Как только вы запускаете сайт своей компании, открываете интернет-магазин и начинаете собирать информацию о клиентах, вы становитесь оператором персональных данных и попадаете под действие 152-ФЗ. Как работать по закону и избежать штрафов? Рассказываем подробно. 

Что относится к персональным данным на сайте?

Работу с персональными данными регулирует 152-ФЗ «О персональных данных». Такими данными считается любая информация, которая прямо или косвенно относится к физическому лицу — субъекту персональных данных. Если ориентироваться на реальную практику применения закона, то персональные данные — это информация, позволяющая идентифицировать конкретного человека.

Все действия с собранной информацией будут считаться обработкой. К ней относятся:

  • сбор;
  • запись;
  • передача;
  • хранение;
  • анализ;
  • изменение;
  • удаление.

Например, владелец сайта получил телефон, почту и имя покупателя, загрузил их в свою CRM-систему и использует для рассылки информационных сообщений. Или интернет-магазин, который хранит историю заказов, включая Ф.И.О. заказчика, адрес доставки, номер телефона. Место хранения персональных данных ― хостинг сайта.

В законе не прописаны чёткие критерии, какую информацию можно отнести к персональным данным, то есть по какой комбинации сведений о человеке можно его идентифицировать.

В то же время одни и те же данные по отдельности могут не иметь статус персональных. Например, если пользователь сайта укажет только свой номер телефона, но не назовёт имя и фамилию.

На практике это создаёт дополнительные сложности.

Чаще всего к персональным данным относят:

  • фамилию, имя, отчество;
  • дату рождения;
  • адрес;
  • телефон;
  • электронный адрес;
  • фотографию;
  • ссылку на персональный сайт;
  • ссылку на профиль в социальных сетях.

Когда вы становитесь оператором персональных данных?

Как только начинаете собирать через свой сайт личную информацию пользователей, по которой их можно идентифицировать.

Типичные случаи, когда владелец сайта будет считаться оператором персональных данных:

  1. Посетитель сайта подписался на рассылку и указал свои имя и адрес электронной почты.
  2. Посетитель зарегистрировался в личном кабинете и указал имя и номер телефона.
  3. В онлайн-магазине покупатель оформил заказ и указал свои имя, телефон и адрес.
  4. Посетитель сайта заполнил заявку на обратный звонок, на участие в бесплатном мероприятии, на тестовый доступ к продукту.
  5. Пользователь скачал на телефон мобильное приложение и авторизовался через свой номер. Так как это аналог регистрации в личном кабинете на сайте, владелец приложения также становится оператором персональных данных.
  6. Посетитель написал владельцу сайта сообщение с персональными данными через мессенджеры.
  7. В комментариях к публикации на сайте посетитель авторизовался через аккаунт в социальной сети.

Операторами персональных данных могут быть юридические лица, индивидуальные предприниматели и обычные граждане.

Что делать, если вы оператор персональных данных?

В этом случае нужно:

  1. Подготовить все необходимые документы.
  2. Подать уведомление в Роскомнадзор и зарегистрироваться как оператору персональных данных.
  3. Заранее сообщить Роскомнадзору о том, что планируете передавать персональные данные за границу.
  4. Выложить на сайт политику по обработке персональных данных и пользовательское соглашение.
  5. Повесить на сайт уведомление о сборе cookies и других данных.

Теперь расскажем о каждом этапе подробнее.

Шаг 1. Подготовьте все необходимые документы.

На официальном сайте Роскомнадзора есть шаблоны и рекомендации по оформлению документов.

Вам потребуются:

  1. Политика по обработке персональных данных.
  2. Внутреннее положение об обработке персональных данных.
  3. Приказ о назначении ответственного за организацию обработки персональных данных.
  4. Приказ о работе с персональными данными
  5. Регламент по доступу к персональным данным.
  6. Согласие на обработку персональных данных. Посетителю сайта достаточно поставить галочку в чекбоксе, чтобы выразить согласие с правилами. Важно указать в документе все домены, связанные с этим сайтом.
  7. Обязательство о неразглашении персональных данных. Его заполняют сотрудники компании с доступом к собранным данным.

Это не полный список всех документов, касающихся обработки персональных данных. Могут потребоваться и другие. Всё зависит от того, какие данные и в каком количестве вы собираете, как обрабатываете и храните их.

Шаг 2. Сообщите в Роскомнадзор о начале сбора данных и зарегистрируйтесь в качестве оператора.

Когда документы готовы, нужно уведомить Роскомнадзор, что сайт начинает собирать персональные данные. Сделать это нужно заранее, то есть до того, как сайт начнёт обработку информации пользователей.

Чтобы уведомить Роскомнадзор, нужно:

  1. Заполнить форму на официальном сайте ведомства.
  2. После отправки формы оригинал заявления нужно направить в территориальное отделение Роскомнадзора. Документ должен быть подписан руководителем, на нём должна стоять печать организации. Если подаёте уведомление через портал Госуслуг или подписываете КЭП при подаче на сайте РКН, дублировать заявление на бумаге не нужно.
  3. Регулятор внесёт сведения в реестр операторов персональных данных в течение 30 дней с даты поступления уведомления.

Когда ещё нужно уведомить Роскомнадзор:

  1. Если прекращаете сбор личных сведений. Например, компания изменила сайт, убрала личный кабинет клиента и форму подписки на рассылку, сделала простой сайт без регистрации и указала только свои контакты для связи.
  2. Если в компании изменились условия обработки и хранения персональных данных. Например, у вашего юрлица сменился адрес, код деятельности, структура сбора данных. Оповестите ведомство до 15-го числа следующего месяца. Для этого подайте уведомление по форме № 2 к приказу 180.

С 26 декабря 2022 года действуют три новые формы уведомлений о персональных данных:

  • о намерении осуществлять обработку персональных данных;
  • о внесении изменений в ранее представленные сведения;
  • о прекращении обработки персональных данных.

Уведомить можно онлайн на сайте или на бумаге в территориальное управление РКН по месту регистрации оператора. Уведомления не нужно оправлять в Роскомнадзор, если данные:

  • включены в государственные информационные системы, которые защищают безопасность государства и общественного порядка;
  • обрабатываются для транспортной безопасности;
  • обрабатываются без средств автоматизации.

Шаг 3. Сообщите в Роскомнадзор о трансграничной передаче персональных данных.

Если планируете передавать личную информацию о клиентах и сотрудниках за пределы России, поставьте в известность Роскомнадзор. Вот несколько ситуаций, о которых надо уведомлять:

  • пользуетесь сервисами, базы данных которых расположены за рубежом, например, Google Analytics, Trello, Google Docs;
  • передаёте информацию о клиентах и сотрудниках при бронировании отеля за рубежом;
  • поручаете гражданам или ИП из другой страны выполнить работу с доступом к базе данных сотрудников или клиентов.

Пример. Компания заказала разработку визиток для работников у дизайнера из Беларуси и отправила ему персональные данные сотрудников. Это трансграничная передача.

Перед тем как сообщать в РКН, проверьте, как иностранное государство защищает данные, решите, какие сведения будете передавать, и запросите у принимающей стороны информацию.

  1. Определите, к какой категории относится страна. Роскомнадзор делит все иностранные государства на тех, кто:

  • Обеспечивает надёжную защиту персональных данных. Сюда относятся Беларусь, Турция, Казахстан, другие страны Конвенции № 108 и государства из приказа Роскомнадзора №128.
  • Не принимает должные меры по защите информации, например, США.

  1. Запросите нужную информацию. Если государство относится к первой категории, запросите у принимающей стороны:

  • информацию о мерах по защите сведений и об условиях прекращения их обработки;
  • контакты — Ф.И.О. или название, номер телефона, адрес и электронную почту.

Для передачи сведений в страну с ненадёжной защитой данных дополнительно запросите информацию о правовом регулировании в области персональных данных. В РКН предоставлять все эти сведения не надо, но ведомство может запросить их позже.

  1. Подайте уведомление в РКН. Заполните уведомление в электронном виде на официальном портале Роскомнадзора, для этого понадобится подтверждённая учётная запись на Госуслугах.

При отправке информации государству с ненадёжной защитой подождите 10 дней. Если не получили ответ, значит, всё в порядке и передавать данные можно. Следите за статусом уведомления на сайте ведомства. В страны с адекватной защитой данных передавать информацию можно сразу после уведомления, ждать 10 дней не нужно.

Роскомнадзор может ограничить или запретить трансграничную передачу данных, если:

  • зарубежная страна не входит в перечень надёжных или не определила порядок прекращения обработки данных;
  • деятельность иностранной компании в России признана нежелательной;
  • передача данных не соответствует цели сбора или не предусмотрена законом.

В РКН сообщайте не о каждой транзакции, а один раз о каждой стране, в которую передаёте данные. Если до 1 марта 2023 года уже подавали уведомление, отправлять его снова не нужно.

Шаг 4. Выложите на сайт согласие на обработку персональных данных.

Как правило, достаточно дать ссылку на политику в формате PDF.

Согласие на обработку персональных данных можно получить удалённо. Для этого достаточно добавить на сайт чекбокс — пункт, который должен отметить пользователь. В чекбоксе обязательно должна быть гиперссылка на согласие по обработке персональных данных.

Ставя отметку в чекбоксе, пользователь соглашается, что его данные будут использованы. Без этой отметки посетитель не сможет отправить запрос, оформить заказ или перейти на следующую страницу сайта. При этом важно, чтобы форма с чекбоксом была на всех разделах сайта.

Шаг 5. Повесьте на сайт уведомление о сборе cookies и других данных.

Помимо личной информации, которую указывает посетитель сайта, есть ещё технические данные, оптимизирующие работу с сайтом — cookies. Это небольшой файл, который сохраняется на компьютере или мобильном устройстве пользователя при загрузке веб-страницы.

В cookies обычно записывают:

  • логин и пароль от личного кабинета;
  • сведения о товарах в корзине онлайн-магазина;
  • другие пользовательские настройки.

Cookies помогают владельцу сайта отследить путь пользователя, его поведение на сайте, время и место выхода в интернет.

Практически все сайты используют cookies. Так как эту информацию тоже можно отнести к персональным данным, необходимо предупредить посетителя о её сборе. Чаще всего используют всплывающие уведомления, которые появляются при первом посещении сайта.

Условия использования этих данных также можно описать в отдельном разделе политики по обработке персональных данных или в отдельном документе.

При подготовке документов не имеет значения, есть ли в вашей компании сотрудники или вы ведёте бизнес один. Ответственным за обработку персональных данных будет сам предприниматель или генеральный директор ООО. Если гендиректор — единственный сотрудник, то он должен подписать комплект документов как сотрудник, а от имени ООО подписантом выступит учредитель.

Штрафы за нарушения обработки персональных данных по 152-ФЗ

Корректность обработки персональных данных по 152-ФЗ контролирует Роскомнадзор. С марта 2021 года административная ответственность за нарушения в области персональных данных ужесточена.

Размер штрафа зависит:

  • от статуса нарушителя: физическое лицо, ИП, юридическое или должностное лицо;
  • от тяжести нарушения;
  • от количества нарушений в прошлом.

Размеры штрафов:

  • от 2 до 100 тысяч рублей для физлица;
  • от 5 тысяч до 18 миллионов рублей для ИП;
  • от 6 до 800 тысяч рублей для должностного лица;
  • от 30 тысяч до 18 миллионов рублей для юрлица.

Штрафы за нарушение закона о персональных данных

Когда можно получить предписание или штраф по 152-ФЗ?

Роскомнадзор следит за соблюдением 152-ФЗ и проводит проверки. Они могут быть плановыми, внеплановыми, выездными или документарными.

О плановой проверке компанию предупреждают заранее. Также можно посмотреть график проверок на сайте Роскомнадзора. Внеплановые проверки проводятся, если на компанию пожаловались. О такой проверке инспекторы предупреждают за 24 часа.

К самым частым нарушениям при обработке персональных данных на сайте относятся:

Отсутствие на сайте регламента по обработке персональных данных и формы согласия на обработку персональных данных. Чтобы избежать штрафа, эксперты советуют тщательно проверить все разделы и страницы, где могут запрашиваться личные данные.

Несоответствие закону. Политика обработки данных не содержит все обязательные сведения по 152-ФЗ или информация неактуальна. Например, надо указать цели обработки, сроки, порядок уничтожения, способы связи и другую информацию.

Дублирование положений  152-ФЗ. Важно не переписывать пункты, а отразить, как конкретный оператор обрабатывает данные на конкретном сайте.

Ошибки в размещении. Дана ссылка на документ, который не имеет отношения к порядку обработки данных, или на политику другой компании.

Сбор избыточной информации. Например, для оформления заказа в онлайн-магазине требуют паспортные данные, сведения о банковской карте и реквизиты счёта.

Неправильное хранение и обработка данных. К примеру, инспекторы обнаружили, что в компании нет регламента доступа к хранилищу данных.

Предписания Роскомнадзора не стоит игнорировать. Это специальная мера, которая позволяет устранить нарушения и не платить штраф. На это даётся определённый срок. Он устанавливается индивидуально в каждом случае, но не может превышать 6 месяцев.

Если компания или физлицо не исправит ситуацию, то Роскомнадзор вынесет решение о привлечении к ответственности. Если и после этого нарушения не устраняют, владельца сайта привлекут к ответственности повторно.

За повторное нарушение сумма штрафа уже будет больше. Максимальный штраф для граждан — 100 тысяч рублей, для должностных лиц — 800 тысяч, а для юридических лиц и индивидуальных предпринимателей — до 18 миллионов рублей.

Что делать при утечках информации?

Компании и предприниматели, которые обрабатывают персональные данные, должны сообщать в Роскомнадзор об их утечках. Для этого отправьте специальное уведомление в течение 24 часов с инцидента и назовите возможные причины утечки. В течение 72 часов предоставьте в ведомство результаты расследования.

По приказу Роскомнадзора бизнесу надо оценивать степень возможного вреда при нарушении закона «О персональных данных». Есть три степени — высокая, средняя и низкая. Это зависит от информации, которую обрабатываете, и от конкретных операций с ней.

  • Высокая — обрабатываете личные данные несовершеннолетних, собираете биометрию или используете базы данных, находящиеся за пределами РФ.
  • Средняя — распространяете информацию неограниченному кругу лиц, цели сбора отличаются от первоначальных или для продвижения используете базы данных других операторов.
  • Низкая — ведёте общедоступный источник персональных данных, например, справочник или адресную книгу, или назначаете ответственным за обработку информации внештатного сотрудника.

Если можете причинить вред разных степеней, учитывайте более высокую степень риска.

По материалам «Справочной»

Редакция
Деловая Репутация – общественно-политический журнал, ведущее деловое издание Удмуртской республики. Выпускается с 2002 года. №1 в рейтинге деловых изданий Ижевска (по данным reklama-online.ru).

ЭТО МОЖЕТ БЫТЬ ИНТЕРЕСНОЕЩЕ ОТ АВТОРА