Материалы для РО

Минимальные требования владельцам сайтов для исполнения Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»

Анатолий Савельев


Минимальные требования владельцам сайтов для исполнения Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»


В предыдущих статьях мы рассмотрели деятельность в сети в контексте исполнения экстремистского законодательства и ФЗ «О свободе совести и религиозных объединений» 
Сегодня начнем рассматривать законодательство, которое регулирует обработку персональных данных в сети «Интернет».
Напомню, что с 01.07.2017 года в силу вступили новые изменения в статью 13.11
Кодекса об административных правонарушениях (КоАП) регулирующую ответственность за соблюдение законодательства о персональных данных. Штрафы увеличились до 75 000, проверка для органов Роскомнадзора стала проще: достаточно зафиксировать отсутствие важных на сайте форм, документов, ссылок с помощью скриншота.
Начнём с определения: 
Персональные данные – это совокупность данных, которые необходимы и достаточны для идентификации человека, например:
  • ФИО;
  • дата рождения;
  • телефон;
  • адрес;
  • электронная почта;
  • фотографии;
  • ссылки на аккаунты в соцсетях или личный сайт;
  • IP-адрес, геотеги, cookies и т.д.;
  • список можно продолжать очень долго. Исчерпывающего списка персональных данных нет.
Стоить отметить, что по отдельности большинство перечисленных данных не считаются персональными. Нельзя определить человека только по дате рождения или только по email-адресу. И даже по ФИО нельзя — есть одинаковые. Хотя, как показывает судебная практика, ФИО признавались как персональные данные в определенных случая, например, когда речь шла о небольшой группе людей: жителей небольшой деревни, где проживает несколько сотен человек и там легко определить конкретного человека по ФИО. 
Как правило, чтобы перечисленные данные стали персональными нужна связка для идентификации, например, от человека обязательно требуется указать на сайте имя и email — это уже персональные данные.
Таким образом, если на вашем сайте размещены виджеты обратно звонка, предложения подписаться на электронную рассылку, формы регистрации на мероприятия, формы обратной связи и другие. А также если установлены метрики по сбору данных с пользователей в виде их поведения на сайте (Яндекс Метрика, Google Analytics и другие). Вам требуется выполнить рекомендации о которых будем говорить ниже и в следующих статьях.

Перейдем к практическим рекомендациям:
Первое, что необходимо сделать: составить политику в отношении обработки персональных данных и разместить её на сайте.
В политике указаны принципы обработки персональных данных, которые устанавливаются законом 152-ФЗ в статье 5.
На официальном сайте Роскомнадзора размещены рекомендации по составлению данной политики (или как его называет РКН: документ, определяющий политику оператора в отношении обработки персональных данных). Рекомендации размещены в виде документ в формате “doc”, который можно скачать по следующей ссылки: https://rkn.gov.ru/personal-data/p908/ 
Примерная структура политики должна состоять из следующих пунктов:
Укажите термины и их определения, например: администрация сайта, пользователь, персональные данные, обработка персональных данных, конфиденциальность персональных данных, cookies, IP-адрес.
Перечислите категории персональных данных, которые вы собираете и обрабатываете (имя, электронная почта, номер телефона и так далее). 
Укажите цели сбора персональных данных. Основная цель — предоставление доступа к функциональности сайта.
Установите условия обработки персональных данных. Укажите сроки обработки, порядок охраны и основные нормативные акты, на основе которых составлен режим обработки персональных данных.
Предоставьте пользователям возможность удалить свои персональные данные при обращении. 
Укажите меры по защите персональных данных. 
Добавьте дополнительную информацию. Например, порядок изменения условий политики и разрешения споров.
Более подробно см. в рекомендациях от РКН.
Две частые ошибки, которые встречаются при составлении политики:
1. Необходимо указать действующий электронный адрес для обращений пользователей по персональным данным. Как правило в РКН обращаются владельцы персональных данных, когда не получают ответ на запрос от организации (например, хотят удалить свои ПД). Поэтому проверяйте адрес, который вы указали в политике. В случае изменения (переехали на другой почтовый сервис) незамедлительно меняйте данные в политике.
2. Нельзя копировать политику обработки персональных данных с других сайтов. И пользоваться документом, заменив только название компании. Ваша работа с данными может существенно отличаться от других организаций. В моей практике часто встречаются случаи, когда после копирования, остаются прежние наименования организаций и много других курьезных моментов.
Рекомендации при размещении политики:
1. Разместите текст политики на отдельной странице сайта;
2. Ссылку на политику поставьте в «подвале» (нижней части) сайта;
Таким образом у пользователей будет возможность познакомиться с политикой на каждой странице вашего сайта.
Кодекс об административных правонарушениях предусматривает штраф, если данная политика не будет размещена на сайте, статья 13.11 ч.3:
3.Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных -
влечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц - от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от пяти тысяч до десяти тысяч рублей; на юридических лиц - от пятнадцати тысяч до тридцати тысяч рублей.
Интернет