Способы сбора персональных данных

Содержание

Сбор персональных данных и подготовка документации для их обработки: как избежать типовых нарушений Закона № 152-ФЗ?

Способы сбора персональных данных

Павел Новожилов

Руководитель группы консалтинга Центра информационной безопасности компании “Инфосистемы Джет”

специально для ГАРАНТ.РУ

Последние несколько лет по всему миру наблюдается тенденция к увеличению штрафных санкций за несоответствие требованиям законодательства в области обработки и защиты персональных данных.

Например, с 2 декабря 2019 года в России был введен один из самых крупных штрафов в этой сфере – за нарушение требований к локализации баз данных при первичном сборе персональных данных (ч. 8-9 ст. 13.11 КоАП). Его размеры для компаний варьируются от 1 млн до 6 млн руб. за первое нарушение и от 6 млн до 18 млн руб. при повторном.

Существенно возросли штрафы и в Евросоюзе, где последние два года действует Общий регламент по защите данных (General Data Protection Regulation, GDPR), который пришел на смену ранее принятой директиве о защите данных. Так, согласно статистике, опубликованной на сайте www.itpro.co.

uk, общая сумма штрафов для компаний, работающих на территории ЕС, за несоответствия требованиям GDPR с начала года составила 68 млн евро. Более 66% этой суммы пришлось на компании из Италии, где было зафиксировано 13 случаев нарушения регламента.

Неудивительно, что вопросы выполнения требований в части обработки и защиты персональных данных неизменно остаются одними из самых важных для компаний. В колонке я выделю ключевые нарушения, которые допускаются при обработке персональных данных в России, и поделюсь рекомендациями, как их избежать.


Что нужно знать о сборе персональных данных, чтобы не нарушить закон?

Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных.

Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных.

Обычно проверяющие в этой области чаще всего фиксируют следующие типовые нарушения:

  • компании не всегда собирают все необходимые согласия на обработку персональных данных у субъектов персональных данных;
  • объем обрабатываемых персональных данных не соответствует заявленной цели обработки;
  • форма согласия не соответствует требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ “О персональных данных” (далее – Закон № 152-ФЗ).

До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки. С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2019 г.

№ 236 “Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения”. Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.

Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется.

Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах.

Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.

Существует несколько форм согласий: конклюдентное, письменное и иные (в форме галочки, по телефону и т. д.). Самый строгий тип согласия – в письменной форме, в законодательстве даже прописаны все случаи, когда их нужно получать.

Среди них, например, обработка биометрических данных (подп. 1 п. 2 ст. 10 Закона № 152-ФЗ), специальных категорий персональных данных (п. 1 ст. 11 Закона № 152-ФЗ) и т. п.

Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме.

По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы: 

Конклюдентное согласие Согласие в письменной форме Иные формы согласия
+ Легко получить (за исключением случаев, когда нужно согласие в письменной форме) При разработке и получении формы согласия по требованиям законодательства РФ регулятору не требуются дополнительные доказательства Как правило, допускается Роскомнадзором, что подтверждается проверками ведомства (за исключением случаев, когда необходимо согласие в письменной форме)
Не предусматривает каких-либо подтверждений получения. Ввиду отсутствия подтверждений может рассматриваться Роскомнадзором как нарушение требований Закона № 152-ФЗ Форма согласия должна соответствовать требованиям ч. 4 ст. 9 Закона № 152-ФЗДля каждой цели нужно получать отдельное согласие, т.к. в ч. 4 ст. 9 Закона № 152-ФЗ “цель” указана в единственном числе Требуется сохранять подтверждение получения (например, лог-файл на сайте или запись телефонного звонка в случае обработки персональных данных) и доказывать факт наличия согласия при возникновении инцидента. Данные подтверждения могут храниться в течение длительного периодаПредставители Роскомнадзора, как правило, рекомендуют учитывать требования ч. 4 ст. 9 Закона № 152-ФЗ

На что еще важно обратить внимание до сбора персональных данных?

  1. В случаях, не установленных законодательством РФ, необходимо получать согласие на передачу данных сторонним организациям. Оно может быть как отдельным, так и встроенным в общее (за исключением случаев, когда требуется согласие в письменной форме).

  2. Когда организация получает данные не напрямую от самого субъекта, нужно либо направить ему уведомление об этом (оно должно соответствовать п. 3 ст. 18 Закона № 152-ФЗ), либо запросить у него согласие на обработку персональных данных. Способ уведомления при этом определяется организацией-оператором обработки данных.

    Например, это может быть письмо по электронной почте или SMS-сообщение.

  3. При сборе данных нужно использовать базу данных, размещенную на территории РФ.

Подготовка к сбору персональных данных – один из важнейших этапов выстраивания процесса их обработки, а его правильная организация поможет избежать достаточно большого количества ошибок и, как следствие, штрафных санкций со стороны регулятора.


О чем всегда забывают при подготовке документации?

Еще один широко распространенный и не менее важный вид нарушений связан с документацией в области обработки персональных данных.

Дело в том, что для полного соответствия требованиям Закона № 152-ФЗ и подзаконных актов организациям нужно иметь огромное количество документов, в иерархии которых не просто разобраться.

Как показывают результаты проверок Роскомнадзора, компании допускают три основных нарушения в этой области:

  • отсутствует большая часть необходимой документации;
  • документация не актуализируется на постоянной основе (например, при изменениях процессов обработки персональных данных);
  • не заполняются типовые формы документов (перечни, журналы и др.) в соответствии с внутренней документацией организации.

Как же сформировать полный комплект документов, чтобы пройти проверку без нареканий со стороны представителей регулятора? Работа с персональными данными в любой организации начинается с верхнеуровневого документа, определяющего общие требования, то есть политики. При ее разработке полезно изучить рекомендации Рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31 июля 2017 г.

Среди документов второго уровня в иерархии можно выделить следующие:

  1. Положение об обработке персональных данных. Его можно разработать как отдельно для работников и остальных субъектов данных, так и в виде единого документа. Я рекомендую выбирать второй вариант и не забывать, что с документом нужно ознакомить каждого работника под подпись;
  2. Регламент обработки обращений от субъектов персональных данных / Роскомнадзора;
  3. Регламент проведения внутренних проверок в части соблюдения требований Закона № 152-ФЗ и подзаконных актов в области обработки персональных данных;
  4. Методика оценки вреда субъектам персональных данных. По моей практике, компании крайне редко разрабатывают этот документ, хотя он необходим для успешного прохождения проверки Роскомнадзора;
  5. Иные документы.

Для наглядности иерархическая структура необходимых документов представлена на схеме:

Рис. Иерархическая верхнеуровневая схема документов оператора персональных данных

Список внушительный, не говоря о том, что в этой колонке я не рассматриваю документы по защите персональных данных по требованиям ФСТЭК и ФСБ России. Но и это еще не все: организациям, в которых планируется проверка Роскомнадзора, также следует обратить внимание на подготовку справок по различным вопросам.

Например, это может быть информация по обработке данных уволенных работников, справка об обработке биометрических данных и не только. Например, в моей практике был случай, когда компании пришлось подготовить суммарно порядка 200 справок по разным вопросам обработки персональных данных.

Так что этот вопрос лучше продумать заранее.


***

При сборе персональных данных важно правильно организовать процесс с самого начала, чтобы в ходе проверок избежать предписаний от Роскомнадзора за такие распространенные нарушения, как отсутствие согласия на форме обратной связи или отсутствие всплывающего баннера в случаях, когда компания использует cookie-файлы посетителей сайта. В настоящий момент планируются изменения в Закон № 152-ФЗ, которые прояснят многие неоднозначные моменты в нормативных требованиях к защите персональных данных. Например, сейчас на рассмотрении в Госдуме находится законопроект1, разрешающий получать одно согласие в письменной форме сразу для нескольких целей обработки персональных данных, что не предусмотрено положениями действующего закона. Кроме того, Роскомнадзор планирует разработать методические рекомендации по обезличиванию данных для коммерческих компаний. Сегодня подобный документ действует только для государственных организаций, что вызывает большое количество вопросов со стороны бизнеса. Тем не менее важно понимать, что даже в случае принятия этих поправок к положениям Закона № 152-ФЗ останется немало открытых вопросов, что требует уделять повышенное внимание к выстраиванию процессов обработки Пдн.

_____________________________

1 С текстом законопроекта № 992331-7 “О внесении изменений в Федеральный закон “О персональных данных”” и материалами к нему можно ознакомиться на официальном сайте Госдумы.

защита персональных данных, информационная безопасность, информационные технологии, ИП, общественная безопасность, практические ситуации, проверка документов, проверки организаций и ИП, физлица, юрлица, Роскомнадзор, ФСБ России, ФСТЭК России, Павел Новожилов

Подписаться на наш канал в Яндекс.Дзене

Документы по теме:

Источник: https://www.garant.ru/ia/opinion/author/novozhilov/1412855/

Как собирать и обрабатывать персональные данные, не нарушая закон?

Способы сбора персональных данных

С 1 июля 2017 года вступают в силу изменения в статью 13.11. КоАП РФ, устанавливающие новые санкции за нарушение законодательства в области персональных данных. Появилось 6 новых составов административных правонарушений в рамках данной статьи. Увеличены штрафы в десятки раз!

Например, при сборе персональных данных при отсутствии на сайте условий о конфиденциальности или порядка обработки данных о пользователях, индивидуального предпринимателя могут оштрафовать на 10000 рублей, а юридическое лицо – на 30000 рублей.

Если же заниматься обработкой персональных данных без письменного на то согласия, то штраф может достигать 75000 рублей! Должностному лицу, к которым относится как директор, так и индивидуальный предприниматель, придётся выложить 20000 рублей.

При наличии нескольких нарушений законодательства в области защиты персональных данных контролирующие органы могут наложить несколько штрафов.

В зоне риска прежде всего владельцы многочисленных сайтов, где предусмотрена регистрация, оформление заказов, прием заявок. Именно так чаще всего собираются персональные данные о человеке в Интернете.

Чтобы избежать ответственности за нарушения в области защиты персональных данных, мы расскажем об основных требованиях, предъявляемых государством к операторам персональных данных – всем тем, кто занимается получением, обработкой и хранением информации о гражданах РФ.

А также расскажем, что должно быть отражено в положении об обработке персональных данных.

Что такое персональные данные?

Источником информации для данной статьи послужил Федеральный закон “О персональных данных” от 27.07.2006г. №152. Далее по тексту, ссылаясь на закон, мы будем подразумевать именно его.

Законом дано определение понятия персональных данных. К ним относится любая информация, относящаяся прямо или косвенно к определенному физическому лицу. Такое лицо является субъектом персональных данных. В тоже время законом не раскрывается конкретный перечень сведений, относящихся к персональным данным. Представляется, что к персональным данным можно отнести:

  1. Фамилию, имя, отчество;
  2. Адрес места жительства или проживания;
  3. Адрес электронной почты;
  4. Контактный телефон;
  5. Дата и место рождения;
  6. Паспортные данные;
  7. Сведения о воинской обязанности;
  8. Фотографии;
  9. Ссылки на аккаунты в соцсетях;
  10. Сведения об образовании, профессии, опыте работы;
  11. Сведения о финансовом состоянии;
  12. Сведения о семейном положении.

Указанный выше перечень достаточно условный и предусматривает наиболее часто собираемые данные. Они относятся к общим персональным данных.

Есть еще и специальные персональные данные, сбор, обработка и хранение которых не допускается, за исключением некоторых случаев. К таким данным относятся данные о расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни.

Также есть и биометрические персональные данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Они могут собираться только при наличии письменного согласия.

Какую бы информацию о человеке вы не собирали, для ее получения всегда требуется согласие субъекта персональных данных.

Кто относится к операторам персональных данных?

Оператором персональных данных может быть любое лицо, осуществляющее обработку этих данных. Это могут быть как юридические, так и физические лица.

Если на вашем сайте можно зарегистрироваться, оставить заявку на обратный звонок, оформить заказ, приобрести какой-либо товар, подписаться на рассылку, заполнить анкету, пройти опрос, то вас можно смело отнести к оператором персональных данных.

Независимо от того, кто осуществляет администрирование сайта, ответственным лицом за нарушение законодательства о персональных данных будет признан непосредственно владелец сайта (юридическое или физическое лицо).

Кто осуществляет контроль в области защиты персональных данных?

В настоящее время уполномоченным органом на проведение проверок и составление протоколов об административных правонарушениях являются органы прокуратуры.

Однако с 1 июля 2017 года выписывать протоколы об административных правонарушениях будет Роскомнадзор. Передача функций этому органу позволит эффективнее и быстрее привлекать к ответственности нарушителей законодательства о персональных данных.

Почему быстрее? Сократится цепочка уполномоченных органов, задействованных в расследовании нарушений в этой сфере.

Раньше Роскомнадзор обращался в Прокуратуру, затем Прокуратура передавала материалы в суд. Сейчас Роскомнадзор будет передавать материалы по административным правонарушениям не в Прокуратуру, а напрямую в суд.

Ожидается, что Роскомнадзор поставит на поток привлечение владельцев сайтов к административной ответственности за нарушение законодательства в области обработки персональных данных.

Нарушителей будет выявляться больше, бюджет РФ будет систематически пополняться штрафами по ст. 13.11 КоАП РФ.

Что необходимо сделать для соблюдения законодательства о персональных данных?

Чтобы неукоснительно соблюдать требования законодательства, мы рекомендуем:

  1. Разместить на сайте в открытом доступе положение об обработке персональных данных, ознакомившись с которым пользователь сайта сможет выразить свое согласие на обработку персональных данных. Вы можете получить такое согласие, разместив флажок ознакомления с указанным положением, нажатие на который, приведет к автоматическому согласию с условиями использования его персональных данных.
  2. Запрашивать только те данные, которые необходимы для достижения ваших целей. Не следует для оформления простой подписки на рассылку по электронной почте запрашивать паспортные данные. Эта излишняя информация может стать основанием для привлечения вас к административной ответственности.
  3. Предоставлять субъекту персональных данных информацию о том, какие сведения о нём хранятся в ваших базах данных, для чего вы обрабатываете полученную информацию и кому вы её передавали.
  4. Удалить всю информацию о пользователе после получения соответствующего запроса.
  5. Осуществлять хранение персональных данных в защищённом месте, исключающем доступ третьих лиц.
  6. Разработать положение об обработке персональных данных и ознакомить с ним своих работников под роспись.
  7. Зарегистрироваться в качестве оператора персональных данных в Роскомнадзоре.

Что должно быть отражено в положении об обработке персональных данных?

Размещая на сайте положение об обработке персональных данных, не забудьте в нем указать:

  1. Исчерпывающий перечень запрашиваемой информации;
  2. Конкретные цели сбора этой информации;
  3. Порядок обработки персональных данных с указанием исчерпывающего перечня действий, которые могут осуществляться с персональными данными;
  4. Наименование и адрес организации, осуществляющей на обработку персональных данных;
  5. Срок, в течение которого действует согласие на обработку персональных данных, способ отзыва согласия.

Подробнее о регистрации в качестве оператора персональных данных в Роскомнадзоре

По закону оператор персональных данных должен уведомить Роскомнадзор о желании заниматься обработкой персональных данных до начала обработки. Уполномоченный орган внесёт информацию в реестр операторов персональных данных и будет выдавать любому лицу информацию об операторах при вводе наименования организации, ИНН или регистрационного номера.

Законом также предусмотрены случаи, когда Роскомнадзор уведомлять необязательно. Например, в случае обработки персональных данных:

  1. Работников в соответствии с Трудовым кодексом РФ.
  2. Стороны по договору, если персональные данные не распространяются, не передаются третьим лицам без письменного согласия и используются исключительно в целях исполнения договора.
  3. Членов общественных общественного объединения или религиозной организации, если персональные данные не распространяются, не передаются третьим лицам без согласия субъекта персональных данных, используются исключительно для достижения целей, предусмотренных учредительными документами.
  4. Сделанных субъектом персональных данных доступными широкому кругу лиц.
  5. Включающих только фамилии, имена и отчества субъектов персональных данных.
  6. Необходимых для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  7. Включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  8. Обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
  9. Обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Если вы не знаете подпадаете ли вы под указанный выше перечень, советуем подать в Роскомнадзор уведомление о включении в реестр операторов персональных данных.

Обязан ли я хранить персональные данные на российских серверах?

В Законе сказано, что при сборе персональных данных оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Таким образом, собирать, обрабатывать и хранить базу персональных данных о российских гражданах можно только на серверах, размещённых в России.

Если у вас сайт находится на иностранном хостинге, и вы при этом осуществляете сбор и обработку данных о гражданах РФ, то ваш домен могут включить в Реестр нарушителей прав субъектов персональных данных. Ведением этого реестра занимается также Роскомнадзор. Попасть в него легко.

Достаточно нарушить требования законодательства в области защиты персональных данных, дождаться, когда на вас обратит внимание Роскомнадзор, а суд вынесет соответствующее решение.

В тоже время законодатель предусмотрел возможность трансграничной передачи персональных данных граждан РФ на территорию иностранных государств. Отдельного разрешения на такую передачу у Роскомнадзора запрашивать не требуется. Трансграничная передача данных допускается, если:

  1. Есть письменное согласие на такую передачу данных.
  2. Она предусмотрена международным договором или федеральными законами.
  3. Она необходима для исполнения договора, стороной которого является владелец данных, или требуется для защиты его жизни, здоровья и иных жизненно важных интересов, при невозможности получения согласия в письменной форме.

Но имейте ввиду, что передача данных о гражданах РФ на иностранные серверы должна отвечать конкретным и законным целям. Если даже вы получите письменное согласие, но обработка, сбор и хранение данных за рубежом будут признаны необоснованными, то можно оказаться в числе нарушителей Закона “О персональных данных” со всеми вытекающими последствиями.

Минкомсвязи России дало некоторые разъяснения по вопросу практического применения Закона “О персональных данных”, но они вряд ли чем помогут. Уж больно много в них противоречий. Если вы не можете сменить хостера, или без трансграничной передачи персональных данных никак не обойтись, советуем задать все интересующие вопросы напрямую в Минкомсвязь и (или) в Роскомнадзор.

Всё очень сложно? Вы не знаете как собирать и обрабатывать персональные данные правильно?

Для соблюдения требований законодательства в области защиты персональных данных без компетентного специалиста не обойтись.

Можно, конечно, использовать готовые положения о конфиденциальности, взяв их с различных сайтов. Но их использование не гарантирует, что вы не будете привлечены к административной ответственности.

Уж очень много в Законе специфичных требований и обязанностей операторов персональных данных.

Поэтому наши юристы готовы проконсультировать вас относительно действующего законодательства, составить положение об обработке персональных данных, о работе с персональных данными, другие локальные нормативные акты (если они у вас отсутствуют), а также проверить действующие положения об обработке персональных данных на соответствие законодательству. Обращайтесь – мы будем рады вам помочь!

Источник: https://argumentplus.ru/blog/information-security/personal-data.html

Правила сбора и обработки персональных данных на сайте: как не нарушить закон

Способы сбора персональных данных

Многие из нас постоянно регистрируются на разных ресурсах в Сети, подписываются на рассылки, заполняют формы и оставляют комментарии. Все эти действия так или иначе подразумевают сбор персональных данных. Мы расскажем, как обрабатывать персональные данные пользователей сайта и при этом избежать серьёзных нарушений и штрафов.

Если вы собираете данные пользователей из России, то основной документ, на который нужно полагаться — Федеральный закон № 152-ФЗ «О персональных данных». Давайте разберёмся, в чём его суть и как организовать сбор персональных данных законным путём.

Что такое персональные данные?

В соответствии с определением вышеупомянутого закона: «Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)». 

То есть, к персональным данным (далее ПД) можно отнести: ФИО, дату рождения, телефон, адрес, ИНН, сведения о работе, ссылки на аккаунты в соцсетях или личный сайт и другую подобную информацию. 

На любые данные найдётся тот, кто их обрабатывает — то есть делает все те вещи, которые описаны в соглашениях на обработку ПД (вы наверняка это знаете, если когда-нибудь читали подобные документы).

[attention type=red]
А именно сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение. Человек, обрабатывающий ПД, называется оператором персональных данных.
[/attention]

Он несёт ответственность за незаконную обработку ПД и может быть как юридическим, так и физическим лицом.

Вас можно считать оператором персональных данных, если на вашем сайте есть формы:

  • подписки на рассылку;
  • регистрации личного кабинета;
  • заявки или обратной связи;
  • системы онлайн-чата или онлайн-консультанта;
  • размещения комментариев.

Обратите внимание, что не все данные являются персональными сами по себе, но их совокупность позволяет им приобрести такой статус. Например, если пользователь укажет только своё имя, то этого явно не хватит для идентификации его личности.

А вот имя и e-mail уже дают более полноценное определение.

В то же время такие сведения, как номер телефона или ИНН, сами по себе уже являются ПД, так как при наличии доступа к соответствующей базе данных они позволяют получить полную информацию о человеке.

Поэтому определить, являетесь ли вы оператором ПД, можно в зависимости от того, какие именно данные вы собираете через формы обратной связи на сайте.

Что делать, если я обрабатываю ПД у себя на сайте?

Собирая информацию о пользователях, вы можете задаться вопросом: «Как обрабатывать ПД, чтобы избежать штрафных санкций?». Сущесвтует ряд условий обработки персональных данных для сайта. Вам необходимо:

  1. Установить защищённый протокол передачи персональных данных на сайте (SSL-сертификат). В выборе сертификата вам поможет хостинг-провайдер: например в REG.RU базовый SSL-сертификат можно получить даже бесплатно.
  2. Составить политику конфиденциальности и разместить её на сайте.
  3. Спрашивать согласие посетителей на обработку их ПД.
  4. Уведомить Роскомнадзор, что вы собираете персональные данные.

На всякий случай подчеркнём, что нужно выполнить все эти шаги. Пройдёмся по каждому из пунктов.

SSL-сертификат

SSL-сертификат — стандарт безопасности для обмена данными между сайтом и пользователем. Главное преимущество SSL-сертификата — зашифрованное соединение, которое защищает трафик, не давая перехватить его и использовать оставленные на сайте персональные данные в мошеннических целях.

Критически важно перейти на протокол SSL всем сайтам, где есть информация первой и второй категории (подробнее о категориях информации можно узнать здесь). Это, например, данные банковских карт, логины и пароли от аккаунтов, формы с указанием полного имени и адреса и прочее.

Политика конфиденциальности

Составляя политику конфиденциальности, обратите внимание на принципы обработки персональных данных. В ней необходимо указать следующую информацию:

  1. Наименование оператора обработки персональных данных. Если сайт принадлежит ИП или просто физическому лицу — указать ФИО, если юридическому лицу — название компании и ИНН.
  2. Адрес оператора: юридический (для юридических лиц) или фактический (для физических лиц).
  3. Список собираемых данных: ФИО, почта, телефон, файлы-cookies, паспортные данные и другое. Список должен быть максимально полным и подробным. 
  4. Цель сбора данных. Обязательно укажите, для чего будут использоваться ПД. Собирайте только необходимые данные.
  5. Сроки обработки данных. Персональные данные после их использования по назначению подлежат удалению. Их обработка возможна только в течение ограниченного времени. 
  6. Факт привлечения третьих лиц к обработке данных. Сюда относятся также различные партнёрские программы, например партнёрская программа REG.RU. Если вы приводите новых клиентов в другую компанию, то она является третьим лицом, которое будет обрабатывать ПД.
  7. Свои контактные данные. В реквизитах политики конфиденциальности укажите контакты, по которым с вами можно связаться. Такая информация будет полезна для ваших клиентов, если они захотят удалить или изменить свои персональные данные.
  8. Меры обеспечения безопасности данных. Расскажите клиентам, что их персональные данные хранятся на защищённых серверах, располагающихся на территории России (да, по закону хранить данные российских граждан можно только на серверах, находящихся в РФ).

Посетители вашего сайта должны иметь возможность беспрепятственно ознакомиться с политикой конфиденциальности, поэтому мы советуем разместить её в футере каждой страницы.

Согласие на обработку персональных данных

В соответствии с законом «О персональных данных» пользователь должен самостоятельно решать, предоставлять ли вам свои данные, и давать согласие на их обработку.

При этом согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Сделайте чекбокс с уведомлением о том, что клиент соглашается на обработку ПД и ознакомлен с политикой конфиденциальности (не забудьте дать на неё ссылку).

Посетитель сайта должен самостоятельно поставить галочку в чекбоксе, и делать это за него мы не рекомендуем.

Но есть ряд случаев, когда согласие на обработку ПД можно получить и другим способом. К ним относится, например, подписание договора, одной из сторон которого является пользователь. 

Уведомление Роскомнадзора

Закон «О персональных данных» гласит, что вам необходимо уведомить Роскомнадзор о сборе и обработке персональных данных посетителей вашего сайта. Сделать это можно через специальную форму.

Но есть и исключения, когда уведомлять Роскомнадзор не обязательно. Среди них, например, обработка общедоступной информации (то есть той, которую пользователь сделал доступной для неопределённого круга лиц, например данные о себе, опубликованные на личном сайте или в открытом профиле социальной сети) или данных, включающих в себя только ФИО.

Выводы

1. Персональные данные — это любая информация, по которой можно прямо или косвенно определить человека.

2. Если вы обрабатываете ПД — подключите к сайту SSL-сертификат, разместите политику конфиденциальности и уведомите Роскомнадзор.

3. У посетителей сайта необходимо брать согласие на обработку персональных данных — разместите под формой ввода данных соответствующую строку с чекбоксом и ссылкой на политику конфиденциальности.

4. Храните персональные данные людей, проживающих в РФ, на серверах, располагающихся на территории России.

Источник: https://www.REG.ru/blog/kak-sobirat-personalnye-dannye-polzovatelej-na-sajte-ne-narushaya-zakon/

Как собирать персональные данные пользователей на сайте, не нарушая закон

Способы сбора персональных данных

Многие из нас постоянно регистрируются на разных ресурсах в Сети, подписываются на рассылки, заполняют формы и оставляют комментарии. Все эти действия так или иначе подразумевают сбор персональных данных. Мы расскажем, как обрабатывать персональные данные пользователей сайта и при этом избежать серьёзных нарушений и штрафов.

Правила сбора и обработки персональных данных на сайте

Если вы собираете данные пользователей из России, то основной документ, на который нужно полагаться — Федеральный закон № 152-ФЗ «О персональных данных». Давайте разберёмся, в чём его суть и как организовать сбор персональных данных законным путём.

Что такое персональные данные?

В соответствии с определением вышеупомянутого закона: «Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)».

То есть, к персональным данным (далее ПД) можно отнести: ФИО, дату рождения, телефон, адрес, ИНН, сведения о работе, ссылки на аккаунты в соцсетях или личный сайт и другую подобную информацию. 

На любые данные найдётся тот, кто их обрабатывает — то есть делает все те вещи, которые описаны в соглашениях на обработку ПД (вы наверняка это знаете, если когда-нибудь читали подобные документы).

[attention type=red]
А именно сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение. Человек, обрабатывающий ПД, называется оператором персональных данных.
[/attention]

Он несёт ответственность за незаконную обработку ПД и может быть как юридическим, так и физическим лицом.

Вас можно считать оператором персональных данных, если на вашем сайте есть формы:

  • подписки на рассылку;
  • регистрации личного кабинета;
  • заявки или обратной связи;
  • системы онлайн-чата или онлайн-консультанта;
  • размещения комментариев.

Как собирать персональные данные пользователей на сайте, не нарушая закон

Обратите внимание, что не все данные являются персональными сами по себе, но их совокупность позволяет им приобрести такой статус. Например, если пользователь укажет только своё имя, то этого явно не хватит для идентификации его личности.

А вот имя и e-mail уже дают более полноценное определение.

В то же время такие сведения, как номер телефона или ИНН, сами по себе уже являются ПД, так как при наличии доступа к соответствующей базе данных они позволяют получить полную информацию о человеке.

Поэтому определить, являетесь ли вы оператором ПД, можно в зависимости от того, какие именно данные вы собираете через формы обратной связи на сайте.

Что делать, если я обрабатываю ПД у себя на сайте?

Собирая информацию о пользователях, вы можете задаться вопросом: «Как обрабатывать ПД, чтобы избежать штрафных санкций?». Сущесвтует ряд условий обработки персональных данных для сайта. Вам необходимо:

  • Установить защищённый протокол передачи персональных данных на сайте (SSL-сертификат). В выборе сертификата вам поможет хостинг-провайдер: например в REG.RU базовый SSL-сертификат можно получить даже бесплатно.
  • Составить политику конфиденциальности и разместить её на сайте.
  • Спрашивать согласие посетителей на обработку их ПД.
  • Уведомить Роскомнадзор, что вы собираете персональные данные.

На всякий случай подчеркнём, что нужно выполнить все эти шаги. Пройдёмся по каждому из пунктов.

SSL-сертификат

SSL-сертификат — стандарт безопасности для обмена данными между сайтом и пользователем. Главное преимущество SSL-сертификата — зашифрованное соединение, которое защищает трафик, не давая перехватить его и использовать оставленные на сайте персональные данные в мошеннических целях.

Критически важно перейти на протокол SSL всем сайтам, где есть информация первой и второй категории (подробнее о категориях информации можно узнать здесь). Это, например, данные банковских карт, логины и пароли от аккаунтов, формы с указанием полного имени и адреса и прочее.

Как собирать персональные данные пользователей на сайте, не нарушая закон

Политика конфиденциальности

Составляя политику конфиденциальности, обратите внимание на принципы обработки персональных данных. В ней необходимо указать следующую информацию:

  • Наименование оператора обработки персональных данных. Если сайт принадлежит ИП или просто физическому лицу — указать ФИО, если юридическому лицу — название компании и ИНН.
  • Адрес оператора: юридический (для юридических лиц) или фактический (для физических лиц).
  • Список собираемых данных: ФИО, почта, телефон, файлы-cookies, паспортные данные и другое. Список должен быть максимально полным и подробным. 
  • Цель сбора данных. Обязательно укажите, для чего будут использоваться ПД. Собирайте только необходимые данные.
  • Сроки обработки данных. Персональные данные после их использования по назначению подлежат удалению. Их обработка возможна только в течение ограниченного времени. 
  • Факт привлечения третьих лиц к обработке данных. Сюда относятся также различные партнёрские программы, например партнёрская программа REG.RU. Если вы приводите новых клиентов в другую компанию, то она является третьим лицом, которое будет обрабатывать ПД.
  • Свои контактные данные. В реквизитах политики конфиденциальности укажите контакты, по которым с вами можно связаться. Такая информация будет полезна для ваших клиентов, если они захотят удалить или изменить свои персональные данные.
  • Меры обеспечения безопасности данных. Расскажите клиентам, что их персональные данные хранятся на защищённых серверах, располагающихся на территории России (да, по закону хранить данные российских граждан можно только на серверах, находящихся в РФ).

Посетители вашего сайта должны иметь возможность беспрепятственно ознакомиться с политикой конфиденциальности, поэтому мы советуем разместить её в футере каждой страницы.

Согласие на обработку персональных данных

В соответствии с законом «О персональных данных» пользователь должен самостоятельно решать, предоставлять ли вам свои данные, и давать согласие на их обработку.

При этом согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Сделайте чекбокс с уведомлением о том, что клиент соглашается на обработку ПД и ознакомлен с политикой конфиденциальности (не забудьте дать на неё ссылку).

Посетитель сайта должен самостоятельно поставить галочку в чекбоксе, и делать это за него мы не рекомендуем.

Как собирать персональные данные пользователей на сайте, не нарушая закон

Но есть ряд случаев, когда согласие на обработку ПД можно получить и другим способом. К ним относится, например, подписание договора, одной из сторон которого является пользователь. 

Уведомление Роскомнадзора

Закон «О персональных данных» гласит, что вам необходимо уведомить Роскомнадзор о сборе и обработке персональных данных посетителей вашего сайта. Сделать это можно через специальную форму.

Но есть и исключения, когда уведомлять Роскомнадзор не обязательно. Среди них, например, обработка общедоступной информации (то есть той, которую пользователь сделал доступной для неопределённого круга лиц, например данные о себе, опубликованные на личном сайте или в открытом профиле социальной сети) или данных, включающих в себя только ФИО.

Выводы

1. Персональные данные — это любая информация, по которой можно прямо или косвенно определить человека.

2. Если вы обрабатываете ПД — подключите к сайту SSL-сертификат, разместите политику конфиденциальности и уведомите Роскомнадзор.

3. У посетителей сайта необходимо брать согласие на обработку персональных данных — разместите под формой ввода данных соответствующую строку с чекбоксом и ссылкой на политику конфиденциальности.

4. Храните персональные данные людей, проживающих в РФ, на серверах, располагающихся на территории России.

Оригинал материала и ещё больше полезностей в блоге REG.RU

Понравился материал? Поделись с друзьями! Дальше будет больше полезных статей

Источник: https://zen.yandex.ru/media/id/5e4587dafc020165b28bdb8e/kak-sobirat-personalnye-dannye-polzovatelei-na-saite-ne-narushaia-zakon-5f3a33dcbd37fa1491b2e8ab

Поделиться:
Нет комментариев

Добавить комментарий

Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.