Политика обработки персональных данных — обязательный документ для сайтов, которые запрашивают личную информацию пользователей, например электронную почту или номер телефона. В статье рассказываем, как собирать персональные данные и какие пункты следует включить в политику их обработки.
Что такое персональные данные
Термин раскрывается в 152-ФЗ «О персональных данных». Согласно закону ПДн, или персональные данные, — это информация, которая прямо или косвенно определяет физическое лицо. Другими словами — данные, которые помогают идентифицировать человека.
Например, к персональным данным относятся:
- Фамилия, имя, отчество
- Дата рождения
- Номер телефона
- Место жительства или пребывания
- Серия и номер паспорта, ИНН
- Ссылки на социальные сети
- Группа крови, отпечаток пальца
- Стаж, заработная плата, даты отпусков
Когда владелец сайта или приложения собирает личные сведения у пользователей, он автоматически становится оператором ПДн. Оператором называют юридическое или физическое лицо, которое обрабатывает данные — записывает, накапливает, систематизирует и обновляет. Персональные данные считаются личными сведениями, и все, кто работает с ними, несут ответственность за обеспечение их конфиденциальности.
Чтобы понять, считаетесь ли вы оператором ПДн, определите, что именно вы запрашиваете у посетителей. Вот несколько ситуаций, в которых ответ будет положительным:
- Вы предлагаете пользователям оставить электронный адрес, чтобы они получали рассылки
- Для регистрации на ресурсе нужно указать имя, телефон или почту
- Чтобы узнать точную стоимость услуг, потенциальному клиенту нужно оставить заявку на обратный звонок
Вы становитесь оператором только в том случае, если данные относятся к конкретному человеку. Так, имя без фамилии и отчества — это не персональная информация, потому что по ней невозможно установить личность. Если вы анонимно просите посетителей сайта оценить его удобство, то также не выступаете оператором ПДн.
Если ваш ресурс проводит сбор технических сведений, например IP-адресов, данных браузера или файлов cookie, вы считаетесь оператором, потому что эту информацию также относят к конфиденциальной.
Зачем компаниям нужны ПДн
Цели, для которых владельцы сайтов запрашивают данные, могут быть следующими:
- Принять плату за продукт по банковской карте
- Доставить товар покупателю по верному адресу
- Открыть доступ к обучающему курсу
- Отправить новостную рассылку
- Уточнить детали заказа по телефону
- Провести анализ целевой аудитории
Используйте информацию о своей целевой аудитории для настройки рекламных кампаний в Яндекс Директе с помощью сервиса Яндекс Аудитории. Сегментируйте пользователей, просматривайте статистику по ним и находите похожих клиентов. Подробнее о сервисе читайте в Справке.
По закону обработка персональных данных должна ограничиваться достижением целей, которые прописаны компанией в соответствующих документах. Например, организация запросила у клиента домашний адрес для доставки товара, а затем использовала его для настройки таргетированной рекламы — при этом реклама не была указана в качестве цели сбора. Тогда это считается нарушением — человек может обратиться в Роскомнадзор или суд.
Цели также определяют содержание и объём конфиденциальной информации, которую вы запрашиваете. Например, если владельцу ресурса нужно подключить человека к музыкальному онлайн-сервису, не следует уточнять при регистрации семейное положение. Достаточно узнать имя и номер телефона.
Как работать с конфиденциальными данными на сайте
Чтобы законно собирать и хранить сведения, сделайте следующее:
1. Разработайте документы. Федеральный закон о персональных данных уточняет, что оператор обязан рассказать человеку, какую информацию он собирает, с какой целью и что он планирует с ней делать. По этой причине владельцу интернет-ресурса следует создать политику обработки ПДн. Ещё её называют политикой конфиденциальности или приватности.
Кроме того, оператор в большинстве случаев не имеет права обрабатывать данные людей без их согласия. Поэтому необходим документ, с помощью которого это разрешение запрашивают у пользователей. Обычно таким документом выступает согласие на обработку персональных данных.
2. Разместите политику и согласие на сайте. Публиковать документы следует в общедоступном месте, чтобы каждый посетитель ресурса мог ознакомиться с ними. Часто их размещают в «подвале» сайта, то есть внизу страницы.
На скриншоте — пример «подвала» ресурса со ссылками на документы
Кроме того, важно поместить ссылки на политику и согласие рядом с формой, в которую пользователь вносит личные сведения. Когда человек заполнит её, он должен подтвердить, что разрешает ресурсу работать с ними. Для этого обычно используют чекбокс — в таком случае нужно поставить галочку в специальном окне.
Другой вариант — разместить предупреждение, что человек автоматически даёт согласие на использование персональных данных, когда отправляет информацию. Но это менее безопасный способ, так как согласие должно быть конкретным, предметным и информированным, а при автоматическом сборе это требование сложно соблюсти.
Пример формы авторизации
3. Отправьте уведомление в Роскомнадзор. Работать с конфиденциальной информацией могут только владельцы интернет-ресурсов, которые получили разрешение от Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.
Необходимо заполнить специальную форму и отправить её одним из способов:
В уведомлении следует отметить цель: для большинства компаний подходящей будет «Продвижение товаров, работ, услуг на рынке»
Если всё заполнено правильно, Роскомнадзор добавит вас в реестр операторов в течение 30 дней. Посмотреть, внесли ли вас в реестр, можно на сайте Федеральной службы. Если вы перестанете работать с личными сведениями, об этом также нужно сообщить уполномоченному органу в срок до 10 рабочих дней.
Уведомлять уполномоченный орган не требуется, если вы обрабатываете ПДн:
- Для государственных информационных систем
- Вручную
- Для обеспечения безопасности на транспорте
Для продвижения товаров и услуг в интернете используйте Яндекс Директ. Платформа позволяет бизнесам эффективно привлекать клиентов даже с небольшим рекламным бюджетом.
Как составить политику и согласие для обработки ПДн
Рассмотрим подробнее необходимые документы:
Политика конфиденциальности. Разрабатывается, чтобы объяснить пользователям, что именно у них запрашивают и для чего. Установленной формы не имеет, но в неё важно включить следующие пункты:
1. Общие положения — наименование или ФИО оператора, адрес его интернет-ресурса и контакты. Не забудьте написать свой юридический статус, например ООО или ИП. Для физических лиц достаточно полного имени.
Пример заполнения раздела «Общие положения»
2. Цели обработки ПДн и нормативные документы, которые её регламентируют, в том числе закон № 152-ФЗ. Вот варианты целей: «идентифицировать пользователя», «улучшить качество сервиса», «направить кассовый чек на почту», «прорекламировать свои товары и услуги».
Примеры подходящих целей
3. Сведения, которые вы запрашиваете — например, имя, ссылка на профиль в социальных сетях, место жительства. В список следует включить всё, что вы планируете узнать у пользователей — иначе законно использовать это не получится. Если ваш ресурс собирает файлы cookie, не забудьте об этом упомянуть.
Пример сведений, которые обрабатывает владелец ресурса
4. Действия, которые подтверждают, что пользователь согласен с документом. Например, поставить галочку рядом с соответствующим уведомлением. А также условия, по которым пользователь имеет право отозвать согласие. Например, написать заявление.
Срок хранения данных также могут включать в этот раздел. Часто указывают, что их сохраняют не дольше, чем этого требуют цели сбора.
Пример упоминания порядка отзыва разрешения
5. Порядок работы с информацией, то есть как именно оператор её обрабатывает и какие способы использует. Например, при помощи автоматизированных систем.
Пример порядка и условий работы с данными
6. Информация о защите конфиденциальных сведений — каким образом владелец сайта обеспечивает их безопасность. Например, не передаёт сторонним лицам и использует SSL-сертификат.
Допустимо указать, что вы защищаете информацию в рамках закона
Согласие на обработку персональных данных. Понадобится, чтобы получить разрешение обрабатывать сведения. Не имеет установленной формы и может включать те же тезисы, что и политика конфиденциальности. Главное — указать, что пользователь принимает все условия и знает о своём праве отозвать согласие.
Так может выглядеть согласие
За что могут оштрафовать
За нарушение закона Роскомнадзор назначает административные штрафы.
Если не отправить уведомление в уполномоченный орган. Для физлиц — от 100 до 300 ₽, для ИП — от 300 до 500 ₽, для юрлиц — от 3 до 5 тыс. ₽.
Если не запрашивать согласия у людей. Для физлиц — от 6 до 10 тыс. ₽, для ИП — от 20 до 40 тыс. ₽, для юрлиц — от 30 до 150 тыс. ₽.
Если не разместить документы об обработке ПДн. Для физлиц — от 1,5 до 3 тыс. ₽, для ИП — от 10 до 20 тыс. ₽, для юрлиц — от 30 до 60 тыс. ₽.
Если использовать информацию не по назначению. Для физлиц — от 2 до 6 тыс. ₽, для ИП — от 10 до 20 тыс. ₽, для юрлиц — от 60 до 100 тыс. ₽.
За повторные нарушения суммы штрафов увеличиваются.
Кратко
- ПДн — это сведения, по которым получится идентифицировать человека. Например, ФИО, телефон или место жительства физического лица.
- Интернет-ресурсы, которые работают с личной информацией их посетителей, выступают операторами ПДн и несут за это ответственность перед законом.
- Чтобы обрабатывать конфиденциальные сведения, владельцу нужно разработать и разместить политику конфиденциальности и согласие на обработку персональных данных на сайте.
- Без разрешения уполномоченного органа нельзя стать оператором. Исключение: если вы работаете с информацией вручную, для государственных информационных систем или для обеспечения безопасности на транспорте.
- За несоблюдение порядка работы с ПДн грозят административные штрафы.
