С 1 марта 2021 года произошли изменения в ФЗ № 152. Подробнее о них и несоблюдении новых условий мы рассказали в этой статье
Все, наверное, уже слышали, что 01.07.2017 152-ФЗ «О персональных данных» был изменен и доработан. Штрафы увеличились до 75 000, проверка для органов Роскомнадзора стала проще: достаточно зафиксировать отсутствие важных на сайте форм, документов, ссылок с помощью скриншота. Важно, что за каждое даже незначительное несоответствие составляется отдельный штраф. Так что итоговая сумма может стать заоблачной. Итак, разбираемся с 152-ФЗ, политикой конфиденциальности и требованиями к сайтам.
Что считается персональными данными по 152-ФЗ
Любая информация о физическом лице: имя, фамилия, отчество; дата, месяц, год рождения; номер телефона; email; адрес проживания; любое социальное положение; образование; профессия. В эту категорию относятся куки-файлы, геопозиция, IP-адрес и информация о поведенческих факторах пользователя.
Теперь все сайты, собирающие базу подписчиков, и интернет-магазины обязаны размещать информацию о персональных данных и их защите. А сами персональные данные должны обрабатываться только с согласия оставившего их пользователя. Такое согласие можно получать с помощью «галочки» под формами.
Кому нужна политика конфиденциальности?
Выходит, даже если у вас на сайте есть обратный звонок, вы автоматические становитесь оператором персональных данных. И данные, накопленные на вашем сайте, должны обрабатываться по 152-ФЗ.
Чтобы не схлопотать штраф до 75 000 рублей и возбуждение административного дела, на сайте интернет-магазина должны быть:
1. Документ о Политике конфиденциальности
Документ по обработке персональных данных интернет-магазина должен быть размещен в свободном доступе. Все подробные условия текста можно прочитать на сайте Роскомнадзора или на сайте «КонсультантПлюс». Примеры Политики конфиденциальности смотрите в крупных федеральных компаниях – там они хорошо проработаны.
В тексте должны быть следующие пункты:
- каким образом и для каких целей собираются персональные данные;
- как могут использоваться эти данные;
- что происходит с куки-файлами;
- как данные предоставляются другим организациям;
Важное замечание. Не забывайте заключать соглашение на согласие на обработку персональных данных на сайте со сторонними компаниями, с которыми вы сотрудничаете (служба доставки, банк, хостер и т. д.), об обеспечении безопасности персональных данных. В соглашении должно быть указано, какие персональные данные компания обрабатывает, в каких целях и какие действия с ними выполняет, как должна их защищать.
- сколько хранятся данные и как обеспечивается их защита;
- что не будет происходить с персональными данными;
- контактные данные организации и изменения в Политику конфиденциальности.
В конце текста про политику конфиденциальности добавьте рабочий адрес электронной почты, куда пользователь может обратиться с просьбой удаления, изменения или блокировки данных. Сотрудникам необходимо ежедневно проверять письма, чтобы не пропустить ни один запрос.
Требования к Политике конфиденциальности, чтобы она также помогла вам соблюдать GDPR (если среди ваших клиентов есть клиенты из Европы), можно почитать тут.
2. Ссылка на документ о Политике конфиденциальности с главной страницы
Это нужно для того, чтобы любой пользователь и проверяющий орган увидел, что документ находится в свободном доступе, и его легко найти. Как правило, достаточно разместить общую ссылку в подвале сайта. Например так:
Или так:
3. Надпись или «галочка», которая подтверждает согласие пользователя на обработку персональных данных
Обязательна под каждой формой на сайте.
Например, вот так получают согласие пользователя на обработку персональных данных на сайте интернет-магазина ASOS:
А вот так получают согласие пользователя на сайте интернет-магазина «Эльдорадо»:
Согласие пользователя на обработку персональных данных на сайте «МВидео».
4. Дисклеймер
Это всплывающее сообщение-предупреждение, что на сайте собираются статистические данные. Те самые куки-файлы, информация о геопозиции и поведенческие, о которых мы говорили выше.
Наличие дисклеймера четко не регламентировано, но многие юристы советуют его установить. Чтобы не испугать посетителей сайта, лучше делать его незаметным, настраивать показ окна только новым пользователям и скрывать его от повторных заходов.
Вот так реализовали дисклеймер на сайте интернет-магазина H&M:
А вот дисклеймер сайта Jacobs:
И даже у Сбербанка есть дисклеймер:
И еще важные моменты по 152-ФЗ:
-
Уточните, где физически находится хостинг сайта
Эту информацию вам предоставят специалисты технической поддержки сайта. По новым правилам, хостинг должен располагаться на территории Российской Федерации, чтобы данные хранились в нашей стране. Если базы данных находятся за границей, переезжайте на другой хостинг.
-
Зарегистрируйте себя в Роскомнадзоре в качестве оператора, работающего с персональными данными
Это можно сделать на сайте Роскомнадзора, заполнив форму уведомления. Но предварительно нужно подготовить пакет документов. Далее форму нужно распечатать и отнести в территориальный орган Роскомнадзора. Когда мы ведем подготовку сайтов наших клиентов по ФЗ-152, в тарифе 100% защита даем подробную инструкцию о том, как подать заявку в РКН и предоставляем чек-лист обязательных документов.
-
Не забывайте о биометрических и персональных данных специальных категорий
Если, конечно, ваша деятельность требует такой информации от клиента. Согласите пользователя сайта должно оставляться в письменной форме и только.
Обязательно подготовьте сайт к обработке персональных данных и выполните все пункты, описанные в статье. Если нужна будет помощь – обращайтесь, у нас предусмотрены 3 тарифа, в зависимости от специфики вашего сайта и количества страниц. Защитите сайт со всех сторон. Также проверим вашу Политику конфиденциальности или напишем ее с нуля.
Копирайтер сервиса 1PS.RU
© 1PS.RU, при полном или частичном копировании материала ссылка на первоисточник обязательна