Создайте сайт, соблюдая закон о персональных данных: 10 шагов

Автор: | 20.04.2023

Персональные данные превращаются в ценный актив, который активно используют маркетологи по всему миру. С помощью такой информации можно выяснить вкусы потребителя, его обычаи и маршрут передвижения, а затем предложить ему товары и услуги, которые он предпочтет приобрести. В результате, персональные данные становятся товаром, который компании торгуют друг с другом: базы клиентов с ФИО, телефонами и интересами. В этой борьбе за покупателей уязвимыми оказываются граждане.

В России защиту персональных данных обеспечивает Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». За нарушение правил обработки данных предусмотрены штрафы до 30 000–150 000 рублей. При несоблюдении требования о локализации базы данных на территории РФ санкция достигает 6 миллионов рублей.

Российские законы направлены на усиление ответственности операторов персональных данных. Как и в Европейском регламенте по защите персональных данных (GDPR), предполагается введение штрафов, которые могут составлять до 4% от годового оборота компании, а в некоторых ситуациях — уголовная ответственность.

Усиление наказания за преступления, связанные с разглашением информации, возможно в ближайшем будущем.

Больше по теме

1. Определить цель и средства

Определить, какие ПД вы собираете:

  • категории данных (Ф. И. О., телефон, адрес и т. д.);

  • из каких стран;

  • кто источник предоставления данных;

  • В каких целях обрабатываете персональные данные, по какому основанию и на какой период?

  • где производится хранение и обработка ПД (IT-системы);

  • Кому вы сообщаете персональные данные? У вас есть посредники или подпосредники обработки данных?

Следующим шагом будет создание реестра ПД (например, в программе Excel) для систематизации этих данных с последующим их постоянным обновлением.

Составить политику по использованию файлов cookie для сайта.

Покажите пользователю на странице сайта баннер с предложением принять или отклонить сбор cookie.

Сookie — это маленькие текстовые файлы, содержащие сведения о посещении сайта.

  • Устройство пользователя при посещении сайта.

  • Информация для входа (имя, адрес электронной почты, логин, пароль).

  • Настройки сайта по выбору пользователя (язык и местоположение).

  • настройки рекламных предпочтений;

  • статистика использования сервисов;

  • Продукты в корзине, в избранном (при неавторизованном доступе пользователя) и прочее.

Обратите внимание

На всплывающем баннере целесообразно выделить cookie на обязательные (технические — для работы сайта необходимы, пользователь их отключить не может) и необязательные (рекламные, статистические и другие, от которых пользователь может отказаться).

Составьте и опубликуйте на веб-сайте политику компании по обработке персональных данных.

Разместите её на главной странице для быстрой видимости пользователем и на всех страницах сайта, где собираются данные.

Чтобы избежать рисков административной ответственности и блокировки сайтов, лучше предотвращать споры на этапе создания порталов. Документы с политикой обработки персональных данных, формой согласия и правилами пользования интернет-ресурсом должны быть доступны и понятны для пользователей.

Обратите внимание

Политика отличается от согласия на обработку данных. Не следует ее перепутать с пользовательским соглашением сайта или договором оферты. Ее содержание должно соответствовать пункту 2 статьи 18.1 Федерального закона №152.

Роскомнадзор отмечает, что часто ошибкой является размещение на сайте политик чужого лица.

Обратите внимание

Благопристойно для компании размещать соглашения на обработку персональных данных и политики конфиденциальности с правами пользователя и контактной информацией ответственного за обработку ПД лица (офицера по защите данных) в открытом доступе. Пользователю не следует совершать много кликов, чтобы найти нужную политику конфиденциальности.

Роскомнадзор усиливает работу по контролю соответствия операторов персональных данных нормам закона. Ведомству предоставлено право не только проверять наличие внутренних документов по защите персональных данных, но и оценивать принятые операторами меры предосторожности, отраженные в этих документах.

Публикуйте на сайте соглашение, являющееся офертой, в соответствии с которым собираются персональные данные пользователей.

Это может быть публичный договор, к которому пользователь присоединяется для получения услуг и товаров, которые вы предоставляете. Если договор неприменим, воспользуйтесь уведомлением или соглашением об обработке персональных данных, где кратко и доступно объясните пользователю суть сбора его персональных данных и его правах.

Поля для подтверждения ознакомления с текстом о согласии на обработку персональных данных не должны быть отмечены по умолчанию.

Предварительно отмеченные чекбоксы — частая ошибка на сайтах. В противном случае согласие не считается добровольно данным. Для каждого документа нужно отдельное окошко для галочки. Если предлагаете ознакомиться с пользовательским соглашением, собираете согласие на обработку и просите изучить политику приватности — создайте три окошка для проставления галочек пользователем, а не одно.

В случае обработки персональных данных граждан Российской Федерации проверьте, размещены ли ваши серверы на территории России.

В противном случае возможен штраф до шести миллионов рублей по статье 13.11 КоАП и блокировка ресурса на территории России, как это случилось с социальной сетью LinkedIn.

  1. Запрещается сбор персональных данных с помощью базы данных сайта, расположенного не на территории России.
  2. Не разрешается собирать ПД с помощью форм сбора, размещённых на сайтах иностранных сервисов, имеющих базы данных за пределами России.
  3. Обработка персональных данных с помощью зарубежных программных продуктов без законных причин признается нарушением.

Механизмы публичного права подходят для массовой обработки данных, когда государство обеспечивает централизованный надзор. Административный штраф – одна из действенных мер контроля за соблюдением правил работы с персональными данными.

7. Кому направлен таргет

При обработке персональных данных лиц из разных стран и функционировании сайта на нескольких языках изучите законодательные нормы о приватности в государствах, где сосредоточен ваш таргет (клиентами которых вы являетесь). Для предложений товаров и услуг лицам из ЕС необходимо соблюдать требования GDPR. Российский закон № 152-ФЗ сближается с Европейским регламентом, но некоторые отличия всё ещё сохраняются.

8. Отключите Google-аналитику на сайте

С точки зрения Роскомнадзора и Регулятора в области приватности ЕС США не обеспечивают должный уровень защиты персональных данных. Google серьезно нарушал права субъектов персональных данных, за что получил штрафы. В крайнем случае, если от Google-аналитики отказаться нельзя, стоит разработать дополнительные меры защиты персональных данных. На сайте должен быть указан весь перечень сторонних сервисов, которым передаются данные пользователя.

После достижения цели или окончания срока, регулярно удаляйте собранную информацию через сайт ПД.

Информация может сохраняться десятилетиями без удаления. Проанализируйте, куда попали персональные данные с сайта, и очистите их во всех ИТ-системах. Внедрение автоудаления данных через определенный срок снижает риск утечек, о которых мы постоянно слышим в новостях при кибератаках.

Предоставьте не только визуально привлекательный сайт, но и обеспечьте качественное функционирование компании изнутри.

  1. Ознакомьтесь с законами о конфиденциальности, действующими в стране регистрации и месте осуществления вашей коммерческой деятельности.
  2. Уведомьте Роскомнадзор об обработке ПД.
  3. Узнайте о возможности передачи ПД за рубеж.
  4. Создайте списки персональных данных (ПД) и списки информационных систем, где данные обрабатываются.
  5. Создайте политику по обработке персональных данных, согласиям и уведомлениям о обработке ПД.
  6. Выберите лицо, которое будет отвечать за обработку персональных данных. В некоторых странах его называют Data Protection Officer, сокращённо DPO.
  7. Обеспечьте своевременное обучение работников, взаимодействующих с персональными данными.
  8. Обновите меры безопасности, как технические, так и организационные, в рамках компании.
  9. В случае необходимости обращайтесь за сертификатами безопасности в соответствующие органы.
  10. Оцените риски для информационной безопасности.

Обратите внимание

Риски хакерских атак полностью исключить невозможно. Тем не менее, стандартный режим конфиденциальности должен включать ясную идентификацию уполномоченных лиц, работающих с персональными данными. Такая практика на уровне компаний становится обычной и ее нужно активно осваивать.

P. S.Законодательство по защите персональных данных призвано оградить граждан от злоупотребления информацией о них. Тем не менее вопрос о границах защиты данных должен решаться индивидуально с учетом цели регулирования. Пример дисбаланса в этой области: две женщины переходили на зеленый свет московской улицы Петровку по пешеходному переходу, их сбил двигавшийся с высокой скоростью курьер одной из служб доставки на электросамокате. Проведя несколько часов с полицейскими и написав соответствующее заявление, пострадавшие и адвокаты так и не смогли получить полные данные о сбившем их мужчине для сообщения в службу доставки. Мотивом отказа в предоставлении информации о личности курьера послужила охрана персональных данных.