Политика конфиденциальности: кому, зачем и как подготавливать сайт к 152-ФЗ
За нарушение 152-ФЗ о защите персональных данных грозит довольно серьезная ответственность: размер штрафов достигает 500 000 рублей, причем за каждое выявленное несоответствие взимается отдельная сумма. Поэтому давайте разбираться, кому нужна политика конфиденциальности и как добавить ее на сайт.
Без лишних предисловий сразу к делу: согласно 152-ФЗ, публиковать политику конфиденциальности должны только операторы персональных данных. Значит, первым делом нужно понять, можно ли вас отнести к ним.
Когда необходима политика конфиденциальности для сайта
Персональные данные — это совершенно любые сведения, которые относятся к физическому лицу прямым или косвенным образом. По ним можно определить его личность.
Сейчас в законе отсутствует четкий список того, что именно относится к персональным данным. Если же исходить из определения, то это следующая информация:
ФИО человека;
дата рождения;
адрес проживания;
контактный телефон;
email;
идентификаторы в соцсетях и мессенджерах;
сведения о семейном положении и родственниках;
данные паспорта или иных документов;
информация об образовании, месте работы, заработке;
раса, национальность;
отношение к религии;
политические взгляды;
состояние здоровья;
биометрия, а именно — рост, вес, радужная оболочка глаз, генетическая и дактилоскопическая информация.
Оператор — это физическое лицо, компания или государственный орган, совершающий какие-либо действия с получаемыми персональными данными — как пример, собирающий, обрабатывающий или хранящий их.
Оператором персональных данных посчитают владельца того ресурса, где есть форма обратного звонка с предложением оставить свое имя, контактный номер телефона или email для связи. И собираемую информацию в таком случае необходимо обрабатывать согласно 152-ФЗ.
Однако, когда на сайте есть только форма для отправки комментариев, где пользователь указывает свой ник или настоящее имя без отчества и фамилии — размещать политику конфиденциальности не требуется, поскольку по этим данным вряд ли удастся идентифицировать личность.
Как правильно подготовить сайт к 152-ФЗ
В обязательном порядке необходимо разместить:
1. Политику
конфиденциальности – отдельный документ об обработке персональных
данных, размещаемый в открытом доступе. У пользователя не должно возникнуть
сложностей, если он решит с ним ознакомиться, прежде чем даст согласие на обработку персональных данных. Строго утвержденной законодательством формы нет, однако есть список сведений, которые должны быть в документе. Исходя из этого и стоит
включить в текст:
наименование компании, государственной организации или данные физического лица, контакты и адрес;
как именно и зачем собираются данные;
каким образом они могут использоваться;
какие получаемые данные обрабатываются, из каких источников вы их получаете — здесь помните про куки-файлы;
на протяжении какого срока хранятся данные, как они защищаются;
передаются ли данные третьим лицам;
что не станет происходить с собранными данными.
В качестве примеров посмотрите тексты политики конфиденциальности на официальных сайтах компаний федерального уровня — там все детально проработано. Но учтите: не следует слепо копировать документы — как минимум их необходимо тщательно скорректировать под себя.
Как правило, политику конфиденциальности размещают на отдельной странице сайта — так привычнее для пользователей. Плюс ее делают удобной для восприятия, насколько это возможно — точно так же структурируют, как и любой другой документ.
2.
Ссылки
на политику конфиденциальности – их принято размещать в подвале и поблизости со всеми имеющимися формами, где посетивший сайт человек выражает
согласие на обработку персональных данных. Ссылки нужны для легкого доступа к политике конфиденциальности.
3.
Подтверждение
согласия на обработку персональных данных — согласно 152-ФЗ,
собирать и обрабатывать какие-либо персональные сведения о людях можно
исключительно с их согласия. Поэтому и нужна соответствующая возможность на сайте. Чаще всего используют чек-боксы, где нужно
поставить галочку — без этого нельзя оставить заявку или зарегистрироваться.
4.
Дисклеймер
– то самое необходимое зло — всплывающее окно с оповещением пользователя о том, что на сайте идет сбор данных статистики (речь про куки-файлы, поведенческие
факторы, сведения о геопозиции).152-ФЗ строго не регламентирует размещение
дисклеймера на сайте, однако большинство юристов рекомендуют его все-таки
устанавливать. А чтобы не раздражать пользователей, настройте показы — пускай
отображается исключительно для тех, кто зашел на сайт впервые.
О чем еще важно позаботиться
Узнайте, где физически располагается хостинг — по требованиям 152-ФЗ он должен быть в России для того, чтобы и персональные данные хранились здесь же. Если базы данных в другой стране, то придется искать новый хостинг для переезда.
Уведомите Роскомнадзор о том, что планируете работать с персональными данными — сделать это можно на официальном сайте службы. Потребуется пакет документов — взгляните на перечень необходимых сведений в 152-ФЗ.
Отслеживайте вносимые в 152-ФЗ поправки — чтобы при необходимости успеть среагировать на них и обезопасить себя.
Что будет, если нарушить 152-ФЗ
За обработку персональных данных без согласия субъекта предусмотрена ответственность:
Это — только вершина айсберга, смотрите более подробную
информацию здесь.
И учитывайте, что сейчас проверка для органов Роскомнадзора довольна простая:
достаточно сделать скриншот для подтверждения отсутствия на сайте требующихся
форм, документов и ссылок.
Проще и дешевле подготовить сайт к 153-ФЗ, чем в дальнейшем решать возникшие из-за нарушения законодательства проблемы.
Просто о сложном
Неделя рекламы 
Новости 
Кейсы 
How to 
Интервью и дискуссии 
Маркетинговые исследования 
Энциклопедия обмана 
Проверено ADPASS 
Рекламные кампании