Готовы ли вы к 152-ФЗ?


Много лет я наблюдаю за тем, как развивается тема работы с персональными данными. Все мы помним огромные базы, которые свободно скачивались и по которым можно найти адрес, телефон и прочую информацию о владельце телефонного номера, транспортного средства и много чего ещё. Кому-то это было полезно, однако в целом ситуация была вопиющая.

Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных» начал наступление на разгул наших с вами данных в интернете, тем более что в этот же период начался бурный его рост. Закон определил понятия персональных данных, механизм согласия субъекта персональных данных на обработку этих данных. А главное – начала формироваться система ответственности за нарушения и система работы операторов персональных данных.

Сначала этот порядок начали наводить в госструктурах. В итоге, часть порядка теперь напоминает управляемый хаос. Например, теперь на сайте образовательной организации можно найти координаты учителей. Но разместить фото выдающегося ученика – уже большая проблема.

Потом появились разного рода компании, которые «выстраивают» правильные схемы обработки данных. В итоге бюджеты таких действий выходят за все мыслимые границы. А их эффективность очень сомнительна.

Но что же делать нам, владельцам сайтов и небольших интернет-магазинов? Следует просто понять – персональные данные – это серьёзно. За нарушения могут быть штрафы от 1к до 500к (в зависимости от нарушения и нарушившего). А может быть изъятие средств обработки персональных данных и уголовная ответственность.

Итак – давайте поймём, с чем имеем дело.

Субъект персональных данных – физическое лицо, которое можно однозначно идентифицировать по персональным данным.

Оператор персональных данных – физическое или юридическое лицо, которое производит сбор, обработку и хранение персональных данных.

В случае владельца интернет-ресурса, он практически автоматом становится оператором персональных данных, и обязан следовать букве закона. Хотя бы потому, что в логи сайта попадает IP адрес и система учёта посетителей оставляет на компьютере пользователя «печеньку» (cookie).

Когда возникает ответственность и факт сбора персональных данных? В момент, когда вы спрашиваете посетителя «Как с вами связаться?». Это может быть даже кнопка «Обратный звонок» или «печенька», отправленная в его браузер.

А уж если вы просите адрес, паспортные данные или, не дай бог, информацию о состоянии здоровья – то будьте готовы к тому, что весь комплекс мероприятий, предусмотренных законом для вас, должен быть выполнен.

Итак, этапы работы с персональными данными простыми словами, так сказать русским языком, для владельца сайта, а особенно – интернет-магазина.

  1. Регистрируем себя как оператора персональных данных в Роскомнадзоре. Однако надо учесть, что регистрация как оператора нужна не во всех случаях, здесь лучше проконсультироваться с юристом, появляется ли такая обязанность или нет. Регистрация не нужна, к примеру, если вы обрабатываете данные ТОЛЬКО на бумаге. 🙂
  2. Определяем, находится ли фактически сайт (и база данных о посетителях) на территории РФ. Если нет – переносим в РФ.
  3. Разрабатываем правила пользования сайтом, в котором обговорены ответственности владельца сайта, его посетителей и третьих сторон, если такие имеются.
  4. Определяем систему работы с персональными данными посетителей, обеспечиваем техническую защиту данных и выполняем все необходимые мероприятия, обеспечивающие сохранность персональных данных.
  5. Определяем ответственное лицо (конкретного сотрудника), который курирует вопросы обработки персональных данных.
  6. Разрабатываем правила работы с персональными данными, которые описывают весь цикл жизни данных – от их сбора и заканчивая их уничтожением. В правилах перечисляем все исчерпывающим образом. Также в правилах определяем, каким образом происходит обработка обращения по изъятию (уничтожению) персональных данных.
  7. Разрабатываем форму согласия на обработку персональных данных. Лучше всего ей быть печатным документом или файлом PDF.
  8. Документы из пунктов 3, 6 и 7 размещаем на сайте, на главной странице или в специальном разделе, доступном с главной страницы.
  9. На каждой, именно на каждой форме, где пользователь вводит свои данные для связи, делаем не «чекнутую» галочку с надписью «Я ознакомлен с Правилами сайта, Правилами обработки персональных данных и согласен на обработку моих данных». При этом надо сделать так, чтобы форма не отправлялась без согласия пользователя, и сайт должен сохранить у себя в базе факт согласия для каждой формы.
  10. Хранить у себя все согласия на обработку данных следует даже в случае, если сами данные по просьбе посетителя уже были удалены.

А как быть с «печеньками», которые так заботливо расставляет ваш сайт в браузер посетителя?

О них следует однозначно уведомлять! Вы должны спросить посетителя, согласен ли он на то, что вы оставляете ему «печеньку». В противном случае, если кто-то докажет в суде, что ваш сайт без спроса обрабатывал данные посетителя, а «печенька» почти всегда позволяет вам определять поведение пользователя, то штрафа до 75к не избежать.

В статье 3 закона № 152-ФЗ читаем такое достаточно расплывчатое определение: «Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

Поэтому история (факт) предыдущего появления на сайте, как и любой факт перехода со страницы на страницу, как показывает судебная практика с LinkedIn – персональные данные.

И даже если посетитель зашёл к вам на сайт, и вы просто сохранили этот факт в своих логах – то вы уже обрабатываете персональные данные. В законе говорится, что понятие «обработка» включает «сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных».

Таким образом, создавая сайт, вы де-факто автоматически становитесь оператором персональных данных, какие бы лазейки для самообмана что это не так вы не находили. И ответственность за обработку этих данных вы получаете вместе с сайтом.

Если у вас есть вопросы по поводу готовности вашего сайта к встрече с требованиями 152-ФЗ, или вы просто хотите повысить юридическую чистоту вашего сайта – звоните, +7 343 227-47-27, Валерий Медведев, РА Колибри.


Метки: , ,