно, и подлежит проверке наряду с остальными требованиями.

Мы надеемся, что указанные советы будут полезными при разработке и работе вашего сайта и помогут избежать нарушений закона о персональных данных.