Регистрация

Введите код на картинке:
Регистрируясь вы подтверждаете свое согласие с соглашением об использовании персональных данных.
Восстановление пароля

Закон о персональных данных — как избежать штрафов

С 1 июля 2017 г. вступят в силу поправки в статью 13.11 КоАП, касающуюся нарушений закона о персональных данных. Это актуально для тех владельцев сайтов, у кого на страницах есть форма обратной связи, регистрации или подписки.

Теперь штрафы разделены по видам нарушений, а их величина выросла в десятки раз. Также штрафы могут суммироваться, если нарушений было выявлено несколько — например, на сайте не была размещена политика конфиденциальности, а еще обработка персональных данных осуществляется без согласия клиента.

Плюс сократилось время на формирование протоколов на правонарушение — раньше протоколы могла выписывать только прокуратура, а теперь этим будет заниматься Роскомнадзор. Поэтому проверки пойдут гораздо быстрее.

Что входит в понятие “Оператор персональных данных?”

Персональные данные — эти те данные, по которым можно идентифицировать человека. Подробного перечня в законе нет, поэтому можно предположить, что вы являетесь оператором персональных данных, если собираете каким-либо способом следующую информацию о людях:

  • фамилию,
  • имя,
  • отчество,
  • физический адрес,
  • электронную почту,
  • телефон,
  • дату или место рождения,
  • фотографию,
  • ссылку на персональный сайт или профиль в социальных сетях,
  • профессию,
  • образование,
  • уровень доходов,
  • семейное положение.

Таким образом, если у вас есть сайт, на котором присутствует функционал личного кабинета, формы обратной связи, подписки, регистрации — фактически, любая надстройка, где человек вводит информацию о себе — вы являетесь оператором персональных данных. Даже если это просто кнопка заказа обратного звонка или отправки вам сообщения.

Что делать, чтобы соответствовать закону?

Минимальный список требований следующий:

  • получать письменное согласие у каждого посетителя, передающего информацию о себе, на обработку, хранение и распространение персональных данных;
  • опубликовать в открытом доступе информацию обо всём, что касается персональных данных клиентов и посетителей;
  • запрашивать только те данные, которые нужны для конкретной цели. Например, только адрес электронной почты для подписки на рассылку;
  • использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
  • сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
  • удалять по первому требованию данные, которые используются для ваших информационных рассылок;
  • хранить базы данных в надежном месте, защищать их от взлома и утечки;
  • зарегистрироваться в Роскомнадзоре.

Что касается последнего пункта, то регистрация не обязательна, в случае если:

  • вы обрабатываете только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более — распространяться;
  • человек сам опубликовал эти данные в общем доступе;
  • у вас есть только ФИО клиента.

Как мне быть с сайтом? Что нужно изменить на нем, чтобы успешно пройти проверку?

Во-первых, подготовьте и разместите на сайте политику конфиденциальности. Официально установленной формы для данного документа нет, однако в нем необходимо обязательно указать перечень сведений, которые вы собираете о клиенте, а также цели, для чего вам эти данные нужны. Дополнительно в документ необходимо включить, какими способами вы будете обрабатывать собранную информацию — например, систематизировать, накапливать, обезличивать и т.д. Пример политики конфиденциальности можно посмотреть на сайте одного из наших клиентов — интернет-магазина “Контакт Плюс”.

Создайте отдельную страницу на сайте для политики конфиденциальности и разместите ссылки на нее в подвале сайта.

Во-вторых, реализуйте механизм, с помощью которого пользователь соглашается на обработку персональных данных. Рассмотрим, как это сделать на примере формы обратной связи.

Войдите в редактирование шаблона компонента “Форма обратной связи”. Нажмите на вкладку “Шаблоны действий” и перейдите на страницу редактирования формы добавления компонента. Для того, чтобы добавить корректную ссылку, форму необходимо сгенерировать, нажав на “сгенерировать код формы” рядом с заголовком “Альтернативная форма добавления объекта”. После этого в поле появится код формы, который и нужно отредактировать.

Для начала, необходимо прописать в конце формы, но выше кнопки ее отправки, чекбокс, позволяющий пользователю согласиться с условиями и ознакомиться с их текстом:

<input name="f_Agreement" id="confirm-agreement" type="checkbox">Согласен с <a href="/agreement/" target="_blank">условиями</a> обработки персональных данных

Не забудьте вставить корректную ссылку на вашу страницу с соглашением об обработке персональных данных, которое также нужно подготовить.

Для того, чтобы отметка чекбокса проверялась еще до отправки формы, нужно вставить в начало формы такой javascript-код:

<script>

 $(function(){

  $('#confirm-agreement').on('change', function(){

      $('#order-button').attr('disabled', !$(this).is(':checked'));

  });

 });

</script>

А в код кнопки, отправляющей форму, добавьте  id="order-button" disabled="disabled", таким образом при первичной загрузке формы нажатие на нее будет заблокировано до того момента, пока пользователь не примет условия обработки персональных данных.

Далее, чтобы проверять это условие еще и после отправки формы, в условии добавления объекта прописать следующий код (или добавить его, если условие у вас уже указано):

<?

if ( !$f_Agreement ) {

 $warnText = "Вы не согласились с условиями обработки персональных данных!";

 $posting = 0;

}

?>

Таким образом, если чекбокс не отмечен, форма не будет отправлена на сервер.

Кроме доработки всех имеющихся форм сбора данных на сайте, вам необходимо разработать внутренние документы о хранении персональных данных и ответственности сотрудников, которые с ними работают. Выкладывать в общий доступ их не обязательно.

И последнее — отправьте уведомление в Роскомнадзор. А если считаете, что вам это не нужно, укажите в вашей политике, что используете персональные данные только в целях исполнения конкретного договора.

В этой статье мы рассказали об основных действиях именно на стороне сайта для подготовки к возможной проверке, но, к сожалению, это не все требования, которые предъявляются к компаниям по данному закону. Мы настоятельно рекомендуем ознакомиться с более подробной статьей “Что нужно знать о персональных данных, чтобы не заплатить 300 000 рублей штрафа” на портале Cossa.ru.

Остались вопросы? Пишите нам или обращайтесь к разработчику вашего сайта.

Поделиться

Комментарии 2

gdsn  Goodsign 04 июля 2017, 16:34:27
В статье не хватает информации о том, что надо еще сделать всплывающее упоминание на сайте, что cookies, ip и т.д тоже собираются - это тоже персональные данные.
   
Sergey Vasilets  VSV 07 июля 2017, 06:01:34
Считаю, "крыжик" не является обязательным. Ни по духу, ни по букве закона. Вполне достаточно текстовой вставки в форме со ссылкой на политику конфиденциальности. Что-то вроде "Отправляя сообщение, вы выражаете свое согласие с положениями политики конфиденциальности".
   
Описание проекта