Юридические тонкости работы с персональными данными

Эта статья будет актуальна для многих – ведь большинство владельцев сайтов и лендингов обрабатывают персональные данные, собирая контакты в формах захвата, не зная о тонкостях обновленного Закона «О персональных данных». Сегодня о нем и поговорим.

Федеральный Закон «О персональных данных»

Федеральный закон «О персональных данных» (далее – ФЗ) обеспечивает защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиту конституционных прав на неприкосновенность частной жизни, личную и семейную тайну. Основные положения Закона подробно можно прочитать тут. 

Дадим определение персональным данным, согласно ФЗ:

«Персональные данные (ПД) — это любая информация, относящаяся прямо или косвенно к физическому лицу, с помощью которой можно определить (идентифицировать) человека».

Какая информация относится к персональным данным: 

1. ФИО;
2. место прописки и проживания;
3. паспортные данные;
4. образование;
5. ИНН;
6. контактные данные;
7. сведения о работе;
8. размер доходов и т.д.

Но персональные данные – не только то, что характеризуют человека, но и данные, которые могут быть использованы для идентификации: динамический IP адрес, cookie-файлы пользователя плюс информация от провайдера.

Есть и исключения: согласно Роскомнадзору телефон, ФИО без привязки к другим данным не являются ПД, т.к. только по номеру или только по имени человека идентифицировать невозможно.

Выделяют также и специальные персональные данные: 

• расовая, национальная принадлежность;
• политические взгляды;
• религиозные и философские убеждения;
• состояние здоровья,
• интимная жизнь.

Их обработка допускается, только если пользователь дал согласие на обработку именно этих ПД.

В понятие «обработка персональный данных» входит: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача другим лицам, обезличивание, блокирование, удаление, уничтожение информации.

Обработка может вестись как при помощи технических средств (компьютера), так и сугубо на бумажных носителях;

Цели обработки персональных данных

Цели обработки должны быть конкретными, определенными заранее и законными.

Обработка ПД, несовместимая с целями сбора персональных данных, не допускается. 

Цели обработки прописываются в документе «Политика обработки ПД», доступном для всех посетителей сайта.

Обработка ПД должна вестись только с согласия пользователя. Письменное разрешение не обязательно, достаточно косвенного, например галочки напротив соответствующего пункта онлайн-анкеты.

Инструменты сбора персональных данных на сайте

Форма обратной связи:

Форма захвата email в обмен на бонус:

Форма регистрации и создания личного кабинета: 

Анкета для участия в программе лояльности: 

Страница чек-аута при оформлении заказа:

Регистрация через социальные сети:

Cookie-файлы, Google Analytics,  Яндекс.Метрика
:

Наказание за нарушение закона о персональных данных

Закон о персональных данных распространяется на операторов ПД. 

Оператор ПД — любая организация, ИП и физическое лицо, которые обрабатывают персональные данные, например, собирает электронные адреса для рассылки.

Вы считаетесь оператором, если у вас есть:

• форма обратной связи;
• личный кабинет пользователя;
• форма заказа обратного звонка;
• форма заявки;
• форма подписки на email-рассылку;
• Яндекс.Метрика или Google Analytics.

Обработка ПД, если она выходит за рамки целей, для которых эти ПД собирались грозит штрафами:

• штраф для физических лиц в размере от 1000 до 3000 рублей,
• для юридических лиц — от 30000 тысяч до 50000 рублей.

Обработка ПД без активного согласия человека чревата:

• штраф для граждан в размере от 3000 до 5000 рублей
• для юридических лиц — от 15000 до 75000 рублей.

Неосторожность, которая повлекла неправомерный или случайный доступ к ПД, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении ПД:

• штраф для граждан в размере от 700 до 2000 рублей;
• для ИП — от 10000 до 20000 рублей;
• для юридических лиц — от 25000 до 50000 рублей.

Чек-лист проверки вашего сайта на соответствие ФЗ

1. Хостинг и базы данных на территории РФ;

2. Активное согласие на обработку пд под каждой формой захвата:

• разместить текст «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных». 
• в тексте должна быть ссылка на документ — Пользовательское соглашение, договор или согласие на обработку персональных данных. 
• текст самого документа можно разместить на отдельной странице.

3. Какая информация должна содержаться в Политике обработки ПД:

• наименование или ФИО и адрес оператора, запрашивающего ПД;
• цель обработки ПД;
• перечень ПД, согласие на обработку которых дает пользователь;
• наименование или ФИО и адрес лица, которому поручена обработка ПД, если такое лицо имеется;
• перечень действий с ПД, на которые дается согласие;
• сроки, в течение которых действует согласие; 
• как ПД могут быть отозваны пользователем;

Конструктор сайтов Тильда написал очень удобный шаблон политики конфиденциальности, вы можете составить свой документ по этому шаблону.

Помимо этого, всем новым пользователям сайта нужно показывать предупреждение с текстом о том, что вы собираете метаданные пользователя (cookie, данные об IP-адресе и местоположении).

Регистрация в реестре операторов Роскомнадзора

Владельцем сайтов следует подать уведомление, чтобы внести свою организацию в реестр операторов персональных данных Роскомнадзора.

Вам не нужно регистрироваться в реестре, если вы:

• обрабатываете только данные работников и только для исполнения требований трудового законодательства (без передачи данных в банки, например, оформления зарплатного проекта);
• обрабатываете данные, заключая договор с каждым клиентом и работником, и не передаете данные третьим лицам;
• обрабатываете персональные данные только на бумажных носителях.

Роскомнадзор выдвигает особые требования для юридических лиц. Они обязаны:

• назначить ответственных лиц и разработать пакет внутренних документов по обработке и защите ПД;
• регулировать отношений с физическими лицами, государственными органами и контрагентами;
• защищать ПД (антивирусы, средства межсетевого экранирования, разграничение прав доступа и др.);

Полный список документов, устраивающий Роскомнадзор тут.

Чтобы отрегулировать отношения с физлицами, контрагентами и другими заинтересованными сторонами, необходимо: 

1. С сотрудниками: подписать соглашение о неразглашении ПД, согласие на обработку ПД и под роспись ознакомить со внутренними документами по ПД;
2. С другими физлицами: подписать согласие на обработку ПД или добавить пункты об обработке ПД в рабочие договоры; отвечать на запросы физлиц по обработке их ПД;
3. С клиентами: заключать поручения на обработку ПД, при передаче данных 3-им сторонам;

Суммируем: 

• Законы в сфере сбора и обработки ПД ужесточились, контроль усилился, а штрафы выросли;
• Почти все юридические лица и ИП, которые собирают информацию о пользователе на сайте, считаются операторами персональных данных и попадают под действие 152-ФЗ.
• Закон чётко не определяет, что такое персональные данные. К ним относится любая информация о пользователе: имя, фамилия, телефон, ссылка на профиль в социальных сетях и другое.

Чтобы соблюдать 152-ФЗ, как минимум, надо: 

• зарегистрироваться как оператор ПД, 
• составить политику обработки ПД и согласие на обработку персональных данных, 
• повесить на сайт уведомление о сборе метаданных;