Правовые требования к обработке персональных данных на информационном сайте
Анализ вашей ситуации
Вы являетест оператором персональных данных, поскольку организуете и осуществляете обработку ФИО, электронной почты, телефона и даты рождения пользователей при их регистрации на сайте.
Статус даты рождения
"Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 10)
Вывод: Дата рождения не относится к специальным категориям персональных данных. Это обычные персональные данные, но они требуют защиты в общем порядке.
Основание для обработки и согласие
"Обработка персональных данных допускается в следующих случаях: 1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6)
"Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 9)
Вывод: Вам необходимо получать согласие пользователей на обработку их персональных данных, включая дату рождения.
Требования к содержанию согласия
"Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности: 4) цель обработки персональных данных; 5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; 7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; 8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 9)
Уведомление Роскомнадзора
"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22)
Исключение: Уведомление не требуется только если обработка осуществляется без использования средств автоматизации, что в вашем случае неприменимо.
Требования к защите данных
"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 19)
Конкретные меры безопасности включают:
"Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)" (Источник: Приказ ФСТЭК России от 18.02.2013 N 21, раздел I)
"Управление доступом субъектов доступа к объектам доступа" (Источник: Приказ ФСТЭК России от 18.02.2013 N 21, раздел II)
"Регистрация событий безопасности" (Источник: Приказ ФСТЭК России от 18.02.2013 N 21, раздел V)
"Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных" (Источник: Приказ ФСТЭК России от 18.02.2013 N 21, раздел X)
Локализация данных
"При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 18)
Рекомендации и выводы
1. Получите надлежащее согласие
- Разработайте форму согласия на обработку персональных данных при регистрации
- Включите все обязательные элементы: цели обработки, перечень данных, срок действия, способ отзыва
- Обеспечьте возможность подтверждения факта получения согласия
2. Уведомьте Роскомнадзор
- Подайте уведомление об обработке персональных данных до начала обработки
- Укажите все требуемые сведения согласно ст. 22 152-ФЗ
3. Организуйте защиту данных
- Внедрите меры безопасности согласно Приказу ФСТЭК №21
- Обеспечьте резервное копирование данных
- Реализуйте систему регистрации событий безопасности
- Организуйте управление доступом
4. Разработайте документы
- Политику в отношении обработки персональных данных
- Регламенты обработки персональных данных
- Документ об уровнях защищенности
5. Обеспечьте локализацию
- Храните базы данных с персональными данными граждан РФ на территории России
6. Особое внимание
- Если регистрация доступна несовершеннолетним, получите согласие родителей
- Четко определите цели обработки данных и не используйте их для других целей
- Предусмотрите процедуру удаления данных по требованию пользователя
Важно: Рекомендую обратиться к адвокату, специализирующемуся на защите персональных данных, для разработки полного пакета документов и проведения аудита вашей системы.
