Как известно, в случае если ваш сайт обрабатывает персональные данные россиян, вам необходимо предупреждать об этом ваших пользователей. Если на сайте не будет галочки «Согласие на обработку персональных данных», либо не будет «Политики конфиденциальности», владелец сайта может получить достаточно крупный штраф, в зависимости от найденных нарушений.
Нарушения и соответствующие им штрафы:
- обработка данных без согласия пользователя: штраф для юридических лиц – от 15 до 75 тысяч рублей, для должностных лиц – от 10 до 20 тысяч рублей;
- политика обработки персональных данных недоступна: штраф для юридических лиц – от 15 до 30 тысяч рублей, для должностных лиц – от 3 до 6 тысяч рублей;
- база данных находится на зарубежном хостинге: штраф от 30 до 75 тысяч рублей.
- Также, нередки случаи, когда сайт по каким-либо причинам попадает в черный список Роскомнадзора.
Таким образом, можно выделить следующие критерии соответсвия:
- наличие на сайте согласия на обработку персональных данных;
- наличие на сайте политики конфиденциальности;
- нахождение хостинга сайта на территории РФ;
Что входит в понятие “Оператор персональных данных?”
Персональные данные — эти те данные, по которым можно идентифицировать человека. Подробного перечня в законе нет, поэтому можно предположить, что вы являетесь оператором персональных данных, если собираете каким-либо способом следующую информацию о людях:
- фамилию, имя, отчество
- физический адрес
- электронную почту
- телефон
- дату или место рождения
- фотографию
- ссылку на персональный сайт или профиль в социальных сетях
- профессию
- образование
- уровень доходов
- семейное положение
Что делать, чтобы соответствовать закону?
Минимальный список требований следующий:
- получать письменное согласие у каждого посетителя, передающего информацию о себе, на обработку, хранение и распространение персональных данных;
- опубликовать в открытом доступе информацию обо всём, что касается персональных данных клиентов и посетителей;
- запрашивать только те данные, которые нужны для конкретной цели. Например, только адрес электронной почты для подписки на рассылку;
- использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
- сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
- удалять по первому требованию данные, которые используются для ваших информационных рассылок;
- хранить базы данных в надежном месте, защищать их от взлома и утечки;
- зарегистрироваться в Роскомнадзоре;
Что касается последнего пункта, то регистрация не обязательна, в случае если:
- вы обрабатываете только данные сотрудников;
- персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более — распространяться;
- человек сам опубликовал эти данные в общем доступе;
- у вас есть только ФИО клиента;
Что конкретно нужно сделать на моем сайте?
- Перенести сайт к хостинг провайдеру, сервера которого находятся на территории Российской федерации;
- На формы, которые так или иначе собирают данные пользователей, необходимо установить чекбокс, позволяющий пользователю согласиться с условиями и ознакомиться с текстом политики конфиденциальности;
- Удостовериться, что сайте размещены и доступны следующие документы: Политика конфиденциальности, согласие на обработку персональных данных, Пользовательские соглашения;
- Убедиться, что ваша система управления сайтом позволяет пользователю отписаться от рассылки новостей и иного вида информации генерируемой вашим сайтом;