Как владельцам сайтов не нарушить закон об обработке персональных данных и избежать штрафов:
1. Создайте политику обработки персональных данных и разместите её на отдельной странице сайта.
На сайте, где собираются данные пользователей, обязательно нужно разместить
Политику обработки персональных данных. Это документ, в котором описано, какие именно данные и для какой цели вы собираете, как храните и обрабатываете, а также кому вы можете передавать эти данные. Политика обязательно должна содержать:
- ссылку на сайт, к которому она применяется;
- ФИО или название организации, которая получает согласие посетителя сайта;
- цели обработки персональных данных.
Целью может быть отправка пользователям рассылки или предоставление доступа к образовательным материалам. Если вы собираете cookie, это также нужно указать в политике как отдельную цель. Для каждой цели укажите:
- кто передаёт вам данные (категории субъектов персональных данных). Это могут быть посетители сайта, ваши сотрудники, кандидаты на вакансии;
- категории и перечень данных о пользователях, которые вы получаете;
- способы и сроки обработки и хранения данных,
- порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.
Согласно части 3 статьи 13.11 кодекса РФ об административных правонарушениях за отсутствие политики обработки персональных данных на сайте можно получить штраф в размере от 30 до 60 тысяч рублей.
2. Добавьте ссылку на политику обработки персональных данных в футер сайта
Политика должна быть доступна на каждой странице, где собираются данные пользователей. Удобнее всего добавить ссылку в подвал сайта: он одинаковый для всех страниц, поэтому при создании новой вы точно не забудете разместить на ней ссылку на политику.
3. Под каждой формой сбора данных разместите предупреждающий текст о сборе персональных данных
Под каждой формой сбора персональных данных добавьте уведомление о том, что вы собираете персональные данные пользователей. Для этого разместите рядом с кнопкой чек-бокс, где пользователь сможет поставить галочку, и текст «Даю согласие на обработку своих персональных данных». Если на сайте есть пользовательское соглашение (оферта), добавьте на него ссылку в текст. Если нет — на отдельной странице сайта разместите текст согласия на обработку персональных данных и добавить на него ссылку под форму.
В согласии на обработку персональных данных должны быть:
- наименование или ФИО и адрес оператора, получающего согласие;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых пользователь даёт согласие;
- перечень действий с персональными данными и способы их обработки;
- если вы поручаете обработку персональных данным сторонним лицам или компаниям, укажите их адрес, наименование или ФИО;
- срок, в течение которого действует согласие, а также способ как можно его отозвать.
Обработка персональных данных пользователей без их согласия наказывается штрафом в размере от 60 до 100 тысяч рублей за первое нарушение и от 100 до 300 тысяч — за повторное (ст.13.11 КоАП РФ).
4. Показывайте всем новым пользователям сайта предупреждение о том, что вы собираете cookie
Файлы cookie считаются персональными данными, поэтому всем новым посетителям сайта нужно показывать уведомление об их сборе, и получить на это согласие. Для этого на баннере добавьте кнопку «согласен» или пропишите в тексте предупреждения, например: «используя сайт, вы предоставляете согласие на обработку ваших персональных данных с помощью сервисов веб-аналитики». В текст добавьте ссылку на политику обработки персональных данных. Если пользователь не хочет, чтобы эти его данные обрабатывались, он должен покинуть сайт.
5. Подайте уведомление, чтобы внести компанию в реестр операторов персональных данных Роскомнадзора
Владелец сайта должен уведомить Роскомнадзор об обработке персональных данных. Это можно сделать на портале персональных данных. Если оператор уже подал такое уведомление — это нужно сделать заново по новой форме, утверждённой Приказом Роскомнадзора от 28.10.2022 № 180.
В законе есть три исключения, когда можно не подавать уведомление:
- когда обрабатываемые данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- когда данные обрабатываются в рамках исполнения законодательства по устойчивому функционированию транспорта и обеспечению безопасности там;
- когда персональные данные обрабатываются без использования средств автоматизации — только на материальных носителях.
6. Создайте регламент ответов на запросы посетителей сайта
Пользователи могут запрашивать у владельцев сайта, для каких целей собирают их данные, как они обрабатываются, где хранятся и так далее. Раньше у компании был месяц для ответа на обращение, теперь — 10 рабочих дней.
Подготовьтесь к таким запросам заранее и закрепите во внутренних документах срок ответа. Если человек потребует прекратить обработку его персональных данных — оператор обязан это сделать также в течение 10 дней.
Если компания проигнорирует запрос пользователя или ответит после окончания положенного срока, её оштрафуют на сумму от 40 до 80 тысяч рублей.
С 1 сентября 2022 года пользователь также имеет право не предоставлять персональные данные, которые не нужны для исполнения договора. Например, если покупатель оформляет у вас доставку товара в пункт выдачи, а вы запрашиваете его домашний адрес, человек может не предоставлять вам эти данные. Если вы откажете пользователю в доставке, то есть в исполнении договора, и он потребует объяснить, почему это произошло, нужно ответить в короткие сроки: на письменный запрос — в течение 7 дней, на устный — незамедлительно.
Это изменение будет особенно актуально для владельцев интернет-магазинов, поэтому им необходимо:
- определить, какие персональные данные обязательны для исполнения договора купли-продажи, чаще всего это публичная оферта на сайте;
- обосновать, зачем обрабатывается такое количество персональных данных;
- исключить из оферты сбор данных, которые не используются для исполнения договора.
Выше мы рассказали о действиях, которые необходимо выполнить всем владельцам сайтов, чтобы избежать штрафов. Далее расскажем о том, что актуально для тех, кто передаёт данные на территорию иностранного государства, или поручает обработку данных третьим лицам.
7. Подайте уведомление в РКН о трансграничной передачи персональных данных
Трансграничная передача персональных данных — это передача персональных данных на территорию иностранного государства: органу власти, иностранному физическому или юридическому лицу. Например, если компания помогает найти обучение за рубежом, для этого получает данные граждан России и передаёт их в иностранные школы, это считается трансграничной передачей. К ней также относится использование сервисов, чьи базы данных расположены за границей (Mailchimp, Notion, Zoho CRM, Trello и другие).
С 1 марта 2023 года до начала трансграничной передачи нужно подать уведомление в РКН. Если после подачи уведомления прошло 10 рабочих дней и вы не получили ответ — можно осуществлять такую передачу. Ответ придёт только в случае запрета или ограничения передачи данных иностранному оператору.
Если вы ранее подали уведомление о трансграничной передачи, повторно отправлять его не нужно.
Также проверьте, в какие страны вы планируете передавать данные. Все страны мира, в соответствии с Приказом Роскомнадзора, делятся на обеспечивающие «адекватную» защиту персональных данных и не обеспечивающие. К странам, обеспечивающим адекватную защиту персональных данных, относятся Болгария, Польша, Литва, Словения и другие подписанты Евроконвенции, а также отдельные страны по приказу Роскомнадзора. К «неадекватным» — все остальные.
8. Проверьте поручение на обработку персональных данных
Если вы поручаете обработку персональных данных другой компании, это должно быть прописано в договоре с ней. Поручать обработку можно, например, маркетинговым агентствам или дата-центрам — чаще всего это компании, которые работают на аутсорсе. В тексте поручения на обработку персональных данных нужно прописать:
- перечень персональных данных;
- все планируемые с ними действия;
- цели обработки персональных данных;
- гарантии соблюдения конфиденциальности и безопасности персональных данных;
- обязанность обработчика по запросу оператора предоставлять сведения о соблюдении требований конфиденциальности и безопасности;
- обязанность обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных на территории РФ;
- все требования к защите персональных данных, содержащиеся в ст. 18 и ст. 19 ФЗ № 152.
Отсутствие поручения в договоре с подрядчиком может привести к штрафу от 60 до 100 тысяч рублей, а в случае повторного нарушения — от 100 до 300 тысяч рублей.