Касается каждого сайта: как не нарушить закон о персональных данных
С 1 июля 2017 года произошло ужесточение законодательства, касающееся персональных данных пользователей сайтов. Штрафы за нарушение ФЗ-152 значительно увеличились, при этом порядок возбуждения административного дела стал проще. Отныне Роскомнадзору не требуется участие Прокуратуры, для того чтобы привлечь к ответственности владельцев сайта. Если ранее размер штрафов чаще всего не превышал 10 000 рублей, то теперь он может легко дойти до 300 000 рублей. Штрафы по различным составам закона могут складываться частично или полностью.
На самом деле закону N 152-фз «О персональных данных» больше десятка лет, все это время в нем происходили непрерывные изменения. Наверное, его реальное применение так и осталось бы скорее диковинкой судебной практики, если бы не общемировой тренд на регулирование данного аспекта, который затронул и Россию.
Что является персональными данными?
Закон 152-ФЗ «О персональных данных» говорит нам что:
Эта формулировка достаточно размытая, но из существующих прецедентов можно сделать вывод, что суды и Роскомнадзор считают персональными данными любую информацию, вплоть до имени пользователя.
Таким образом, если на вашем сайте присутствуют:
- форма обратной связи;
- подписка на рассылку;
- форма комментирования.
В сочетании с автоматически передаваемыми cookie и другими метаданными - это будет являться персональными данными.
Что делать владельцу сайта, чтобы избежать штрафа
- Дополните ваш сайт разделом с политикой конфиденциальности, который будет содержать информацию о том, какие вы собираете данные, с какой целью, какая часть из них обрабатывается вами, а какая передается другим агентам, какие меры вы принимаете по безопасности хранения и какую ответственность на себя берете. На этом этапе вам, скорее всего, будет необходима консультация специалиста по защите информации.
- Разместите ссылку на раздел с политикой конфиденциальности на каждой странице сайта.
- Во все формы взаимодействия с пользователем сайта добавьте чекбокс с текстом: «Даю согласие на обработку персональных данных». Он также должен содержать.ссылку на политику конфиденциальности.
- Посетителю, впервые зашедшему на сайт, необходимо показать предупреждение о том, что сайт собирает информацию из параметров браузера. Реализовать это можно, например, с помощью всплывающего окна.
- Сайт должен быть размещен на российском хостинге. Уточните у вашего провайдера, где физически размещены их сервера.
- Для внутреннего использования разработать регламент обработки и хранения и защиты персональных данных.
- Оповестите посетителя о сборе cookie. Пример текста: «Согласно ФЗ-152 уведомляем, что наш сайт собирает cookie, данные об IP-адресе и местоположении пользователей. Если вы не хотите, чтобы эти данные обрабатывались, пожалуйста, покиньте сайт. Я согласен(а) на обработку персональных данных. Закрыть [x]
Этих действий будет достаточно для того, чтобы ваш сайт не нарушил закон 152-ФЗ «О персональных данных».