Как собирать персональные данные пользователей на сайте, не нарушая закон

Владельцы сайтов, на которых можно зарегистрировать личный кабинет, подписаться на рассылку, заказать товар или оставить заявку, обычно обрабатывают персональные данные своих клиентов. В этой статье мы расскажем, как правильно собирать и обрабатывать данные пользователей, чтобы избежать штрафов.

Если вы собираете данные российских пользователей, то вам необходимо соблюдать Федеральный закон № 152-ФЗ «О персональных данных». Давайте разберемся, в чем его суть и как обрабатывать персональные данные, не нарушая закон.

Что такое персональные данные

Согласно закону № 152-ФЗ «О персональных данных», персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Проще говоря, персональные данные — это любая информация, по которой можно опознать человека. В законе не прописан точный перечень того, что является персональными данными. Но, к примеру, по данным о просмотренных фильмах или музыкальных предпочтениях вы не сможете идентифицировать человека без дополнительной информации. А вот номер телефона или email уже считаются персональными данными.

Персональные данные обычно получают двумя способами: напрямую от пользователя или автоматически. В первом случае клиент сам предоставляет вам информацию о себе, например, при регистрации на сайте или оформлении заказа. Обычно это:

• ФИО,
• номер телефона,
• email,
• адрес,
• дата рождения,
• фотографии,
• ИНН,
• сведения о работе,
• ссылки на профили в соцсетях.

Во втором случае персональные данные пользователя собираются с помощью cookie. Cookie — это текстовые файлы, которые сохраняются на устройстве клиента после посещения сайта. В них содержится информация о действиях на сайте, например:

• данные об авторизации,
• добавленные в корзину товары,
• IP-адрес,
• данные о местоположении.

Владельцы сайтов используют куки-файлы для разных целей, например, для показа таргетированной рекламы. Поскольку в законе не перечислены данные, которые считаются персональными, невозможно сказать точно, относятся ли к ним cookie. Но на практике суды и Роскомназдор признают данные файлов cookie персональными данным.

Что такое обработка персональных данных

Выдержка из закона 152-ФЗ «О персональных данных»:
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Любые действия с данными попадают под определение обработки персональных данных. Это означает, что даже если данные собираются и сразу удаляются, это все равно считается обработкой персональных данных.

Кто обрабатывает персональные данные

Сбором и обработкой персональных данных занимается оператор персональных данных. Им может быть как юридическое, так и физическое лицо. Если при обработке данных будет нарушен закон о защите персональных данных, то именно оператор будет нести за это ответственность.

Выдержка из закона 152-ФЗ «О персональных данных»:
Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Вы являетесь оператором персональных данных, если ваш сайт использует cookie или на нем есть формы:

• регистрации личного кабинета,
• подписки на рассылку,
• заказа товара,
• заявки,
• обратной связи,
• размещения комментариев.

Что поможет правильно обрабатывать персональные данные на своем сайте

Если вы собираете информацию о пользователях, у вас может возникнуть вопрос:«Как обрабатывать персональные данные, чтобы не нарушить закон и избежать штрафов?». Для этого нужно выполнить ряд требований, о которых мы расскажем ниже.

Установка SSL-сертификата

SSL-сертификат необходим для безопасного обмена данными между сайтом и пользователями. SSL создает зашифрованное соединение, благодаря которому мошенники не смогут перехватить трафик и использовать оставленные на сайте персональные данные.

Переход на защищенное соединение критически важен для всех сайтов, которые содержат информацию первой и второй категории: данные банковских карт, логины и пароли от аккаунтов, формы с указанием ФИО и адреса пользователей. Более подробную информацию о категориях информации можно найти здесь.

Политика конфиденциальности для сайта

Политика конфиденциальности — это документ с описанием того, какие данные вы собираете, с какой целью, как они хранятся, обрабатываются и кому передаются. Документ обязательно должен содержать:

1. Наименование оператора, который обрабатывает персональные данные. Если сайт принадлежит юридическому лицу — нужно указать название компании и ИНН, если ИП или физическому лицу — достаточно указать ФИО.
2. Адрес оператора: юридический адрес компании или фактический адрес местонахождения физического лица.
3. Список собираемых данных. Нужно указать полный перечень данных, которые собираются на сайте: ФИО, email, номер телефона, адрес проживания, cookie-файлы и так далее.
4. Цель сбора данных. Нужно указать, для чего будут использоваться собранные данные.
5. Сроки обработки данных. После использования данных по назначению они должны удаляться. Обрабатывать данные можно только в течение ограниченного времени.
6. Порядок уничтожения данных. Нужно описать, как уничтожаются персональные данные после их обработки.
7. Третьи лица, которые привлекаются к обработке данных. Например, если вы используете партнерскую программу или приводите клиентов в другую компанию, то эта компания будет третьим лицом, которое обрабатывает персональные данные.
8. Контактные данные. В реквизитах нужно указать контакты, по которым с вами можно связаться.
9. Меры обеспечения безопасности данных. Опишите, как вы храните данные. Например, что все данные хранятся на защищенных серверах в России. Отдельно отметим, что по закону данные граждан России должны храниться только на территории РФ.

Политика конфиденциальности должна находиться на всех страницах сайта, на которых собираются персональные данные. Поэтому мы рекомендуем добавить ссылку на нее в подвал сайта на каждой странице.

Соглашение на обработку персональных данных

По закону «О персональных данных» клиент сам должен решать, передавать ли вам персональные данные и давать ли согласие на их обработку. Поэтому под формами сбора данных необходимо сделать чекбокс с уведомлением о том, что пользователь согласен на обработку персональных данных и ознакомился с политикой конфиденциальности.

В некоторых случаях согласие на обработку персональных данных можно получить другим способом, например, при заключении договора с клиентом.

Срок действия согласия на обработку персональных данных не ограничивается законом, поэтому можно указать любой срок. К примеру, до дня его отзыва.

Уведомление о сборе cookie

Поскольку cookie содержат персональные данные, посетителей сайта нужно проинформировать об их сборе и получить на это согласие. Для этого можно сделать баннер с кнопкой «Согласен» или разместить предупреждение с текстом «Этот сайт использует файлы cookie. Продолжая использовать сайт, вы даете свое согласие на работу с этими файлами». Кроме того, в тексте следует указать ссылку на политику конфиденциальности. Если пользователь не хочет, чтобы его данные обрабатывались, ему следует покинуть сайт.

Уведомление Роскомнадзора

Согласно закону «О персональных данных», вам нужно уведомить Роскомнадзор о том, что вы собираете и обрабатываете персональные данные пользователей. Это можно сделать через специальную форму.

Уведомление можно не подавать только в трех случаях:

1. Если данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка.
2. Если оператор обрабатывает персональные данные без использования средств автоматизации (на материальных носителях).
3. Если данные обрабатываются в рамках исполнения законодательства Российской Федерации о транспортной безопасности.

Если вы передаете персональные данные на территорию иностранного государства, то вам также необходимо уведомить Роскомнадзор о трансграничной передаче персональных данных. Для этого нужно заполнить специальную форму. Если после подачи уведомления в течение 10 рабочих дней вы не получили ответ, то можно осуществлять передачу. Ответ придет, только если передача данных запрещена или разрешена с ограничениями.

Регламент ответов на запросы посетителей сайта

Клиенты могут отправлять владельцу сайта запросы с требованием рассказать, для чего собирают их данные, как их хранят, обрабатывают и тому подобное. Владелец сайта обязан ответить на такой запрос в течение 10 дней. Подготовьтесь к подобным запросам и пропишите срок ответа во всех внутренних документах. Если пользователь требует прекратить обработку его данных, то это тоже нужно сделать в течение 10 дней.

Пользователи имеют право не предоставлять вам личную информацию, которая не нужна для исполнения договора. К примеру, если клиент хочет забрать товар самовывозом, а вы запрашиваете его адрес, то пользователь может не предоставлять эти данные. Если вы отказываете клиенту в исполнении договора и он требует объяснить, из-за чего это произошло, то вы должны быстро дать ответ: в течение 7 дней на письменный запрос или моментально на устный.

Поручение на обработку персональных данных

Если вы поручаете обработку персональных данных сторонним организациям, это должно быть прописано в договоре с ними. В тексте поручения нужно указать:

• перечень персональных данных,
• какие действия с ними планируются,
• цели обработки персональных данных,
• гарантии соблюдения конфиденциальности и безопасности данных,
• обязанность обработчика данных по запросу оператора предоставить сведения о соблюдении гарантий безопасности и конфиденциальности,
• обязанность хранить данные граждан России на территории РФ,
• требования к защите персональных данных.

Что еще нужно сделать, если сайт принадлежит юридическому лицу

Выше мы описали правила, которые касаются как юридических лиц, так и физических. Но есть несколько правил, которые должны выполнить только юридические лица.

Что еще нужно сделать организациям:

• компания должна назначить ответственных лиц и разработать внутренние документы, которые регламентируют процессы обработки и защиты персональных данных;
• сотрудники должны подписать согласие на обработку персональных данных ознакомиться с внутренними документами по персональным данным;
• в случае утечки персональных данных оператор должен уведомить об этом Роскомнадзор в течение 24 часов. Затем в течение 72 часов нужно провести расследование инцидента и сообщить результаты;
• необходимо защитить персональные данные техническими и организационными мерами согласно приказу № 21 Федеральной службы по техническому и экспортному контролю.