Как выполнить требования закона о персданных на сайте
Необязательно иметь форму сбора данных на сайте, даже если вы просто подключили его к системам аналитики вроде «Яндекс Метрики», поздравляем — вы уже оператор персональных данных и должны соблюдать 152‑ФЗ. Роскомнадзор регулярно проверяет сайты на соблюдение требований к обработке персданных как по своей инициативе, так и после жалоб посетителей. В статье разберемся, как оформить сайт правильно и не допустить многомиллионных штрафов.
Содержание
Какой публичный документ должен быть опубликован на сайте
Главное, что должен увидеть посетитель там, где вы просите его данные, — это доступ к Политике оператора в отношении обработки персональных данных. Если раньше документ можно было положить в любой раздел сайта, открытый для пользователя, то теперь Политика должна быть размещена на каждой странице, где ведется сбор персональных данных (ч. 2 ст. 18.1 152‑ФЗ)
💡 Лайфхак: разместите ссылку на документ в футере сайта.
Политика ПДн в футере сайта saby.ru
Содержание Политики — не «про всё хорошее», а точная карта ваших процессов. Документ должен соответствовать п. 2 ч. 1 ст. 18.1 152-ФЗ: определить конкретные цели обработки (например, оформление заказа, подписка на рассылку, прием резюме, анализ пользовательской активности с помощью сервиса «Яндекс Метрика»), перечислить категории собираемых данных и субъектов для каждой цели, описать способы и сроки обработки и хранения, условия передачи третьим лицам, порядок уничтожения и право на отзыв согласия.
Распространенные ошибки по публикации Политики:
- Документ размещен не на всех страницах сайта, где ведется сбор персональных данных. Операторы забывают, что при подключении тех же сервисов веб-аналитики или виджетов обратной связи, собирающей персданные оказывается каждая страница сайта.
- По ссылке открывается документ, который к Политике не имеет никакого отношения. Например, оферта или согласие на обработку ПДн.
- В тексте Политики указана чужая организация. Так бывает, когда скачивается образец из интернета и даже не корректируется под себя.
- Описания целей и данных слишком общие и не отражают реальную работу сайта. Из содержания Политики посетителю сайта должно быть понятно, какие данные, в каких целях и кто собирает.
- Указывается бессрочный срок обработки ПДн. Необходимо помнить, что сроки обработки ПДн должны ограничиваться достижением конкретной цели обработки ПДн.
Любой из этих просчетов тянет на состав ст. 13.11 КоАП РФ и грозит штрафом до 60 000 ₽.
Политика и еще 60+ шаблонов документов по работе с ПДн
Полный набор, соответствует всем требованиям Роскомнадзора и ФСБ
Понятные поля с подсказками к заполнению
Требования при сборе данных для веб‑аналитики
Счетчики, куки и пиксели на сайте — это обработка персональных данных. Потому что они собирают IP-адрес, страну пребывания, возрастную категорию, пол, сведения о предпочтениях и поведении на сайте. А все эти косвенные параметры характеризуют конкретного субъекта. Положительная судебная практика по этому вопросу уже тоже есть (пример постановления 2023 года).
А значит, при использовании этих инструментов вы обязаны корректно уведомить пользователя и получить согласие. Сделать это нужно при первом заходе на сайт.
Классический вариант — всплывающий баннер. Из чего он должен состоять:
- Объяснение целей использования cookie и метрик.
- Ссылка на документ, на основании которого происходит сбор и обработка данных. Необязательно делать отдельный документ по cookie, это может быть и Политика обработки персданных.
- Возможность выбора: согласиться или отказаться. Простое уведомление «продолжая пользоваться сайтом, вы соглашаетесь…» без опции отказа — нарушение.
Штраф за обработку персданных без согласия пользователя доходит до 700 000 ₽.
Пример такого уведомления на сайте Сбербанка
Требования при использовании форм ввода данных
Любая форма — от заявки на звонок до корзины — должна работать по принципу информированного и свободного волеизъявления. Как это требование выполнить: рядом с кнопкой отправки данных обеспечьте видимую ссылку на Согласие на обработку ПДн. Галочка согласия в чек‑боксе не может стоять «по умолчанию», пользователь должен проставить ее самостоятельно.
Форма заявки с согласием на обработку ПДн на сайте saby.ru
💡 Даже если ваша форма содержит единственный раздел — адрес электронной почты, это уже будет являться обработкой персональных данных.
Согласие на обработку ПДн должно быть под одну конкретную цель. Никаких «мультисогласий» сразу на маркетинг, доставку, аналитику и передачу партнеру. Согласие пишется в свободной форме, но в тексте обязательно должны быть прописаны: цель и срок обработки, перечень данных, ФИО/наименование оператора, способы отзыва согласия. Вся информация в Согласии должна совпадать с фактической.
В согласии на обработку ПДн, так же, как и в Политике, срок обработки не может быть бессрочным, он должен соответствовать достижению конкретной цели обработки этих персданных.
👉 Посмотрите Согласие на обработку персональных данных компании «Тензор»
Требования при публикации отзывов клиентов и данных сотрудников
Отзывы и разделы о компании, где указаны имя, фото и другие идентификаторы клиентов или сотрудников, — это распространение персональных данных. А значит, публиковать отзывы и карточки сотрудников можно только при наличии согласия на распространение. Такое согласие обязательно должно быть оформлено отдельно от других документов в письменной форме.
Требования к содержанию утверждены приказом Роскомнадзора от 24.02.2021 № 18. Согласие должно включать:
- ФИО владельца персданных.
- Его контактную информацию (номер телефона, адрес электронной почты или почтовый адрес).
- Сведения об операторе. Для организации это наименование, юридический адрес, ИНН, ОГРН. Для физлица: ФИО и место жительства. Для ИП — ФИО, ИНН, ОГРН.
- Адреса сайтов, на которых будут размещены персданные.
- Цель обработки персональных данных.
- Категории и перечень персональных данных, на обработку которых дается согласие субъекта.
- Срок действия согласия.
При желании владелец персональных данных может добавить категории и перечень данных, для обработки которых он устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов.
Получайте такие согласия у каждого автора отзыва или сотрудника, данные которого вы публикуете на сайте, храните их и обеспечьте работающий механизм отзыва: пришел запрос — оперативно убрали публикацию.
Требования к локализации хранения данных
Персональные данные должны собираться только с использованием баз данных, которые находятся на территории РФ. Это касается как ваших собственных баз, так и привлеченных сервисов.
❗ Собирать персданные с использованием систем Google нельзя — это трансграничная передача данных.
Если вы используете иностранные инструменты: почтовые сервисы, CRM, аналитику, — которые передают ПДн за границу, это уже трансграничная передача. И использование таких сервисов без согласования с Роскомнадзором будет квалифицироваться как нарушение и наказываться штрафом до 6 млн ₽.
Порядок такого согласования прописан в ст. 12 152-ФЗ. Спойлер: получить разрешение от Роскомнадзора — это не пару кнопок нажать. Советуем оценить, так ли нужны именно иностранные сервисы или их без потерь можно заменить на российские аналоги.
Например, экосистема цифровых сервисов для автоматизации бизнеса Saby внесена в реестр отечественного ПО, аттестована по 2 уровню защищенности персданных и не использует в своей деятельности иностранные сервисы.
Чек‑лист для аудита вашего сайта. Пройдитесь прямо сейчас
- На каждой странице, где ведется сбор персданных, есть видимая ссылка на Политику в отношении обработки персональных данных, а сама Политика соответствует п. 2 ч. 1 ст. 18.1 152‑ФЗ и описывает все процессы.
- Cookie‑баннер появляется при первом визите, дает выбор (принять/отклонить), выбор логируется.
- Во всех формах сбора данных: чек‑бокс согласия не проставлен заранее, текст согласия конкретен и соответствует цели.
- Для отзывов и профилей сотрудников есть отдельные согласия на распространение (форма по приказу РКН № 18).
- Иностранные сервисы и хостинги не используются, либо трансграничная передача согласована с РКН.
Видеоматериалы по теме
