В условиях усиленного контроля со стороны Роскомнадзора соблюдение законодательства о персональных данных становится критически важным для любой организации, которая взаимодействует с такими данными. Несоблюдение установленных требований может привести к значительным штрафам и иным санкциям, в том числе блокировке сайта.
- Статья статья поможет разобраться, как правильно оформить сайт, чтобы соответствовать действующему законодательству.
- Здесь же вы найдете инструкцию, как заполнить заявку на регистрацию в реестре операторов персональных данных РКН.
Хотите получить полный пакет документов для размещения на сайте?
- Оставьте контакты в форме заявки в конце статьи
- Напишите "Скачать документы" в поле "Расскажите о задаче или проекте"
- Мы отправим материалы на ваш email!
Мы также готовы проконсультировать по вопросам соблюдения законодательства и подготовить ваш сайт к проверке РКН: провести необходимые доработки и разместить документацию. Если нужна помощь или остались вопросы, напишите нам info@webest.ru
Основные обязательства оператора персональных данных
Согласно Федеральному закону № 152-ФЗ «О персональных данных», любая организация, которая собирает, хранит или обрабатывает персональные данные, обязана:
- Зарегистрироваться в реестре операторов персональных данных.
- Обеспечить наличие на сайте необходимых документов.
- Организовать процесс получения согласия на обработку данных от пользователей.
- Уведомить пользователей о сборе и использовании файлов cookie и сервисов аналитики.
Какие документы обязательно размещать на сайте, чтобы собирать персональные данные?
Для соответствия требованиям законодательства на сайте необходимо разместить следующие элементы.
1. Контактная информация и реквизиты
Согласно Федеральному закону № 149-ФЗ «Об информации», владелец сайта обязан разместить сведения о себе: название организации, адрес, электронную почту, ОГРН и ИНН.
Требований к размещению контактной информации в конкретной части сайта нет. Обычно их располагают в футере сайта. Желательно, чтобы раздел «Контактная информация» выводил (или позволял скачивать) полные реквизиты организации с указанием наименования, юридический адрес, фактический адрес, ОГРН, ИНН, КПП, банковские реквизиты.
Пример размещения ссылок на Политику конфиденциальности и Контакты
2. Политика в отношении обработки персональных данных (политика конфиденциальности)
Политика в отношении обработки персональных данных обязательно должна быть размещена на сайте, если на сайте есть хотя бы одна форма сбора контактов, форма регистрации в личном кабинете или форма обратной связи. Документ должен содержать описание, какие данные собираются, с какой целью и каким образом они обрабатываются.
При сборе файлов cookies и использовании на сайте сервисов Google Analytics и/или Яндекс.Метрика необходимо указывать эту информацию в Политике в отношении обработки персональных данных Обязательно упоминание о сборе данных через файлы cookie и использование сторонних аналитических систем (например, Яндекс.Метрика).
Информация о сборе cookie
Сайты начинают собирать cookies сразу же после захода пользователя на сайт. Недостаточно показывать пользователю всплывающее при первом посещении сайта сообщение по типу «Продолжая использовать указанный сайт, вы соглашаетесь с условиями…» (browse-wrap соглашение). Теперь такое сообщение должно содержать:
- ссылку на полный текст политики конфиденциальности;
- перечисление действий пользователя, которые будут квалифицироваться как принятие им условий соглашения (например, регистрация на ресурсе, направление сообщений через веб-формы на ресурсе, загрузка размещённых на ресурсе файлов, использование функции ресурса по поиску информации/файлов на ресурсе и т.п.) либо в самом сообщении, либо в виде ссылки на соответствующий пункт пользовательского соглашения.
Окно должно отображаться до тех пор, пока пользователь не согласится с условиями.
При сборе файлов cookies уведомление рекомендуется помещать сразу при переходе посетителя на сайт в виде всплывающего окна, используя следующую формулировку:
Продолжая использовать наш сайт, Вы даете свое согласие на обработку пользовательских данных в соответствии с Политикой конфиденциальности* (IP-адрес; версия веб-браузера; сведения об устройстве (тип, производитель, модель); разрешение экрана и количество цветов экрана; версия Flash; версия Silverlight; наличие программного обеспечения для блокирования рекламы; наличие Cookies; наличие JavaScript; язык ОС и Браузера; время, проведенное на сайте; действия пользователя на сайте) в целях определения посещаемости сайта.
Информация об использовании на сайте сервисов веб-аналитики
При использовании на сайте сервисов веб-аналитики необходимо также указать объем использования сервиса и дать ссылку на Политику в отношении обработки персональных данных соответствующего сервиса.
Как правило, Политику размещают в футере сайта, но можно и в любом ином месте, главное, чтобы у пользователей был свободный доступ к документу. РКН требует дополнительно уведомлять о сборе метрических данных, размещая об этом информацию, например, посредством всплывающего окна:
Продолжая использовать наш сайт, Вы даете свое согласие на обработку пользовательских данных метрической системой Яндекс.Метрика в соответствии с условиями Политики конфиденциальности ООО “ЯНДЕКС” (https://yandex.ru/legal/confidential/) в целях определения поведения пользователей на сайте для внутренней аналитики.
Можно объединить с окном файлов cookies, используя следующую формулировку:
Продолжая использовать наш сайт, Вы даете свое согласие на обработку пользовательских данных в соответствии с Политикой конфиденциальности*, а также согласие на сбор данных метрической системой Яндекс.Метрика в соответствии с условиями Политики конфиденциальности ООО “ЯНДЕКС” (https://yandex.ru/legal/confidential/) в целях определения поведения пользователей на сайте для внутренней аналитики.
- *Должна быть гиперссылка на текст Политики конфиденциальности.
3. Согласие на обработку персональных данных
Нормативное регулирование: Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (п. 1 ст. 9)
Для сайта наиболее простым вариантом предоставления согласия субъекта на обработку персональных данных является создание формы, где осуществляется заполнение персональных данных.
- Кнопка отправки данных должна становиться активной только после того, как пользователь поставит галочку в соответствующем чек-боксе.
- На всех формах ввода данных (обратная связь, заявка на звонок, форма заказа и т. д.) должна быть строка с текстом:
Я даю согласие на обработку моих персональных данных, указанных в этой веб-форме, а также данных, которые будут указаны мной в личном кабинете после регистрации, включая право поручения обработки другим лицам, на условиях, изложенных в Политике конфиденциальности*, с которой я ознакомился - *при этом Политика конфиденциальности посредством гиперссылки должна отсылать на указанный документ.
Пример формы сбора данных с чек-боксом
Дополнительным вариантом является двойное подтверждение — double opt-in. Клиент дает согласие через e-mail или СМС.
- Например, сначала оставляет свой e-mail в форме на сайте, а затем подтверждает согласие, кликнув на ссылку в письме.
- Или оставляет на сайте номер телефона, а потом отправляет подтверждение в ответ на СМС, которое пришло от компании, или называет код продавцу в магазине.
Главное, вне зависимости от формы согласия сохранить подтверждение того, что клиент согласился на обработку своих персональных данных.
- Для этого сохраните заполненную от руки анкету или выгрузите логи — технические файлы о действиях клиента на сайте.
- Согласия нужно хранить на случай проверки контролирующими органами или жалобы клиента.
Какие еще документы нужно разместить на сайте для обработки персональных данных?
Опционально размещаются следующие элементы.
4. Оферта (также именуемая пользовательское соглашение, правила использования сайта, договор, условия и иные).
Согласно Гражданскому кодексу Российской Федерации (часть первая) от 30.11.1994 № 51-ФЗ (п. 1 ст. 435) оферта должна содержать существенные условия договора.
Оферта размещается в случае, если на сайте есть возможность заключить сделку, создать личный кабинет. Если сайт носит информационный характер, то в таком документе нет необходимости.
Офертой может быть единый документ или совокупность документов, которые регулируют дистанционную розничную куплю-продажу товаров/услуг, оплату, возврат денежных средств, доставку, формирование и изменение цены, а также иные важные условия.
Принципиально указание на действия, которые считаются акцептом оферты (например, оформление заказа). Согласиться с офертой можно через регистрацию в личном кабинете, оформление заказа, оплату товара, скачивание программы — как вам нужно. В оферту не могут быть включены условия, ущемляющие права потребителей.
Пример размещения оферты на сайте
5. Согласие на получение рекламы
Нормативное регулирование: Федеральный закон от 13.03.2006 № 38-ФЗ «О рекламе» (п. 1 ст. 18).
При распространении рекламы с помощью мобильной связи и интернета нужно получить разрешение пользователя. Для этого готовят форму с текстом, в которой указывают:
- кто будет рассылать рекламу — название компании или ФИО предпринимателя;
- что будет рассылаться — информация о мероприятиях, подборки товаров, уведомления об акциях;
- как будет рассылаться информация — например, через смс или по электронной почте;
- правила отказа от согласия — обычно это нажатие на ссылку «Отписаться от рассылки»
При заполнении какой-либо формы (например, с указанием ФИО, почты, телефона), предполагающей получение рекламной рассылки, необходимо ниже этой формы создать отдельный чек-бокс с непроставленной галочкой с текстом следующего содержания:
Я согласен получать новостную и рекламную рассылку в соответствии с согласием (гиперссылка на текст согласия) на получение рекламы и Политикой (гиперссылка на текст Политики) обработки и защиты персональных данных.
Отдельный чек-бокс для подтверждения согласия на получение рекламной информации не должен быть обязательным для пользования сайтом.
Хотите получить полный пакет документов для размещения на сайте?
- Оставьте контакты в форме заявки в конце статьи
- Напишите "Скачать документы" в поле "Расскажите о задаче или проекте"
- Мы отправим материалы на ваш email!
Как зарегистрироваться в реестре операторов персональных данных: инструкция
После внесения всех необходимых изменений на сайт организация обязана подать уведомление в Роскомнадзор о начале обработки персональных данных. Для этого:
- Заполните уведомление на официальном сайте Роскомнадзора.
- Укажите данные организации, описание процессов обработки персональных данных и используемых технологий.
- Отправьте уведомление в электронном или бумажном виде.
Штрафы за несоблюдение законодательства
Несоблюдение требований законодательства о персональных данных может привести к:
- Штрафу до 75 000 рублей за отсутствие политики конфиденциальности на сайте.
- Штрафу до 18 миллионов рублей за незаконную обработку персональных данных (в случае серьезных нарушений).
- Блокировке сайта Роскомнадзором.
Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Порядок заполнения в электронной форме на портале персональных данных Роскомнадзора
Уведомление оператора персональных данных заполняется на портале персональных данных Роскомнадзора (https://pd.rkn.gov.ru/operators-registry/notification/form/).
Необходимо ввести полное и сокращенное наименование оператора в соответствии с учредительными документами. Далее указываются фактический и юридический адреса организации. Заполняется регион (или регионы), в которых организация осуществляет свою деятельность.
Заполняются реквизиты организации (обязательными являются только ИНН и ОГРН, остальные можно не заполнять). Если у организации есть филиалы, добавляем информацию о них.
Графа Цель обработки персональных данных для разных организаций может сильно отличаться, но для большинства коммерческих организаций будет корректно выбрать пункт “подготовка, заключение и исполнение гражданско-правового договора”.
В разделе Категории персональных данных необходимо отметить обрабатываемые категории, а потом в поле Иные персональные данные (при выборе такой категории), указываются те персональные данные, которых нет в списке.
В разделе Категории субъектов, персональные данные которых обрабатываются необходимо указать перечень категорий лиц, чьи данные хранятся или обрабатываются.
В графе Правовое основание обработки персональных данных необходимо указывать все основания, которые так или иначе подходят компании. Из представленных стоит выбрать те, которые отмечены галочками.
В поле Перечень действий с персональными данными можно выбрать все из них. Если есть действия, которые совсем не актуальны для организации (например, обезличивание) необходимо убрать из этого списка.
В графе Способы обработки необходимо указать следующие.
Указанные действия необходимо проделать с каждой заявленной целью отдельно (если их несколько).
В разделе Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных» копируются положения указанных статей закона и подтверждается, что все условия выполнены.
В поле Использование шифровальных (криптографических) средств, если не используются, то пункт пропускается. Если используются, то необходимо написать наименования средств защиты и их класс. Эти данные можно узнать из документации на криптосредство. Если используются разные СКЗИ разных классов, то форма позволяет указать все необходимые сведения.
Далее в поле Ответственный за организацию обработки персональных данных заполняются данные физического лица, которого в компании приказом назначили ответственным за организацию обработки персональных данных. ВАЖНО! ФИО ответственного, его контактный телефон и e-mail будут доступны в реестре операторов ПД.
Дата начала обработки персональных данных обычно совпадает с датой основания компании (регистрации). В графе Срок или условие прекращения обработки ПД необходимо выбрать из списка “условие окончания” и в качестве условия указать “прекращение деятельности организации”.
В поле Осуществление трансграничной передачи персональных данных необходимо указать, передаются ли персональные данные за границу. Если нет, то декларируется отсутствие трансграничной передачи. Если да, необходимо указать все страны, в которые передаются данные.
В разделе Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ необходимо выбрать страну, в которой располагается «ЦОД» и указываем его адрес. Дальше указывается является ли «ЦОД» собственностью организации или нет. Если нет, то указываются данные владельца площадки. Если в организации несколько ИСПДн, то данные «ЦОДа» нужно указать для каждой отдельно.
В поле Сведения о лицах, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах можно указать сведения о подрядчиках, которые обрабатывают соответствующую информацию. Их может и не быть.
В разделе Сведения об обеспечении безопасности персональных данных необходимо указать перечень средств защиты информации, применяемых в информационных системах персональных данных (можно перечислить все фактически используемые СЗИ).
Затем прикрепляется машиночитаемая доверенность (если действует представитель компании, а не лица, имеющие право действовать без доверенности), проставляются галочки и нажимается кнопка Подписать и отправить электронное уведомление.
Хотите получить полный пакет документов для размещения на сайте?
- Оставьте контакты в форме заявки в конце статьи
- Напишите "Скачать документы" в поле "Расскажите о задаче или проекте"
- Мы отправим материалы на ваш email!
Мы также готовы проконсультировать по вопросам соблюдения законодательства и подготовить ваш сайт к проверке РКН: провести необходимые доработки и разместить документацию. Если нужна помощь или остались вопросы, напишите нам info@webest.ru
вверх