Защита персональных данных

Персональные данные на сайте 2023. Как работать по 152-ФЗ и не получать штрафы

Если на сайте вашей компании можно оставить свои контакты для обратной связи, приобрести товар или услугу, подписаться на рассылку, значит, вы обрабатываете персональные данные пользователей и вам нужно следовать нормам 152-ФЗ. Разберем, как работать с личной информацией клиентов, чтобы не нарушать законодательство.
Персональные данные на сайте 2023. Как работать по 152-ФЗ и не получать штрафы
Иллюстрация: Вера Ревина/Клерк.ру

Что относится к персональным данным (ПДн)

ПДн считается любая информация, которая прямо или косвенно относится к физлицу — такая, по которой можно идентифицировать человека. В законе не дается список данных, которые можно однозначно считать персональными, из-за чего периодически случаются судебные разбирательства.

Чаще всего к ПДн причисляют:

  • ФИО;

  • сведения о дате и месте рождения;

  • адреса проживания и регистрации;

  • образование, доход, профессия (должность);

  • паспортные данные, ИНН, СНИЛС;

  • семейное, социальное или имущественное положение.

Постановлением Правительства от 13.09.019 № 1197 перечень данных, относящихся к персональным, был дополнен:

  • абонентский номер телефона (подвижной радиотелефонной связи)

  • адрес электронной почты.

  • Иные идентификаторы, которые присваивает информационная система

ФЗ «О персональных данных» выделяет следующие категории персональных данных:

  • общедоступные персональные данные;

  • специальные категории;

  • биометрические данные.

Общедоступные персональные данные — это те данные, на которые не распространяются требования соблюдения конфиденциальности. К примеру, это могут быть справочники или социальные сети. Данные обычно предоставляют сами пользователи, когда оставляют заявку или совершают заказ.

Биометрические персональные данные — физиологические и биологические особенности человека на основании которых можно установить его личность (сетчатка глаза, отпечатки пальцев, фото— видео-записи и т.д.), обрабатываются только с письменного согласия.

Без письменного согласия биометрика осуществляется только в следующих целях:

  • осуществления правосудия и привлечения к ответственности;

  • розыск, в том числе международный;

  • дактилоскопия (опознание трупа);

  • миграционное законодательство;

  • антикоррупционные и антитеррористические меры;

  • принудительное исполнение решений и приговоров судов.

Что является специальной категорией персональных данных

В данную группу входят:

  • сведения, касающиеся состояния здоровья;

  • гендерная и расовая принадлежность;

  • сведения интимного характера, включая сексуальную ориентацию и все, что касается половой жизни;

  • мировоззрение (философские воззрения) из частной жизни человека;

  • религиозные убеждения;

  • политические взгляды и т.д.

Для обработки специальных категорий персональных данных требуется выполнение одного из условий:

  • получение письменного согласия установленного законом образца;

  • использование сведений, опубликованных в общедоступных источниках самим гражданином;

  • вступление в силу международных договоренностей;

  • выполнение действий в рамках судебного производства или по решению суда;

  • возникновение риска для жизни и здоровья субъекта либо окружающих людей;

  • обработка информации в рамках деятельности общественной либо религиозной организации.

Кроме того, информация собирается автоматически при помощи cookies — специальных файлов, отправленных веб-сервером и сохраненных на компьютере пользователя. Они содержат сведения о его действиях, например, добавленные в корзину товары или логин и пароль от личного кабинета.

Чтобы проводить действия с ПДн — собирать, хранить, записывать, передавать, изменять или удалять — нужно зарегистрироваться в Роскомнадзоре в качестве оператора ПДн.

Получите бесплатно запись вебинара «Как организовать информационную безопасность в компании»

Не становитесь жертвой кибератак и не позволяйте злоумышленникам получить доступ к вашим конфиденциальным данным

Узнайте как безопасно выстроить ключевые бизнес-процессы и как настроить систему информационной безопасности

Заполните форму ниже и мы пришлем запись вебинара на ваш e-mail:

Принимаю оферту и даю согласие на сбор персональных данных и их распространение

Категория иных персональных данных

Четкого определения, какие сведения могут быть отнесены в эту группу, в нормативно-правовой документации нет. Указано только, что речь идет о ПДн, не относящихся к предыдущим категориям. То есть оператору, чтобы идентифицировать информацию как «иную», придется убедиться в том, что она не является биометрической, общедоступной или специальной.

Категории субъектов персональных данных

В процессе установления уровня защищенности, что требуется каждому оператору ПДн, необходимо проанализировать не только особенности обрабатываемой личной информации, но и определиться с категориями субъектов ПДн.

В широком представлении под субъектами подразумеваются граждане, которых можно идентифицировать, используя те или иные виды касающихся их сведений.

Но если говорить о расчете итогового показателя, который отображает способность ИС нейтрализовать угрозы, то здесь постановление Правительства № 1119 устанавливает 2 категории:

  • лица, которые не являются штатными или внештатными сотрудниками организации;

  • лица, связанные с компанией трудовыми правоотношениями.

В дополнение к этому при расчете уровня защищенности нужно будет определиться с количеством граждан, чьи ПДн обрабатываются — меньше или больше 100 000 субъектов.

После этого останется установить типы актуальных угроз, и можно приступать к разработке организационно-технических мероприятий, направленных на защиту от неправомерных действий с персональными данными.

Регистрация в Роскомнадзоре (РКН)

До отправки уведомления в РКН нужно собрать пакет документов — их шаблоны есть на сайте ведомства:

  • Политика по обработке ПДн.

  • Внутреннее положение об обработке ПДн.

  • Приказ о назначении ответственного.

  • Приказ о работе с ПДн.

  • Регламент доступа к ПДн.

  • Согласие на обработку ПДн. Передавать вам данные о себе или нет — выбор пользователя, поэтому нужно спросить его согласие. Достаточно сделать чек-бокс, с помощью которого пользователь уведомляет о согласии и ознакомлении с политикой конфиденциальности.

  • Обязательство о неразглашении ПДн, которое подписывают работающие с ними сотрудники.

Когда документы готовы, уведомите РКН о сборе ПДн, заполнив форму на официальном сайте, а оригинал заявления передайте в территориальное отделение РКН. При отправке заявления через Госуслуги или подписании его КЭП отправлять бумажный экземпляр не нужно.

Отправлять заявление не потребуется, если:

  • данные включены в государственные информационные системы ПДн для защиты безопасности государства и общественного порядка;

  • ПДн обрабатываются без средств автоматизации;

  • данные обрабатываются для транспортной безопасности.

Если вы перестали обрабатывать ПДн или у вас изменились условия обработки информации — например, адрес или структура сбора данных, уведомите РКН до 15 числа следующего месяца с помощью уведомления по форме № 2 к приказу 180.

Кроме того, сообщить в ведомство нужно о том, что вы отправляете данные за границу: например, работаете с фрилансерами из другой страны или пользуетесь зарубежными сервисами аналитики (как Google Analytics). РКН делит страны на те, которые обеспечивают надежную защиту ПДн — Беларусь, Казахстан, страны Конвенции № 108 и из приказа Роскомнадзора № 128, и государства с ненадежной защитой. Во втором случае отправьте уведомление и подождите 10 дней. Если не придет ответ — это означает, что нет запрета и ограничения на передачу данных.

Статус уведомления обновляется на сайте РКН. Если планируете обмениваться информацией с государствами, надежно защищающими данные, 10 дней можно не ждать.

Что делать, если сайт взломали злоумышленники и украли ПДн? Заявите об этом в РКН в течение 24 часов после утечки информации, а в течение 72 часов предоставьте результаты расследования.

Что нужно добавить на сайт

Чтобы защитить информацию пользователей, установите на сайт .SSL–сертификат. Он формирует зашифрованное соединение, которое не позволяет мошенникам перехватывать информацию пользователей. Это особенно важно, если покупатели заполняют на сайте реквизиты своих банковских карт, ФИО и адреса.

Опубликуйте согласие на обработку ПДн и политику конфиденциальности. В ней нужно указать:

  • ИНН и наименование организации или ФИО, если данные обрабатывает физлицо;

  • адрес регистрации или местонахождения компании, контакты;

  • список собираемых личных сведений;

  • сроки и порядок обработки ПДн;

  • третьи лица, привлекаемые к обработке ПДн;

  • как обеспечивается безопасность информации.

Владелец сайта размещает политику конфиденциальности на всех страницах, собирающих личные сведения.

Кроме политики, разместите уведомление о cookies — обычно это всплывающее окно с предупреждением или баннер с кнопкой согласия на сбор личных данных.

Какое наказание будет, если нарушить 152-ФЗ

Закон устанавливает административные штрафы за нарушение порядка обработки ПДн — их размер зависит от статуса нарушителя, степени тяжести нарушения и совершается ли оно впервые.

Для физлица размер штрафа — от 2 до 100 тысяч рублей, для ИП — от 5 тысяч до 18 миллионов рублей, для должностного лица — от 6 до 800 тысяч рублей, для юрлица — от 30 тысяч до 18 миллионов рублей. Соблюдение 152-ФЗ контролирует РКН.

Если вам нужна помощь в организации работы с личными сведениями пользователей, помощь в подготовке документов или консультация — обращайтесь в «ДАС групп». Вы можете заказать комплексные консалтинговые услуги для вашего бизнеса: https://t.me/das_group_company.

DAS group | консалтинг для бизнеса

Выстраиваем и совершенствуем бизнес-процессы, задавая вектор улучшений и снижая риски

Реклама: ООО «ДАС ГРУП», ИНН 5405083068, erid: LjN8KNYD1

Начать дискуссию