Хочу все знать: как правильно обрабатывать данные ваших пользователей

Хочу все знать: как правильно обрабатывать данные ваших пользователей

Сайт – это не только витрина для продажи ваших товаров и услуг, но также инструмент общения с вашими клиентами. Администрация сайта хочет узнать, кто является его пользователями, и запрашивает у них различную контактную информацию и другие данные (например, данные о состоянии здоровья, родственных связях, путешествиях и проч., проч.), которые закон называет персональными (ПДн).

Ценность такой персональной информации растёт каждый день, как и ее уязвимость. В России с января по апрель 2020 года было скомпрометировано 47 млн. записей, что на 34% больше, чем за аналогичный период прошлого года. Немалая доля краж связана с пандемией COVID-19.

Отказаться от получения ПДн своих пользователей невозможно, важно юридически грамотно осуществлять их сбор и обработку, чтобы не подвергнуть риску как своих клиентов, так и свою компанию.

Специалисты сервиса Solver, обладают большим опытом работы в сфере соблюдения законодательства о ПДн, которым мы решили поделиться в цикле статей о персональных данных, подготовленных юристом Solver Ярославом Чистопашиным. В первой публикации цикла мы расскажем о том, как корректно собирать ПДн, какие права есть у пользователей, и какие обязанности должен соблюдать оператор, который собирает, хранит и обрабатывает ПДн.

C чего начать

1. Согласие на сбор ПДн

Очевидно, что чтобы у кого-то что-то получить, нужно его об этом попросить, и для ПДн нет никаких исключений - начните с получения согласия пользователя. Оптимальный способ сделать это – разместив на своем сайте чекбокс (☐), предварительно находящийся в отключенном состоянии, сопроводив его формулировкой от имени пользователя, который поставит галочку в чекбоксе: «Я принимаю условия обработки моих персональных данных и соглашаюсь с политикой конфиденциальности». Рекомендуем фразу «политика конфиденциальности» сделать кликабельной ссылкой на данный документ – подробности ниже.

Сбор и обработка ПДн пользователя без его согласия может стоить организации до 75 тысяч рублей (п.2 ст.13.11 КоАП РФ)

2. Политика конфиденциальности

В момент дачи согласия на обработку ПДн пользователь должен иметь возможность ознакомиться с политикой конфиденциальности сайта (privacy policy) – для этого мы и пердлагаем разместить кликабельную ссылку рядом с чекбоксом, в которой, в числе прочего, вам нужно зафиксировать все цели сбора запрашиваемых на вашем сайте ПДн.

В КоАП РФ предусмотрены штрафы (1) за отсутствие опубликованной на сайте политики обработки ПДн, а также за (2)несоответствующую указанным в политике целям обработку ПДн. До 30, или 50 тысяч рублей соответственно (п.1,3 ст.13.11 КоАП РФ)

Также обязательно включите в текст политики конфиденциальности положения о способах обработки ПДн, категориях обрабатываемых ПДн, сроках их хранения, мерах защиты. Полный перечень информации, которая должна быть включена в политику конфиденциальности, содержится в статье 18 Федерального закона «О персональных данных».

Непредставление информации, касающейся обработки ПДн, а также нарушение требований 18 и 21 статей ФЗ "О персональных данных", создаёт риск привлечения оператора к ответственности в виде штрафа до 40 тысяч рублей ( п.4 ст.13.11 КоАП РФ)

Права пользователей и обязанности оператора

Права пользователей вашего сайта идут в тесной связке с вашими обязанностями, что мы наглядно продемонстрировали ниже.

Все пользователи имеют право на 1) ознакомление с их ПДн, находящимися у оператора. В случае поступления запроса об этом от пользователя, оператор обязан предоставить ему все собранные о нём данные в течение 30 дней с момента поступления запроса.

Пользователь вправе 2) обратиться к оператору с запросом о неправомерности обработки его ПДн. В этом случае оператор обязан проверить достоверность полученной информации и удалить данные. А если, например, при регистрации, пользователь указал неточные ПДн, оператор по его запросу должен их уточнить (например, внести изменения в профиль пользователя на сайте).

По своему желанию пользователь в любой момент может 3) отозвать согласие на обработку его ПДн. В этом случае оператор обязан прекратить их обработку, удалить данные или обеспечить прекращение такой обработки, если по его поручению такую обработку выполняют третьи лица.

Помимо перечисленных случаев, у оператора есть обязанность удалить ПДн при достижении цели их обработки (например, когда истек срок договора на оказание услуг, в рамках которого оператор собирал и обрабатывал ПДн) в срок не превышающий 30 дней с такого момента, либо в иной срок, который указан в политике конфиденциальности.

Невыполнение вышеуказанных требований может повлечь наложение штрафа до 45 тысяч рублей (п.5 ст.13.11 КоАП РФ)

Удаляя данные пользователей, оператор обязан зафиксировать такое удаление. Это можно сделать, составив письменный акт о прекращении обработки персональных данных, в котором обязательно укажите основание прекращения обработки, дату, тип и идентификатор носителя информации (съемное устройство, т.е. USB-носитель, либо машинное, т.е. бумага и проч.)

Помните, что любые действия, совершаемые с ПДн граждан России, должны осуществляться только с использованием баз данных, находящихся на территории Российской Федерации. Так, Facebook и Twitter были оштрафованы за отказ локализовать данные российских пользователей соцсетей на территории России.

Соблюдение перечисленных обязанностей не только существенно уменьшает риск привлечения к ответственности за нарушение законодательства в области сбора и обработки персональных данных, но и приближает нас к атмосфере взаимоуважения и тактичности в Интернете.

В следующей статье этого цикла мы расскажем о порядке обработки и о защите персональных данных, а также о передаче ПДн третьим лицам.

33
Начать дискуссию