12 минут

14.03.2023

Лена Диодорова
Project-менеджер

Если у вас есть интернет-магазин или у вас на сайте есть любая форма обратной связи, с помощью которой вы получаете заявку от посетителей, то вам стоит ознакомиться с этой информацией, чтобы избежать штрафов.

Что такое персональные данные

В России основным законом, регламентирующим работу с персональными данными, является Федеральный закон «О персональных данных» № 152-ФЗ от 27.07.2006. Там прописаны все основные понятия о том,  что такое персональные данные, как их собирать, хранить и уничтожать. Кстати, сбор, хранение и уничтожение — это все обработка персональных данных. Тот, кто обрабатывает персональные данные — это оператор. Получается, что если сайт ваш и вам нужны какие-то данные от ваших клиентов, то вы являетесь оператором.

Допустим, вы оказываете услуги или продаете товары в своем интернет-магазине. При оформлении покупки или заявки на услуги вы можете просить людей заполнить поля и ввести свои данные: имя и фамилию, телефон, адрес для доставки.  Та информация, которую вы получите от пользователя, будет являться персональными данными. В 152-ФЗ нет точного перечня, что именно считать персональными данными. Там прописано:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Поэтому сложилась такая практика, что почти всю информацию от пользователя, принято считать персональными данными. Например, электронная почта клиента — это уже персональные данные. Или имя + телефон — это персональные данные.

Согласно закону 152-ФЗ персональные данные бывают четырех типов:

• Находящиеся в открытом доступе. Сюда относится та информация, которую человек публикует о себе сам. Например, имя, возраст, свои контактные  данные в социальных сетях;
• Биометрические. Это индивидуальные физиологические особенности человека: отпечатки пальцев, рисунок радужной оболочки и т. д;
• Специализированные. Это политические и религиозные взгляды, информация о заболеваниях или судимостях;
• Иные. Сюда входит все то, что не относится к перечисленным выше. Например, адрес проживания, номер телефона, размер одежды.

Какие правила надо соблюдать на своем сайте

В законе точно указывается, что пользователь должен дать согласие, которое должно быть информированным, сознательным, предметным и однозначным. Молчание или бездействие не считаются автоматическим согласием на обработку персональных данных. Если компания планирует не только обрабатывать, но и распространять персональные данные, она должна получить на это отдельное согласие.

Исходя из всего этого, мы рекомендуем проверить сайт на наличие вот этих пунктов:

Сознательное согласие на обработку персональных данных

Любая форма для сбора этих данных должна содержать информацию о том, что нажимая на кнопку, пользователь соглашается на обработку своих персональных данных. Желательно указать в этом месте ссылку на конкретный документ — политику обработки персональных данных или политику конфиденциальности.

Политика конфиденциальности

Текст этой политики лучше размещать в футере сайта на видном месте. Так она будет доступна с любой страницы сайта и пользователю не надо будет долго искать текст.  Это может быть отдельно сверстанная страница или ссылка на пдф-файл.

В тексте данной политики необходимо указать:

• кто обрабатывает и хранит
• какие данные передаются на обработку с согласия субъекта персональных данных
• какова цель этой обработки
• кто имеет доступ и передаются ли данные третьим лицам
• как можно отозвать свое разрешение и прекратить обработку данных

Проверяйте точки сбора данных на сайте и разместите там ссылку на политику конфиденциальности. Обычно это:

— заполнение формы обратного звонка;

— заполнение заявки на услуги;

— регистрация на сайте;

— подписка на рассылку;

— оформление заказа.

Уведомление о сборе метаданных пользователя

Как уже упоминалось выше, в законе довольно расплывчатая формулировка, что такое персональные данные. Сложилась такая практика, что файлы cookie, данные об IP-адресе, местоположении без указания фамилии и имени тоже являются персональными данными. Поэтому во избежание проблем мы рекомендуем ставить на сайте уведомление с текстом о том, что на сайте вы собираете такие данные пользователя и кнопка для сознательного и однозначного согласия. В противном случае если пользователь не хочет, чтобы его данные обрабатывались, то должен покинуть сайт.

Такой блок желательно предусмотреть уже на стадии дизайна, чтобы он в целом сочетался с дизайном сайта и не вызывал отторжение или раздражение у пользователя.

Какое наказание за нарушение

В июле 2022 года вступили в силу штрафы за нарушения. Теперь:

• За отсутствие ссылки на согласие на обработку персональных данных в форме обратной связи предусмотрен штраф для компаний до 50 000 рублей.
• Отсутствие политики конфиденциальности на сайте для юрлиц может быть штраф в 30 000 руб, у ИП — 10 000 руб.

Оператор, то есть любое лицо, в том числе и физическое, которое владеет ПД, обязано пройти регистрацию в Реестре операторов персональных данных. Регистрацией занимается Роскомнадзор. За отсутствие регистрации штраф относительно небольшой. Для физлиц – от 100 руб. до 300 руб. Для юрлиц – от 3000 руб. до 5000 руб. – ст. 19.7 КоАП. О том, как попасть в этот реестр можно узнать на официальном сайте Роскомнадзора и там же подать заявку.

Если у вас на сайте есть нарушения, которые были выявлены при проверке Роскомнадзором, то вам обычно сначала пишут письмо и дают время на устранение этих нарушений. Но лучше этого не ждать и отработать все заранее.