За последние несколько лет в закон «О персональных данных (152‑ФЗ)» были внесены значительные поправки. Озвучены новые требования к Политике обработки персональных данных. Несоблюдение этих требований может грозить владельцам сайтов многомиллионными штрафами, а количество штрафов на данный момент насчитывает более 10 видов.
Самые частые ошибки
Компания не зарегистрирована как оператор персональных данных. Это означает, чтo организация не подавала соответствующее заявление в Роскомнадзор. Проверка происходит по ИНН.
Не соблюдены условия обработки персональных данных и отсутствует согласие субъекта на их обработку. Требования опубликованы в п.1 ч.1 ст.6 152‑ФЗ и ч.1 ст.9 152‑ФЗ.
Не предоставлен доступ к документу, определяющему Политику компании в отношении обработки персональных данных, согласно ч.2 ст.18.1 152‑ФЗ.
На сайте компании размещены cookie‑баннеры без соответствующего уведомления пользователей о сборе персональных данных, целей их сбора и места их передачи.
Что входит в Политику по обработке персональных данных?
Политика по обработке персональных данных — это документ, регулирующий работу с персональными данными и включающий в себя ключевые положения, цели и правовые основания, а также принципы и условия для их обработки:
- В разделе с общими положениями рекомендуется описывать назначение Политики и основные понятия, используемые в ней. Кроме этого, необходимо перечислить основные права и обязанности как оператора, так и субъекта персональных данных.
- Цели сбора персональных данных должны быть четко определены, законны и прописаны в Политике. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
- Правовым основанием обработки персональных данных является совокупность актов, в соответствии с которыми оператор осуществляет обработку персональных данных. К ним могут относится Устав, Федеральные законы и т. д.
- Объем и категории обрабатываемых персональных данных должны соответствовать заявленным целям обработки персональных данных и не должны быть избыточными по отношению к ним.
- В разделе с принципами и условиями обработки персональных данных рекомендуется указывать перечень действий, совершаемых оператором. Не забудьте указать способы обработки и сроки хранения данных, случаи взаимодействия с третьими лицами, а также условия передачи персональных данных в их адрес.
Проверьте свой сайт уже сейчас
- Определите от кого и какие данные вы будете собирать на Вашем сайте: ФИО, номер телефона, адрес и прочее — не собирайте избыточные данные.
- Назначьте ответственного за разработку внутренней документации по защите персональных данных.
- Используйте конструктор 1С:152DOC
Проверьте:
- Территорию размещения сайта, используя сервис Whois.
- Оферты и формы обратной связи — они не должны содержать «избыточных» персональных данных.
- Настройки Google Analytics для предотвращения возможностей загрузки данных, которые могут идентифицировать конкретных пользователей, или вовсе откажитесь от использования данного сервиса.
- Наличие уведомлений посетителей сайта об использовании cookie‑файлов.
Разместите необходимую информацию на сайте:
- Актуальную Политику обработки персональных данных, соответствующую требованиям 152‑ФЗ, которая содержит в себе регламент обработки запросов пользователей.
- Уведомление об использовании cookie‑файлов на сайте.
Оповестите Роскомнадзор:
- Подайте уведомление об обработке персональных данных, чтoбы зарегистрировать компанию как оператора персональных данных.
- Подайте уведомление о трансграничной передаче данных, чтoбы передавать и обрабатывать персональные данные за пределами РФ, если это актуально для Вашей компании.