Закон о персональных данных — как избежать штрафов
С 1 июля 2017 г. вступят в силу поправки в статью 13.11 КоАП, касающуюся нарушений закона о персональных данных. Это актуально для тех владельцев сайтов, у кого на страницах есть форма обратной связи, регистрации или подписки.
Теперь штрафы разделены по видам нарушений, а их величина выросла в десятки раз. Также штрафы могут суммироваться, если нарушений было выявлено несколько — например, на сайте не была размещена политика конфиденциальности, а еще обработка персональных данных осуществляется без согласия клиента.
Плюс сократилось время на формирование протоколов на правонарушение — раньше протоколы могла выписывать только прокуратура, а теперь этим будет заниматься Роскомнадзор. Поэтому проверки пойдут гораздо быстрее.
Что входит в понятие “Оператор персональных данных?”
Персональные данные — эти те данные, по которым можно идентифицировать человека. Подробного перечня в законе нет, поэтому можно предположить, что вы являетесь оператором персональных данных, если собираете каким-либо способом следующую информацию о людях:
- фамилию,
- имя,
- отчество,
- физический адрес,
- электронную почту,
- телефон,
- дату или место рождения,
- фотографию,
- ссылку на персональный сайт или профиль в социальных сетях,
- профессию,
- образование,
- уровень доходов,
- семейное положение.
Таким образом, если у вас есть сайт, на котором присутствует функционал личного кабинета, формы обратной связи, подписки, регистрации — фактически, любая надстройка, где человек вводит информацию о себе — вы являетесь оператором персональных данных. Даже если это просто кнопка заказа обратного звонка или отправки вам сообщения.
Что делать, чтобы соответствовать закону?
Минимальный список требований следующий:
- получать письменное согласие у каждого посетителя, передающего информацию о себе, на обработку, хранение и распространение персональных данных;
- опубликовать в открытом доступе информацию обо всём, что касается персональных данных клиентов и посетителей;
- запрашивать только те данные, которые нужны для конкретной цели. Например, только адрес электронной почты для подписки на рассылку;
- использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
- сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
- удалять по первому требованию данные, которые используются для ваших информационных рассылок;
- хранить базы данных в надежном месте, защищать их от взлома и утечки;
- зарегистрироваться в Роскомнадзоре.
Что касается последнего пункта, то регистрация не обязательна, в случае если:
- вы обрабатываете только данные сотрудников;
- персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более — распространяться;
- человек сам опубликовал эти данные в общем доступе;
- у вас есть только ФИО клиента.
Как мне быть с сайтом? Что нужно изменить на нем, чтобы успешно пройти проверку?
Во-первых, подготовьте и разместите на сайте политику конфиденциальности. Официально установленной формы для данного документа нет, однако в нем необходимо обязательно указать перечень сведений, которые вы собираете о клиенте, а также цели, для чего вам эти данные нужны. Дополнительно в документ необходимо включить, какими способами вы будете обрабатывать собранную информацию — например, систематизировать, накапливать, обезличивать и т.д. Пример политики конфиденциальности можно посмотреть на сайте одного из наших клиентов — интернет-магазина “Контакт Плюс”.
Создайте отдельную страницу на сайте для политики конфиденциальности и разместите ссылки на нее в подвале сайта.
Во-вторых, реализуйте механизм, с помощью которого пользователь соглашается на обработку персональных данных. Рассмотрим, как это сделать на примере формы обратной связи.
Войдите в редактирование шаблона компонента “Форма обратной связи”. Нажмите на вкладку “Шаблоны действий” и перейдите на страницу редактирования формы добавления компонента. Для того, чтобы добавить корректную ссылку, форму необходимо сгенерировать, нажав на “сгенерировать код формы” рядом с заголовком “Альтернативная форма добавления объекта”. После этого в поле появится код формы, который и нужно отредактировать.
Для начала, необходимо прописать в конце формы, но выше кнопки ее отправки, чекбокс, позволяющий пользователю согласиться с условиями и ознакомиться с их текстом:
<input name="f_Agreement" id="confirm-agreement" type="checkbox">Согласен с <a href="/agreement/" target="_blank">условиями</a> обработки персональных данных
Не забудьте вставить корректную ссылку на вашу страницу с соглашением об обработке персональных данных, которое также нужно подготовить.
Для того, чтобы отметка чекбокса проверялась еще до отправки формы, нужно вставить в начало формы такой javascript-код:
<script>
$(function(){
$('#confirm-agreement').on('change', function(){
$('#order-button').attr('disabled', !$(this).is(':checked'));
});
});
</script>
А в код кнопки, отправляющей форму, добавьте id="order-button" disabled="disabled", таким образом при первичной загрузке формы нажатие на нее будет заблокировано до того момента, пока пользователь не примет условия обработки персональных данных.
Далее, чтобы проверять это условие еще и после отправки формы, в условии добавления объекта прописать следующий код (или добавить его, если условие у вас уже указано):
<?
if ( !$f_Agreement ) {
$warnText = "Вы не согласились с условиями обработки персональных данных!";
$posting = 0;
}
?>
Таким образом, если чекбокс не отмечен, форма не будет отправлена на сервер.
Кроме доработки всех имеющихся форм сбора данных на сайте, вам необходимо разработать внутренние документы о хранении персональных данных и ответственности сотрудников, которые с ними работают. Выкладывать в общий доступ их не обязательно.
И последнее — отправьте уведомление в Роскомнадзор. А если считаете, что вам это не нужно, укажите в вашей политике, что используете персональные данные только в целях исполнения конкретного договора.
В этой статье мы рассказали об основных действиях именно на стороне сайта для подготовки к возможной проверке, но, к сожалению, это не все требования, которые предъявляются к компаниям по данному закону. Мы настоятельно рекомендуем ознакомиться с более подробной статьей “Что нужно знать о персональных данных, чтобы не заплатить 300 000 рублей штрафа” на портале Cossa.ru.
Остались вопросы? Пишите нам или обращайтесь к разработчику вашего сайта.
Комментарии 4