Сбор персональных данных на сайте и требования законодательства
Анализ текущей ситуации
Вы осуществляете сбор персональных данных (ФИО, телефон, email) через формы заказа на сайте, используете файлы cookie и размещаете на сайте ограниченные сведения о компании. Согласно законодательству, ваша компания является оператором персональных данных, а сбор информации через сайт с помощью средств автоматизации — это обработка персональных данных.
"Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)." (Источник: Федеральный закон "О персональных данных", статья 3)
"Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение..." (Источник: Федеральный закон "О персональных данных", статья 3)
"Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных..." (Источник: Федеральный закон "О персональных данных", статья 3)
Обязательные требования законодательства
1. Обязательная информация об операторе для субъектов ПДн
Текущих сведений (наименование, юридический адрес, контактный телефон) недостаточно. При сборе персональных данных оператор обязан предоставить субъекту по его просьбе установленный законом объем информации. Более того, при сборе данных не от самого субъекта (что применимо к cookie) действуют более строгие правила.
"При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона." (Источник: Федеральный закон "О персональных данных", статья 18)
"Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
- наименование либо фамилию, имя, отчество и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
2.1) перечень персональных данных;
- предполагаемые пользователи персональных данных;
- установленные настоящим Федеральным законом права субъекта персональных данных;
- источник получения персональных данных." (Источник: Федеральный закон "О персональных данных", статья 18)
2. Политика в отношении обработки персональных данных
Наличие этого документа и его публикация на сайте обязательны.
"Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети "Интернет", с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных..." (Источник: Федеральный закон "О персональных данных", статья 18.1)
Закон также требует, чтобы политика включала конкретные положения:
"издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований..." (Источник: Федеральный закон "О персональных данных", статья 18.1)
3. Использование файлов cookie
Если файлы cookie позволяют идентифицировать физическое лицо (например, связывая уникальный идентификатор с историей посещений и данными из формы), то их обработка приравнивается к обработке персональных данных. В этом случае на оператора распространяются все общие требования закона, включая необходимость получения согласия на обработку.
Принципы обработки, включая законность и справедливость, ограничение целями сбора и необходимость получения согласия, являются общими для всей обработки ПДн.
"Обработка персональных данных должна осуществляться на законной и справедливой основе." (Источник: Федеральный закон "О персональных данных", статья 5)
"Обработка персональных данных допускается в следующих случаях: 1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных..." (Источник: Федеральный закон "О персональных данных", статья 6)
4. Требования к безопасности хранения и обработки
Оператор обязан принимать комплексные меры по обеспечению безопасности персональных данных.
"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных." (Источник: Федеральный закон "О персональных данных", статья 19)
Ключевые меры включают:
- Определение угроз безопасности.
- Применение организационных и технических мер.
- Учет машинных носителей.
- Обнаружение фактов несанкционированного доступа.
- Установление правил доступа и учет всех действий с ПДн.
Важное требование, актуальное для сайта:
"Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации..." (Источник: КоАП РФ, статья 13.11)
Это означает, что базы данных с персональными данными граждан РФ должны физически находиться на территории России.
5. Ответственность и размеры штрафов
Штрафы действительно значительные и зависят от конкретного нарушения.
Примеры санкций по КоАП РФ (статья 13.11):
- Обработка ПДн без согласия (если оно требуется): для юридических лиц — от 300 000 до 700 000 рублей.
- Отсутствие политики обработки ПДн в общем доступе: для юридических лиц — от 30 000 до 60 000 рублей.
- Необеспечение хранения ПДн граждан РФ на территории России: для юридических лиц — от 1 000 000 до 6 000 000 рублей. При повторном нарушении — до 18 000 000 рублей.
- За неправомерную передачу данных в зависимости от масштаба (числа субъектов) штрафы для юрлиц могут достигать от 15 до 20 миллионов рублей, а при повторных нарушениях — рассчитываться в процентах от выручки (1-3%), но не менее 20-25 млн рублей.
"Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные более ста тысяч субъектов персональных данных и (или) более одного миллиона идентификаторов... - влекут наложение административного штрафа на... юридических лиц - от десяти миллионов до пятнадцати миллионов рублей." (Источник: КоАП РФ, статья 13.11)
Выводы и конкретные рекомендации
-
Срочно разработайте и опубликуйте на сайте Политику в отношении обработки персональных данных. В ней должны быть четко прописаны все требования ст. 18.1 ФЗ «О персональных данных»: цели, состав данных, сроки хранения, порядок уничтожения, сведения о безопасности и т.д.
-
Обеспечьте получение явного и информированного согласия на обработку ПДн от пользователей перед сбором данных через формы. Согласие должно соответствовать требованиям ст. 9 ФЗ «О персональных данных» (быть конкретным, информированным, сознательным). Для файлов cookie, позволяющих идентифицировать пользователя, также необходимо получать согласие, обычно через «плашку» (всплывающее окно) на сайте.
-
Назначьте ответственного за организацию обработки ПДн (требование ст. 22.1 ФЗ «О персональных данных»). Его контактные данные (или как минимум должность и email для связи по вопросам ПДн) рекомендуется указать в Политике конфиденциальности.
-
Проверьте и приведите в соответствие меры безопасности. Оцените, где и как хранятся данные из форм. Убедитесь, что базы данных с ПДн граждан РФ находятся на территории России. Реализуйте организационные (приказы, инструкции для сотрудников) и технические меры (настройки доступа, шифрование, защита от атак) в соответствии со ст. 19 ФЗ «О персональных данных» и требованиями регуляторов.
-
Подайте уведомление в Роскомнадзор об обработке ПДн, если не подпадаете под исключения (ст. 22 ФЗ «О персональных данных»). Обработка данных через сайт с использованием средств автоматизации, как правило, требует такого уведомления. В предоставленном контексте нет информации, освобождающей вас от этой обязанности.
-
Рекомендуется обратиться к адвокату или специализированной организации для проведения аудита текущего состояния дел, разработки полного пакета документов (политика, формы согласий, локальные акты) и помощи в организации процесса обработки ПДн в полном соответствии с законом. Это позволит минимизировать риски крупных штрафов и претензий со стороны контролирующих органов.
