Чтобы стать оператором персональных данных, достаточно записать номер телефона клиента — даже в этом случае компания обязана выполнять требования ФЗ № 152 «О персональных данных». За соблюдением закона следит Роскомнадзор, он же штрафует за нарушения — для юрлиц штрафы могут достигать 500 000 ₽. Чтобы избежать неприятных последствий, Комитет по медиакоммуникациям Тамбовской областной ТПП инициировал мероприятие, где представитель Роскомнадзора подробно рассказала о том, как работать с персональными данными и соблюдать 152-ФЗ.
Персональные данные можно получать через формы, которые заполняют посетители сайта, и автоматически, без участия пользователя. В первом случае человек сам передаёт вам свои данные, например, для оформления заказа. Чаще всего это email, телефон, ФИО. Автоматически персональные данные посетителей сайта собираются при помощи cookie — это файла с данными, который сохраняется на компьютере пользователя после посещения сайта. На практике Роскомназдор признает обработку информации, собираемой при помощи куки, обработкой персональных данных.
Как владельцам сайтов не нарушить закон об обработке персональных данных и избежать штрафов?
1.Создайте политику обработки персональных данных и разместите её на отдельной странице сайта
Это документ, в котором описано, какие именно данные и для какой цели вы собираете, как храните и обрабатываете, а также кому вы можете передавать эти данные. Политика обязательно должна содержать:
ссылку на сайт, к которому она применяется;
ФИО или название организации, которая получает согласие посетителя сайта;
цели обработки персональных данных.
2. Добавьте ссылку на политику обработки персональных данных в футер сайта (раздел, который размещается внизу каждой страницы сайта)
Политика должна быть доступна на каждой странице, где собираются данные пользователей.
3. Под каждой формой сбора данных разместите предупреждающий текст о сборе персональных данных
Для этого разместите рядом с кнопкой чек-бокс, где пользователь сможет поставить галочку, и текст «Даю согласие на обработку своих персональных данных». Если на сайте есть пользовательское соглашение (оферта), добавьте на него ссылку в текст. Если нет — на отдельной странице сайта разместите текст согласия на обработку персональных данных и добавьте на него ссылку под форму.
4. Показывайте всем новым пользователям сайта предупреждение о том, что вы собираете cookie
5. Подайте уведомление, чтобы внести компанию в реестр операторов персональных данных Роскомнадзора
Владелец сайта должен уведомить Роскомнадзор об обработке персональных данных. Это можно сделать на портале персональных данных. Если оператор уже подал такое уведомление — это нужно сделать заново по новой форме, утверждённой Приказом Роскомнадзора от 28.10.2022 № 180.
В законе есть три исключения, когда можно не подавать уведомление:
когда обрабатываемые данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
когда данные обрабатываются в рамках исполнения законодательства по устойчивому функционированию транспорта и обеспечению на нем безопасности;
когда персональные данные обрабатываются без использования средств автоматизации — только на материальных носителях.
6. Создайте регламент ответов на запросы посетителей сайта
Пользователи могут запрашивать у владельцев сайта, для каких целей собирают их данные, как они обрабатываются, где хранятся и так далее. Раньше у компании был месяц для ответа на обращение, теперь — 10 рабочих дней. Если человек потребует прекратить обработку его персональных данных — оператор обязан это сделать также в течение 10 дней.
Выше мы назвали главные требования, которые Роскомнадзор предъявляет ко всем сайтам — неважно, физическое вы лицо или юридическое. Ниже еще несколько групп требований, которые должны дополнительно выполнять юридические лица.
Что нужно еще сделать компаниям:
Назначить ответственных лиц и разработать пакет внутренних документов, регламентирующих процессы обработки и защиты персональных данных.
Подписать с сотрудниками согласие на обработку персональных данных и под роспись ознакомить их с внутренними документами по персональным данным.
Если произошла утечка персональных данных, оператор теперь обязан в течение 24 часов уведомить РКН: сообщить предполагаемые причины утечки и оценить вред. Затем в течение 72 часов провести расследование инцидента и сообщить о его результатах.
4 Защитить персональные данные техническими и организационными мерами: антивирусными системами, средствами межсетевого экранирования, разграничить права доступа.