Соблюдение законодательства о персональных данных для сайта с регистрацией пользователей

Соблюдение законодательства о персональных данных для информационного сайта

Анализ ситуации

Вы являетесь оператором персональных данных, поскольку собираете и обрабатываете ФИО, дату рождения и контактные данные пользователей для целей регистрации и авторизации на сайте. Даже без коммерческой деятельности и передачи данных третьим лицам, вы обязаны соблюдать требования законодательства о персональных данных.

Применимые правовые нормы

Требование о получении согласия

"Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 9)

Для вашего случая достаточно электронной формы согласия, которое пользователь дает при регистрации.

Обязательные элементы согласия

"Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности: 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; ... 3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных; 4) цель обработки персональных данных; 5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; ... 7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; 8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 9)

Уведомление Роскомнадзора

"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22)

Поскольку вы не подпадаете под исключения (обработка без средств автоматизации и др.), уведомление Роскомнадзора обязательно.

Меры защиты данных

"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 19)

Сроки хранения и уничтожения данных

"Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных... Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 5)

"В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку... и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные... в срок, не превышающий тридцати дней с даты поступления указанного отзыва..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 21)

Выводы и рекомендации

С чего начать:

1. Разработать и опубликовать Политику обработки персональных данных - документ, определяющий вашу политику в отношении обработки ПДн.

2. Получить согласие пользователей в электронной форме при регистрации, содержащее все обязательные элементы.

3. Направить уведомление в Роскомнадзор до начала обработки данных.

4. Реализовать меры защиты персональных данных.

Обязательные документы:

• Политика в отношении обработки персональных данных
• Форма согласия на обработку персональных данных
• Перечень лиц, имеющих доступ к персональным данным
• Приказ о назначении ответственного за обработку ПДн

Меры защиты данных:

• Организационные: регламенты доступа, инструкции для сотрудников
• Технические: шифрование, антивирусная защита, резервное копирование
• Правовые: договоры с сотрудниками о конфиденциальности

Уничтожение данных при удалении аккаунта:

При удалении аккаунта пользователем вы должны уничтожить его персональные данные в течение 30 дней, если их хранение более не требуется для заявленных целей. Рекомендуется настроить автоматическое удаление данных при добровольном удалении аккаунта пользователем.

Важно: Указанные рекомендации носят общий характер. Для полного соответствия законодательству и учета специфики вашего сайта рекомендую обратиться к адвокату, специализирующемуся на защите персональных данных.