Владельцы сайтов, на которых можно зарегистрировать личный кабинет, подписаться на рассылку, заказать товар или оставить заявку, обычно обрабатывают персональные данные своих клиентов. В этой статье мы расскажем, как правильно собирать и обрабатывать данные пользователей, чтобы избежать штрафов.
Если вы собираете данные российских пользователей, то вам необходимо соблюдать Федеральный закон № 152-ФЗ «О персональных данных». Давайте разберемся, в чем его суть и как обрабатывать персональные данные, не нарушая закон.
Согласно закону № 152-ФЗ «О персональных данных», персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Проще говоря, персональные данные — это любая информация, по которой можно опознать человека. В законе не прописан точный перечень того, что является персональными данными. Но, к примеру, по данным о просмотренных фильмах или музыкальных предпочтениях вы не сможете идентифицировать человека без дополнительной информации. А вот номер телефона или email уже считаются персональными данными.
Персональные данные обычно получают двумя способами: напрямую от пользователя или автоматически. В первом случае клиент сам предоставляет вам информацию о себе, например, при регистрации на сайте или оформлении заказа. Обычно это:
Во втором случае персональные данные пользователя собираются с помощью cookie. Cookie — это текстовые файлы, которые сохраняются на устройстве клиента после посещения сайта. В них содержится информация о действиях на сайте, например:
Владельцы сайтов используют куки-файлы для разных целей, например, для показа таргетированной рекламы. Поскольку в законе не перечислены данные, которые считаются персональными, невозможно сказать точно, относятся ли к ним cookie. Но на практике суды и Роскомназдор признают данные файлов cookie персональными данным.
Выдержка из закона 152-ФЗ «О персональных данных»:
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Любые действия с данными попадают под определение обработки персональных данных. Это означает, что даже если данные собираются и сразу удаляются, это все равно считается обработкой персональных данных.
Сбором и обработкой персональных данных занимается оператор персональных данных. Им может быть как юридическое, так и физическое лицо. Если при обработке данных будет нарушен закон о защите персональных данных, то именно оператор будет нести за это ответственность.
Выдержка из закона 152-ФЗ «О персональных данных»:
Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Вы являетесь оператором персональных данных, если ваш сайт использует cookie или на нем есть формы:
Если вы собираете информацию о пользователях, у вас может возникнуть вопрос:«Как обрабатывать персональные данные, чтобы не нарушить закон и избежать штрафов?». Для этого нужно выполнить ряд требований, о которых мы расскажем ниже.
SSL-сертификат необходим для безопасного обмена данными между сайтом и пользователями. SSL создает зашифрованное соединение, благодаря которому мошенники не смогут перехватить трафик и использовать оставленные на сайте персональные данные.
Переход на защищенное соединение критически важен для всех сайтов, которые содержат информацию первой и второй категории: данные банковских карт, логины и пароли от аккаунтов, формы с указанием ФИО и адреса пользователей. Более подробную информацию о категориях информации можно найти здесь.
Политика конфиденциальности — это документ с описанием того, какие данные вы собираете, с какой целью, как они хранятся, обрабатываются и кому передаются. Документ обязательно должен содержать:
Политика конфиденциальности должна находиться на всех страницах сайта, на которых собираются персональные данные. Поэтому мы рекомендуем добавить ссылку на нее в подвал сайта на каждой странице.
По закону «О персональных данных» клиент сам должен решать, передавать ли вам персональные данные и давать ли согласие на их обработку. Поэтому под формами сбора данных необходимо сделать чекбокс с уведомлением о том, что пользователь согласен на обработку персональных данных и ознакомился с политикой конфиденциальности.
В некоторых случаях согласие на обработку персональных данных можно получить другим способом, например, при заключении договора с клиентом.
Срок действия согласия на обработку персональных данных не ограничивается законом, поэтому можно указать любой срок. К примеру, до дня его отзыва.
Поскольку cookie содержат персональные данные, посетителей сайта нужно проинформировать об их сборе и получить на это согласие. Для этого можно сделать баннер с кнопкой «Согласен» или разместить предупреждение с текстом «Этот сайт использует файлы cookie. Продолжая использовать сайт, вы даете свое согласие на работу с этими файлами». Кроме того, в тексте следует указать ссылку на политику конфиденциальности. Если пользователь не хочет, чтобы его данные обрабатывались, ему следует покинуть сайт.
Согласно закону «О персональных данных», вам нужно уведомить Роскомнадзор о том, что вы собираете и обрабатываете персональные данные пользователей. Это можно сделать через специальную форму.
Уведомление можно не подавать только в трех случаях:
Если вы передаете персональные данные на территорию иностранного государства, то вам также необходимо уведомить Роскомнадзор о трансграничной передаче персональных данных. Для этого нужно заполнить специальную форму. Если после подачи уведомления в течение 10 рабочих дней вы не получили ответ, то можно осуществлять передачу. Ответ придет, только если передача данных запрещена или разрешена с ограничениями.
Клиенты могут отправлять владельцу сайта запросы с требованием рассказать, для чего собирают их данные, как их хранят, обрабатывают и тому подобное. Владелец сайта обязан ответить на такой запрос в течение 10 дней. Подготовьтесь к подобным запросам и пропишите срок ответа во всех внутренних документах. Если пользователь требует прекратить обработку его данных, то это тоже нужно сделать в течение 10 дней.
Пользователи имеют право не предоставлять вам личную информацию, которая не нужна для исполнения договора. К примеру, если клиент хочет забрать товар самовывозом, а вы запрашиваете его адрес, то пользователь может не предоставлять эти данные. Если вы отказываете клиенту в исполнении договора и он требует объяснить, из-за чего это произошло, то вы должны быстро дать ответ: в течение 7 дней на письменный запрос или моментально на устный.
Если вы поручаете обработку персональных данных сторонним организациям, это должно быть прописано в договоре с ними. В тексте поручения нужно указать:
Выше мы описали правила, которые касаются как юридических лиц, так и физических. Но есть несколько правил, которые должны выполнить только юридические лица.
Что еще нужно сделать организациям:
Еще на эту тему: