Как избежать штрафов и что нужно знать о новых поправках
Владельцы сайтов, которые размещают на сайте формы обратной связи, используют системы аналитики, собирают номера телефонов, адреса электронной почты и другую информацию посетителей — все обрабатывают персональные данные.
С 1 сентября 2022 года, а также с 1 марта 2023 вступили в силу поправки в закон № 152 «О персональных данных». Появились новые требования к Политике по обработке персональных данных и трансграничной передаче, то есть отправки персональных данных на территорию иностранного государства. Если владелец сайта не будет соблюдать эти требования, он может получить штраф. Их существует более 10 видов, а общая сумма штрафов может достигать 18 миллионов рублей.
Кого будут штрафовать?
Операторов персональных данных. Оператор собирает и обрабатывает персональные данные, например, электронные адреса для рассылки. Оператором могут быть физические и юридические лица.
Определение из закона 152-ФЗ «О персональных данных»:
Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Что такое персональные данные?
Любые данные о человеке, по которым его можно опознать. Точного перечисления таких данных в законе нет, но, например, если сведения о музыкальных предпочтениях человека без дополнительной информации нам ни о чём не говорят, то электронная почта — это уже персональные данные.
Определение из закона 152-ФЗ «О персональных данных»:
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Часто используемые персональные данные
Персональные данные можно получать через формы, которые заполняют посетители сайта, и автоматически, без участия пользователя. В первом случае человек сам передаёт вам свои данные, например, для оформления заказа. Чаще всего это:
- email;
- телефон;
- имя, фамилия, отчество;
- адрес;
- дата рождения;
- фотография;
- ссылка на персональный сайт и профиль в соцсетях.
Автоматически персональные данные посетителей сайта собираются при помощи cookie. Cookie — это файл с данными, который сохраняется на компьютере пользователя после посещения сайта. В куки могут храниться:
- данные о местоположении человека;
- IP-адрес;
- информация о действиях на сайте;
- добавленные в корзину товары и так далее.
Владельцы сайтов могут использовать файлы куки, например, для показа таргетированной рекламы или отправки напоминаний об оставленных в корзине товарах. Так как перечня персональных данных в законе нет, нельзя точно сказать, входят ли куки в понятие «персональных данных». Но на практике суды и Роскомназдор признают обработку информации, собираемой при помощи куки, обработкой персональных данных.
Я не обрабатываю персональные данные, а только собираю
Хранение и сбор тоже попадают под определение обработки. Даже если вы собираете данные и через пару минут удаляете, это будет считаться обработкой персональных данных.
Определение из закона 152-ФЗ «О персональных данных»:
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Как владельцам сайтов не нарушить закон об обработке персональных данных и избежать штрафов?
- Создайте политику обработки персональных данных и разместите её на отдельной странице сайта
На сайте, где собираются данные пользователей, обязательно нужно разместить Политику обработки персональных данных. Это документ, в котором описано, какие именно данные и для какой цели вы собираете, как храните и обрабатываете, а также кому вы можете передавать эти данные. Политика обязательно должна содержать:
- ссылку на сайт, к которому она применяется;
- ФИО или название организации, которая получает согласие посетителя сайта;
- цели обработки персональных данных.
Целью может быть отправка пользователям рассылки или предоставление доступа к образовательным материалам. Если вы собираете cookie, это также нужно указать в политике как отдельную цель. Для каждой цели укажите:
- кто передаёт вам данные (категории субъектов персональных данных). Это могут быть посетители сайта, ваши сотрудники, кандидаты на вакансии;
- категории и перечень данных о пользователях, которые вы получаете;
- способы и сроки обработки и хранения данных,
- порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.
Согласно части 3 статьи 13.11 кодекса РФ об административных правонарушениях за отсутствие политики обработки персональных данных на сайте можно получить штраф в размере от 30 до 60 тысяч рублей.
- Добавьте ссылку на политику обработки персональных данных в футер сайта
Политика должна быть доступна на каждой странице, где собираются данные пользователей. Удобнее всего добавить ссылку в подвал сайта: он одинаковый для всех страниц, поэтому при создании новой вы точно не забудете разместить на ней ссылку на политику.
- Под каждой формой сбора данных разместите предупреждающий текст о сборе персональных данных
Под каждой формой сбора персональных данных добавьте уведомление о том, что вы собираете персональные данные пользователей. Для этого разместите рядом с кнопкой чек-бокс, где пользователь сможет поставить галочку, и текст «Даю согласие на обработку своих персональных данных». Если на сайте есть пользовательское соглашение (оферта), добавьте на него ссылку в текст. Если нет — на отдельной странице сайта разместите текст согласия на обработку персональных данных и добавить на него ссылку под форму.
В согласии на обработку персональных данных должны быть:
- наименование или ФИО и адрес оператора, получающего согласие;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых пользователь даёт согласие;
- перечень действий с персональными данными и способы их обработки;
- если вы поручаете обработку персональных данным сторонним лицам или компаниям, укажите их адрес, наименование или ФИО;
- срок, в течение которого действует согласие, а также способ как можно его отозвать.
Обработка персональных данных пользователей без их согласия наказывается штрафом в размере от 60 до 100 тысяч рублей за первое нарушение и от 100 до 300 тысяч — за повторное (ст.13.11 КоАП РФ).
- Показывайте всем новым пользователям сайта предупреждение о том, что вы собираете cookie
Файлы cookie считаются персональными данными, поэтому всем новым посетителям сайта нужно показывать уведомление об их сборе, и получить на это согласие. Для этого на баннере добавьте кнопку «согласен» или пропишите в тексте предупреждения, например: «используя сайт, вы предоставляете согласие на обработку ваших персональных данных с помощью сервисов веб-аналитики». В текст добавьте ссылку на политику обработки персональных данных. Если пользователь не хочет, чтобы эти его данные обрабатывались, он должен покинуть сайт.
- Подайте уведомление, чтобы внести компанию в реестр операторов персональных данных Роскомнадзора
Владелец сайта должен уведомить Роскомнадзор об обработке персональных данных. Это можно сделать на портале персональных данных. Если оператор уже подал такое уведомление — это нужно сделать заново по новой форме, утверждённой Приказом Роскомнадзора от 28.10.2022 № 180.
В законе есть три исключения, когда можно не подавать уведомление:
- когда обрабатываемые данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- когда данные обрабатываются в рамках исполнения законодательства по устойчивому функционированию транспорта и обеспечению безопасности там;
- когда персональные данные обрабатываются без использования средств автоматизации — только на материальных носителях.
- Создайте регламент ответов на запросы посетителей сайта
Пользователи могут запрашивать у владельцев сайта, для каких целей собирают их данные, как они обрабатываются, где хранятся и так далее. Раньше у компании был месяц для ответа на обращение, теперь — 10 рабочих дней.
Подготовьтесь к таким запросам заранее и закрепите во внутренних документах срок ответа. Если человек потребует прекратить обработку его персональных данных — оператор обязан это сделать также в течение 10 дней.
Если компания проигнорирует запрос пользователя или ответит после окончания положенного срока, её оштрафуют на сумму от 40 до 80 тысяч рублей.
Чек-лист для владельцев сайта
- Определите, какие персональные данные собираются на сайте.
- Проверьте, добавлена ли на сайт политика обработки персональных данныхи актуализируйте её содержание в соответствие с требованиями федерального закона «О персональных данных».
- Добавьте ссылку на политику обработку персональных данных в подвал сайта.
- Проверьте, чтобы под формами сбора персональных данных на сайте был чек-бокс с предупреждающим текстом о том, что пользователь соглашается на обработку персональных данных. В тексте должна быть ссылка на пользовательское соглашение или согласие на обработку персональных данных.
- Разместите на сайте уведомление об использовании cookie.
- Если вы не подали уведомление об обработке персональных данных в реестр операторов — сделайте это.
- Разработайте регламент реагирования на запросы пользователей и проведите тренинг для сотрудников, обрабатывающих персональные данные.
- Если у вас интернет-магазин, проверьте содержание оферты и формы на предмет «избыточных» персональных данных.
- Если вы планируете осуществлять трансграничную передачу персональных данных — подайте уведомление в РКН.
- Если вы юрлицо — разработайте пакет внутренних документов по защите персональных данных, подпишите согласие с сотрудниками на обработку персональных данных, защитите данные необходимыми мерами.