Правила работы с персональными данными на сайте согласно ФЗ-152

Время прочтения: 4 мин
Сложность: норм Просмотров:
Денис Сапожников 27.05.2019

Закон о персональных данных был одобрен Советом Федерации в июле далекого 2006 года, однако на тот момент он был критичен и важен лишь для операторов сотовой связи, интернет-провайдеров.

Инструменты государственных регуляторов не позволяли воплотить в полной мере контроль за соблюдением данного закона, но времена меняются и все к большему количеству веб-проектов начинают приходить “письма счастья”.

Полный текст 152-ФЗ можете изучить здесь, мы же разберем ключевые моменты, которые нужно понимать каждому руководителю веб-проектов и проект менеджеру.

Какие данные считаются персональными?

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
То есть персональные данные – это любые сведения о человеке, по которым можно его однозначно идентифицировать.

В самом законе четко не указан перечень данных, которые можно отнести к персональным, однако исходя из судебной практики можно выделить следующие данные:

1) фамилия имя отчество
2) паспортные данные
3) год, месяц, дата рождения
4) место рождения
5) адрес проживания
6) семейное положение
7) социальное положение
8) имущественное положение
9) образование
10) профессия
11) доходы

Являются ли телефон или почта персональными данными?
Об этом спорят уже не один год, однако судебная практика склоняется к тому, что номер телефона является ПД, так как именно обладатель номера имеет право на распоряжение информацией о нем (например, разрешать использовать номер для уведомлений о событиях или акциях).

Впрочем, отдельно существующий номер без ФИО и иных данных не позволяет однозначно идентифицировать физическое лицо, так что — спорно.

Можно ли отнести вас к операторам ПД или нет?

Вы не являетесь оператором ПД, только в том случае, если никаким образом не получаете, не храните и не обрабатываете информацию, которую можно было бы отнести к ПД в любых их проявлениях.

Вы являетесь оператором персональных данных, если:

1) у вас есть форма обратной связи, подписки, регистрации;
2) у вас есть личный кабинет;
3) клиент может заполнить анкету на сайте;
4) на сайте возможно размещение объявления;
5) на сайте размещена кнопка обратного звонка.

В общем, если хоть где-то собирается и хранится информация о пользователях, которую можно было бы отнести к ПД, то вы — оператор персональных данных, со всеми вытекающими последствиями.

Что стоит сделать для соблюдения закона

  1. Составить и опубликовать “Пользовательское соглашение
  2. Составить и опубликовать “Политику конфиденциальности
  3. Если Ваш проект — интернет-магазин, то потребуется еще и “Публичная оферта на дистанционную продажу товаров

Помимо этого:

  1. Хостинг должен физически находиться на территории Российской Федерации
  2. Хостинг должен соответствовать требованиям ФСТЭК, согласно требованиям предъявляемые к условиям эксплуатации ИСПДн (Информационные системы персональных данных ), существенно зависящих от класса системы.

Большинство проектов попадает под ИСПДн 4-2 класса, но иногда речь идет о соблюдении ИСПДн 1 класса — в этом случае вы точно знаете, как зовут специалиста по безопасности, курирующего ваш проект).

О том, подходит ли выбранный хостинг под хранение и обработку ПД можно узнать у технической поддержки хостинга.

Санкции со стороны регуляторов

В 2017 году санкции за несоблюдение закона о персональных данных ужесточились, на момент написания статьи актуальны следующие штрафы:

Часть 1. Обработка ПД в случаях, не предусмотренных законодательством РФ (собираете данные, которые не требуются для обработки) — физ лица 5-10тр, юр.лица 30-50тр

Часть 2. Обработка персональных данных без согласия

физ. лица — 10-20тр, юрлица 15-75тр

Часть 3. Отсутствие политики конфиденциальности в публичном доступе

физ. лица — 3-6тр, юр.лица 15-30тр

Часть 4. Субъект запросил персональные данные о себе, а вы их не предоставили в установленный законом срок

физ.лица 4-6тр, юр.лица — 20-40тр

Часть 5. Не уничтожили/изменили ПД по требованию уполномоченных лиц или владельца

физ.лица 4-10тр, юр.лица 25-45тр

Часть 6. Не обеспечили должный уровень безопасности хранения, обработки

физ.лица 4-10тр, юр.лица 25-50тр

Вместо заключения

Соблюдение всех требований 152ФЗ требует определенных знаний, если Вы не уверены в том, что можете реализовать все предъявляемые требования самостоятельно, стоит обратиться к специалистам.

Важно понимать, что использование cookie, информации о браузере пользователя, информации о поиске на вашем сайте и иной технической информации, вплоть до местоположения — в России не является обработкой персональных данных, если у Вас международный проект эти данные также могут быть отнесены к ПД, в зависимости от законов страны, в которой проживает пользователь.

Успешных вам проектов

Рано или поздно исчезнут простые работяги, их профессии падут под гнетом автоматизации и нейронных сетей. Следом падут и рядовые разработчики, их заменят SAAS-сервисы. Проект-менеджеры наконец-то окажутся никому ненужными. Останется лишь чернь, бездумно потребляющая контент и безумные изобретатели‑первопроходцы, меняющие мир.

А пока этого не произошло, я буду писать этот блог и стараться давать Вам самую суть разработки, продвижения и управления в IT‑проектах.


P.s. нравится проект?
Ну так помоги развить его - репосты, донат и интересная работа приветствуются

Рекомендую посмотреть

Случайный вопрос

Какие существуют инструменты для работы с семантическим ядром? (кроме wordstat)

Не занимаюсь плотно SEO-тематикой. Из тех, что на слуху: планировщик ключевых слов Google Adwords, SerpStat, SEMRush, Key Collector, Spywords, Promopult.ru, Букварикс.

А так же — SlovoEB, SpyWords, Rush Analytics, Rookee, Мутаген, Топвизор, MOAB, Advse, TopSite, Amazing Keywords, Keys.so, Пиксель Тулс, Searchmetrics, SE Ranking, Keyword Tool, Wordtracker, iSpionage, KeywordSpy, WordStream и другие.

Показать больше ответов

Привет, дружок‑пирожок