Агентство
интернет-маркетинга

 

Юридические тонкости работы с персональными данными

15.11.2020

Сложность: новичок

25 мин.

9 111

Обработка персональных данных на лендинге или сайте

Эта статья будет актуальна для многих – ведь большинство владельцев сайтов и лендингов обрабатывают персональные данные, собирая контакты в формах захвата, не зная о тонкостях обновленного Закона «О персональных данных». Сегодня о нем и поговорим.

Федеральный Закон «О персональных данных»

Федеральный закон «О персональных данных» (далее – ФЗ) обеспечивает защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиту конституционных прав на неприкосновенность частной жизни, личную и семейную тайну. Основные положения Закона подробно можно прочитать тут

Дадим определение персональным данным, согласно ФЗ:

«Персональные данные (ПД) — это любая информация, относящаяся прямо или косвенно к физическому лицу, с помощью которой можно определить (идентифицировать) человека».

Какая информация относится к персональным данным: 

  1. ФИО;
  2. место прописки и проживания;
  3. паспортные данные;
  4. образование;
  5. ИНН;
  6. контактные данные;
  7. сведения о работе;
  8. размер доходов и т.д.

Но персональные данные – не только то, что характеризуют человека, но и данные, которые могут быть использованы для идентификации: динамический IP адрес, cookie-файлы пользователя плюс информация от провайдера.

Есть и исключения: согласно Роскомнадзору телефон, ФИО без привязки к другим данным не являются ПД, т.к. только по номеру или только по имени человека идентифицировать невозможно.

Выделяют также и специальные персональные данные: 

  • расовая, национальная принадлежность;
  • политические взгляды;
  • религиозные и философские убеждения;
  • состояние здоровья,
  • интимная жизнь.

Их обработка допускается, только если пользователь дал согласие на обработку именно этих ПД.

В понятие «обработка персональный данных» входит: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача другим лицам, обезличивание, блокирование, удаление, уничтожение информации.

Обработка может вестись как при помощи технических средств (компьютера), так и сугубо на бумажных носителях;

Цели обработки персональных данных

Цели обработки должны быть конкретными, определенными заранее и законными.

Обработка ПД, несовместимая с целями сбора персональных данных, не допускается. 

Цели обработки прописываются в документе «Политика обработки ПД», доступном для всех посетителей сайта.

Обработка ПД должна вестись только с согласия пользователя. Письменное разрешение не обязательно, достаточно косвенного, например галочки напротив соответствующего пункта онлайн-анкеты.

Инструменты сбора персональных данных на сайте

Форма обратной связи:

Обработка персональных данных на лендинге или сайте

Форма захвата email в обмен на бонус:

Форма регистрации и создания личного кабинета: 

Анкета для участия в программе лояльности: 

Страница чек-аута при оформлении заказа:

Регистрация через социальные сети:

Cookie-файлы, Google Analytics,  Яндекс.Метрика
:

Наказание за нарушение закона о персональных данных

Закон о персональных данных распространяется на операторов ПД. 

Оператор ПД — любая организация, ИП и физическое лицо, которые обрабатывают персональные данные, например, собирает электронные адреса для рассылки.

Вы считаетесь оператором, если у вас есть:

  • форма обратной связи;
  • личный кабинет пользователя;
  • форма заказа обратного звонка;
  • форма заявки;
  • форма подписки на email-рассылку;
  • Яндекс.Метрика или Google Analytics.

Обработка ПД, если она выходит за рамки целей, для которых эти ПД собирались грозит штрафами:

  • штраф для физических лиц в размере от 1000 до 3000 рублей,
  • для юридических лиц — от 30000 тысяч до 50000 рублей.

Обработка ПД без активного согласия человека чревата:

  • штраф для граждан в размере от 3000 до 5000 рублей
  • для юридических лиц — от 15000 до 75000 рублей.

Неосторожность, которая повлекла неправомерный или случайный доступ к ПД, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении ПД:

  • штраф для граждан в размере от 700 до 2000 рублей;
  • для ИП — от 10000 до 20000 рублей;
  • для юридических лиц — от 25000 до 50000 рублей.

Чек-лист проверки вашего сайта на соответствие ФЗ

1. Хостинг и базы данных на территории РФ;

2. Активное согласие на обработку пд под каждой формой захвата:

  • разместить текст «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных». 
  • в тексте должна быть ссылка на документ — Пользовательское соглашение, договор или согласие на обработку персональных данных. 
  • текст самого документа можно разместить на отдельной странице.

3. Какая информация должна содержаться в Политике обработки ПД:

  • наименование или ФИО и адрес оператора, запрашивающего ПД;
  • цель обработки ПД;
  • перечень ПД, согласие на обработку которых дает пользователь;
  • наименование или ФИО и адрес лица, которому поручена обработка ПД, если такое лицо имеется;
  • перечень действий с ПД, на которые дается согласие;
  • сроки, в течение которых действует согласие; 
  • как ПД могут быть отозваны пользователем;

Конструктор сайтов Тильда написал очень удобный шаблон политики конфиденциальности, вы можете составить свой документ по этому шаблону.

Помимо этого, всем новым пользователям сайта нужно показывать предупреждение с текстом о том, что вы собираете метаданные пользователя (cookie, данные об IP-адресе и местоположении).

Регистрация в реестре операторов Роскомнадзора

Владельцем сайтов следует подать уведомление, чтобы внести свою организацию в реестр операторов персональных данных Роскомнадзора.

Вам не нужно регистрироваться в реестре, если вы:

  • обрабатываете только данные работников и только для исполнения требований трудового законодательства (без передачи данных в банки, например, оформления зарплатного проекта);
  • обрабатываете данные, заключая договор с каждым клиентом и работником, и не передаете данные третьим лицам;
  • обрабатываете персональные данные только на бумажных носителях.

Роскомнадзор выдвигает особые требования для юридических лиц. Они обязаны:

  • назначить ответственных лиц и разработать пакет внутренних документов по обработке и защите ПД;
  • регулировать отношений с физическими лицами, государственными органами и контрагентами;
  • защищать ПД (антивирусы, средства межсетевого экранирования, разграничение прав доступа и др.);

Полный список документов, устраивающий Роскомнадзор тут.

Чтобы отрегулировать отношения с физлицами, контрагентами и другими заинтересованными сторонами, необходимо: 

  1. С сотрудниками: подписать соглашение о неразглашении ПД, согласие на обработку ПД и под роспись ознакомить со внутренними документами по ПД;
  2. С другими физлицами: подписать согласие на обработку ПД или добавить пункты об обработке ПД в рабочие договоры; отвечать на запросы физлиц по обработке их ПД;
  3. С клиентами: заключать поручения на обработку ПД, при передаче данных 3-им сторонам;

Суммируем: 

  • Законы в сфере сбора и обработки ПД ужесточились, контроль усилился, а штрафы выросли;
  • Почти все юридические лица и ИП, которые собирают информацию о пользователе на сайте, считаются операторами персональных данных и попадают под действие 152-ФЗ.
  • Закон чётко не определяет, что такое персональные данные. К ним относится любая информация о пользователе: имя, фамилия, телефон, ссылка на профиль в социальных сетях и другое.

Чтобы соблюдать 152-ФЗ, как минимум, надо: 

  • зарегистрироваться как оператор ПД, 
  • составить политику обработки ПД и согласие на обработку персональных данных, 
  • повесить на сайт уведомление о сборе метаданных;
Готовы пообщаться?Готовы пообщаться?Готовы пообщаться?

Комментарии

  1. Людмила

    Авторы, когда претендуете на экспертность, внимательнее источники изучайте. Вы не включили в чек-лист как раз те пункты, которые будет проверять Роскомнадзор:
    1. Ссылка на текст Политики Конфиденциальности должна присутствовать на каждой (!) странице сайта.
    2. Под каждой формой обратной связи, если она предполагает сбор ПДн (а два и более поля — это уже сбор ПДн) должна присутствовать ссылка на Соглашение на обработку персональных данных. При этом, что важно, Соглашение и Политика Конфиденциальности не являются взаимозаменяемыми документами, как пытаются убедить авторы сия очерка!
    3. Пользователь должен САМ дать согласие на обработку ПДн. Это значит, что поле, где ставится галка, должно быть пустым, пока на него не нажмёт человек, заполняющий форму. В противном случае сайт сразу попадает под нарушение ФЗ-152, в частности под незаконный сбор данных и мошенничество. Этот важный нюанс был зафиксирован в законе ещё в 2017 году, почему авторы «экспертной статьи» его не знают в 2020 — загадка! )))
    А теперь ещё одна моя любимая часть из увиденного — иллюстрации. Сначала я подумала, что сейчас нам на примере картинок в тексте расскажут, что так делать не надо, А там чек-лист. Но вишенка на торте — ТАДАМ! — форма комментария, которую я сейчас заполнила.
    Господа-писари, если вам лень изучить историю вопроса и источники, не беритесь за написание экспертных статей! Стыдоба!

    1. moderator

      Людмила, спасибо за дополнение и критику, она помогает делать наши материалы лучше! Мы не претендуем на истину в последней инстанции в статьях, а лишь делимся своей практикой.
      Ответим по пунктам:
      1. Именно поэтому стоит добавлять ссылку на политику в футер сайта, который по умолчанию доступен на каждой странице сайта.
      2. Именно это и написано в статье, не видим противоречий. Если хотите дополнить – welcome!
      3. Об этом написано в чек-листе, чтобы не осталось вопросов, дополним его словом «активное» и напишем «активное согласие».
      Чек-лист мы даем в текстовом формате, изображения – это реальные примеры, как сейчас собираются персональные данные на различных сайтах, не факт, что идеальные.
      Что не так с формой комментария, дайте более развернутый фидбек! Спасибо!

      1. Елизавета

        В форме комментария нет чекбокса с согласием на обработку ПДн и ссылки на политику конфиденциальности, хотя почту просите указать

    2. Андрей

      >Пользователь должен САМ дать согласие на обработку ПДн.
      >Это значит, что поле, где ставится галка, должно быть пустым, пока на него не нажмёт человек, заполняющий форму.
      Где ж в законе хоть какое-то упоминание про какую-нибудь галку?! Вы о чём?
      Человек нажимает на кнопку отправки формы обратной связи, и это как раз и является активным согласием на обработку персональных данных. Равно как и ввел свои персональные данные посетитель в форму обратной связи вполне осознанно.
      Поэтому текст «Нажимая на кнопку…» минимально достаточное условие. Нет никакой обоснованной необходимости усложнять посетителям использование сайта.

      1. По этому вопросу даются пояснения на сайте Роскомнадзора: «Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме» https://rkn.gov.ru/news/rsoc/news51712.htm.
        Кстати, крайне рекомендуем статью от Контура по всем важным апдейтам в закон от 1 марта 2021 года https://kontur.ru/articles/4816

  2. Екатерина

    Спасибо. Как раз запускаем первый раз проект со сбором данных клиентов. Мало того, что нужно разобраться с тем как это сделать, понять и прописать путь клиента, оптимизировать количество вопросов, нужно еще и соломку постелить в вопросе законодательства. Спасибо за статью. Есть с чем поработать)))

  3. Наталья

    Здравствуйте! А если хостинг и БД не на территории РФ, а контент на русском языке, на что обратить внимание в подобном случае?

    1. Наталья, добрый день. Отличный вопрос! Если объяснять простым языком, то вам нужно будет соблюдать законодательство страны, где размещен ваш хостинг и БД + учитывать законодательство РФ в части обработки данных граждан РФ, рекомендую ознакомиться с этим материалом https://habr.com/ru/post/293568/, т.к. имеет значение, какие именно данные вы собираете, обрабатываете и храните.

  4. Иляс

    Скажите пожалуйста, у нас
    1) фирма зарегистрирована в Турции
    2) а рекламируем мы сайт (директ, рся…) на аудиторию РФ
    3) потом при заказе сами привозим клиентам продукт
    4) домен и хостинг в Украине
    В таком случае нам нужно на форме захвата на нашем лендинге показывать «согласие на обработку своих персональных данных» с птичкой как у всех, или же в нашем случае не обязательно?

    И если мы еще и на Украину рекламируемся и продаем нужно ли делать на форме захвата » согласие на обработку своих персональных данных» т.к. домен и хостинг в Украине?

    Спасибо

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кейсы