г. Москва, Дмитровское
шоссе, д. 3, корп. 1
наш номер
+7 (499) 343-03-97
заказать звонок

Закон о защите персональной информации: что делать владельцам сайтов?

Если Вы занимаетесь бизнесом в Интернете или являетесь владельцем некоммерческого сайта, то наверняка наслышаны об изменениях, которые внесены в статью 13.11. «Нарушение законодательства РФ в области персональных данных» КоАП, а если нет, то очень советуем срочно ознакомиться — они вступают в силу с 1 июля 2017 года.

 

Краткое содержание закона

Статья 13.11 регулирует сбор и обработку интернет-ресурсами персональных данных пользователей. 

 «К персональным данным можно отнести любую информацию, которой достаточно, чтобы однозначно определить физическое лицо и получить о нём какую-либо дополнительную информацию.»  

Получается, что если на вашем сайте есть форма подписки или обратной связи, личный кабинет, заказ в один клик, корзина и так далее — вы попадаете под сферу регулирования данного закона и нужно соответствовать его требованиям. 

 Мы нашли вот такой список пунктов, которые относятся к персональным данным: 

  • фамилия,
  • имя, 
  • отчество, 
  • физический адрес,
  • электронная почта, 
  • телефон, 
  • дата рождения, 
  • место рождения, 
  • фотография, 
  • ссылки на персональный сайт или соцсети, 
  • профессия, 
  • образование, 
  • уровень доходов, 
  • семейное положение.

Обратите внимание! Даже cookie, данные об IP-адресе, местоположении без указания фамилии и имени являются персональными данными. 

Потому если вы на своем сайте используете модули определения местоположения пользователя — это уже сбор персональных данных. 

Определения местоположения пользователя — это уже сбор персональных данных


Наказание за нарушение закона 

Согласно правкам, с 1 июля 2017 г. размеры штрафов увеличились и могут достигать 75 тыс. рублей: 

  • Если обработка персональных данных выходит за рамки случаев, предусмотренных законодательством, или является несовместимой с целями сбора данных, то за нее следует наказание в виде предупреждения или штрафа (если нет уголовной составляющей) в размере от 1 000 руб. до 50 000 руб. 

  • Если нет согласия пользователя на обработку его персональных данных, а данные обрабатываются, сумма штрафа составит от 3 000 руб. до 75 000 руб.

  • Если изменен состав сведений, на обработку которых дал согласие пользователь, то сумма штрафа аналогична: от 3 000 руб. до 75 000 руб.

  • Если не обеспечен доступ к документу, где изложена политика по обработке персональных данных пользователей, то для обычных граждан сумма штрафа составит от 700 до 30 000 руб.

Что нужно сделать, чтобы соответствовать требованиям статьи 13.11? 

1. Получать письменное согласие у каждого посетителя/клиента на обработку и хранение его персональных данных. Для этого на сайте сделайте решение, которое позволит четко видеть, что человек согласился на обработку персональных данных. Это может быть галочка в форме регистрации или предупреждение при оформлении заказа. Вот такое решение при оформлении заказа реализовано на сайте Tefal:

Согласие на обработку персональных данных на сайте Tefal.

2. Разместить на сайте публичные документы, содержащие информацию обо всём, что касается персональных данных клиентов и посетителей. Такие документы должны быть доступны к просмотру с любой страницы сайта. Например, можно сделать соответствующий пункт в меню или в пользовательском соглашении. Ниже показано, как выглядит такая страница на сайте Ozon:

Политика по обработке персональных данных


Опираясь на эти два пункта, мы советуем: 

В каждой форме добавить флажок с текстом «Я даю согласие на обработку своих персональных данных». В тексте должна быть ссылка на страницу «Соглашение на обработку персональных данных». И только тогда, когда пользователь согласился и поставил галочку — делать кнопку отправки данных с формы активной. 

Создать непосредственно страницу «Соглашение на обработку персональных данных», а также страницу «Политика организации в отношении обработки персональных данных на сайте» и добавить на видном месте на сайте ссылку на страницу «Политика...». 

В соглашении нужно обязательно указать такую информацию: 

  • наименование/ФИО и адрес оператора, получающего согласие на обработку данных; 
  • перечень данных, на обработку которых дается согласие пользователя;
  • наименование/ФИО и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу; 
  • цель обработки персональных данных; перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; 
  • срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом; 
  • информация о том, как физическое лицо может отозвать свое согласие на обработку персональных данных (ч.2 ст. 9 152-ФЗ «О персональных данных»).
Вот несколько шаблонов-примеров соглашения на обработку персональных данных, надеемся, они вам помогут при написании своего соглашения. Также мы подготовили шаблон «Политики организации в отношении обработки персональных данных на сайте».


Кстати, в компании 1С-Битрикс подготовили универсальное «Согласие на обработку персональных данных», с возможностью автоматизировать его размещение в CRM-формах для сайта и Открытых линиях. Подробнее о данном нововведении можно почитать в статье на их официальном сайте


3. Сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали

4. Удалять по первому требованию пользователя его персональные данные, которые используются для рассылки информации о скидках и акциях.

5. Запрашивать только те данные, которые нужны для конкретной цели. Например, не стоит просить паспортные данные или номер телефона для подписки на рассылку по электронной почте, ведь в формах такого типа достаточно попросить e-mail:

Поля в форме подписки

6. Использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили.

7. Хранить базы данных в надежном месте, защищать их от взлома и утечки. Кстати, обратите внимание на хостинг — нужно чтобы сервер, на котором размещаете свой сайт и храните данные, находился в России.

8. Научить сотрудников работать с персональными данными, разработать для этого соответствующую внутреннюю документацию.

9. До начала обработки данных или как можно скорее зарегистрироваться в Роскомнадзоре.


Если ваш сайт не полностью соответствует перечисленным выше требованиям — это повод в авральном темпе над ним поработать. 

Мы готовы с этим вам помочь: провести аудит сайта на соответствие статье 13.11, доработать ресурс под требования законодательства. 


Заполняйте форму ниже и наши сотрудники свяжутся с вами.



По материалам сайтов: 
  • journal.tinkoff.ru/news/personalnye-dannye/ 
  • consultant.ru/document/cons_doc_LAW_212391/3d0cac60971a511280cbba229d9b6329c07731f7/ 
  • tilda.education/articles-personal-data-law  
  • ozon.ru/context/detail/id/137942530/ 
  • prominado.ru/blog/shablony-soglasheniy-na-obrabotku-personalnykh-dannykh-dlya-vashikh-saytov.... 

Бесплатный аудит вашей CRM

+ консультация по увеличению эффективности