Тема серьезная, поскольку сумма штрафов за несоблюдение требований в части сбора персональных данных может достигать внушительной цифры –18 млн рублей. Поэтому если на вашем сайте используются формы обратной связи, системы аналитики, идет сбор адресов электронной почты и другой персональной информации, рекомендую прочитать эту статью, она будет вам полезна.
Что считать персональными данными?
Политику обработки информации о посетителях сайта регламентирует закон № 152 «О персональных данных», последние поправки в который были внесены 1 марта 2023 года. Перечисление по пунктам вы в нем не найдете. Но несложно догадаться: когда клиент указывает на сайте свой размер одежды, это ничего о нем не говорит. Мало ли женщин носят платья 46 размера. А вот когда оставляет номер телефона – это уже персональные данные.
Получается, что сайт априори использует персональные данные, если предлагает:
- заполнить форму обратной связи с запросом личной информации (фамилия, имя и отчество, email-адрес, номер телефона, адрес физической прописки, дата рождения, фото, ссылка на персональную страницу в соцсетях);
- пройти регистрацию или авторизоваться;
- оформить подписку на email-уведомления;
оформить заказ с указанием платежных данных и адреса доставки;
- прислать резюме на открытую вакансию.
Это именно те данные, по которым можно опознать человека. Помимо прямых форм запроса, не стоит забывать про файлы cookie, которые Роскомназдор также признает за обработку персональных данных. Они могут содержать данные геолокации, IP-адреса и т.д.
И да. Практика показывает, что хранение и сбор, тоже подпадают под определение «обработка данных».
Как обезопасить себя и не словить штраф
На сайте должна быть страница или файл «Политика обработки персональных данных». В нем нужно прописать, как информация будет собираться, храниться и использоваться.
Если соответствующего документа не будет на сайте, то надзорный орган вправе выписать штраф на сумму от 30 до 60 тысяч рублей.
Под формой обратной связи нужно запросить у пользователя согласие на обработку персональных данных. Чаще всего текстовая строка так и выглядит: «Даю согласие на обработку персональных данных». Рядом с ней располагается чек-бокс, куда можно поставить галочку.
Использование информации без согласия грозит штрафом от 60 до 100 тысяч рублей. При повторном нарушении – от 100 до 300 тысяч рублей.
- Пользователи должны знать о том, что вы собираете cookie, поэтому на сайте должно быть уведомление об этом. Это также своего рода запрос на согласие, текст которого может выглядеть так: «Продолжая пользоваться сайтом, вы соглашаетесь с размещением cookie-файлов на вашем устройстве, на условиях, изложенных в Политике конфиденциальности».
Уже эти три пункта позволят вам подстраховать себя. Зайдя на сайт, инспектор Роскомнадзора не увидит явных нарушений. Помимо прочего, желательно внести компанию в реестр операторов персональных данных Роскомнадзора, составить список ответов на часто задаваемые вопросы посетителей сайта. Человек имеет право запросить всю информацию по обработке его персональных данных и потребовать прекратить их использование, здесь также может грозить штраф от 40 до 80 тысяч рублей.
Одним словом, тонкостей много, поэтому при проработке вопроса лучше обращаться к эксперту. Наше агентство поможет подготовить все нормативные документы и правильно представит их на вашем web-ресурсе.
И еще важно! Нарушение закона«О персональных данных» грозит полной блокировкой сайта. Если есть предпосылки того, что сайт попадает под проверку, лучше как можно скорее привести его в соответствие с требованиями.
А если формы обратной связи нет? А только телефон и почта указаны?
Михаил, добрый вечер.
В соответствии со статьей 18.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных"
2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
Так же файлы cookies попадают под регулирование федерального закона №152-ФЗ «О персональных данных». Он определяет персональные данные как «любую информацию, относящуюся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных)». В начале 2021 года вопрос прояснил Роскомнадзор, причислив на онлайн-мероприятии cookie-файлы к персональным данным.
Поэтому даже если Вы не собираете персональные данные в виде форм обратной связи необходимо добавить политику конфиденциальности и опубликовать на сайте дисклеймер, который информирует посетителей сайта об использовании cookies.