Сбор персональных данных на сайте, Как владельцам сайтов работать с персональными данными, чтобы избежать штрафа
Заполнить и отправить уведомление можно в том же разделе «Инциденты». Кроме того, Роскомнадзор накладывает денежные санкции и за другие нарушения:. Такая забота поможет выделиться на фоне конкурентов.
Сделать это вы можете, отправив запрос в техническую поддержку сайта. Укажите email, куда физическое лицо может обратиться за тем, чтобы его персональные данные были удалены, заблокированы и вообще, куда он может задать вопрос по персональным данным. Email можно указать в документах, описанных выше. Важно, чтобы указанный email был рабочим, информация на нем регулярно проверялась, чтобы не пропустить запрос пользователя на удаление персональных данных с сайта.
Вам или агентству-разработчику сайта необходимо подать уведомление об обработке персональных данных в Роскомнадзор, для этого нужно перейти по ссылке и помимо всего прочего указать там адреса местонахождения баз персональных данных и перечень персональных данных, которые в них содержатся.
В случае если агентство-разработчик сайта имеет доступ к персональным данным из заявок или базы данных сайта например, сайт находится на технической поддержке , вам необходимо заключить соглашение с агентством об обеспечении безопасности персональных данных. В соглашении должно быть указано, какие персональные данные агентство может обрабатывать, в каких целях и какие действия с ними выполнять.
Также там должны быть требования по защите персональных данных. До 1 июля года поставить на сайте дисклеймер, который будет уведомлять посетителей сайта, что его персональные данные обрабатываются на сайте в целях его функционирования и, если он не согласен, то должен покинуть сайт. Примеры дисклеймеров вы можете посмотреть на сайтах marykay. В противном случае это будет являться согласием на обработку его персональных данных. Как владельцам сайтов работать с персональными данными, чтобы избежать штрафа.
Подпишись на наш telegram-канал Не пропусти новые полезные статьи и держи под рукой старые. Что нужно сделать уже сейчас, чтобы обезопасить свою компанию?
Разберём этот вопрос по пунктам. Что такое персональные данные? Ужесточение законодательства по персональным данным Как мы уже писали выше, с 1 июля года вступят поправки , которые ужесточат процедуры накопления, обработки и хранения персональных данных, а также увеличат штрафы. Номер статьи и текст Сумма штрафа В каких случаях накладывается штраф ч. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, если эти действия не содержат уголовно-наказуемого деяния От 30 рублей до 50 рублей на юридических лиц 1.
Обработка не в тех целях, когда это требуется например, взяли для исполнения договора, но попутно рассылаем email-рассылки ч. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных От 15 рублей до 75 рублей на юридических лиц 1.
Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных От 15 рублей до 30 рублей на юридических лиц 1.
Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных От 20 рублей до 40 рублей на юридических лиц 1. Предоставление ложной информации. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки От 25 рублей до 45 рублей на юридических лиц 1.
Игнорирование запросов физических лиц и Роскомнадзора по поводу прекращения обработки персональных данных и их уничтожении 2. Нарушение сроков предоставления ответов на поступившие запросы ч. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния От 25 рублей до 50 рублей на юридических лиц 1.
Отсутствие списка лиц, допущенных к обработке персональных данных 2. Отсутствие раздельного хранения данных. Что нужно сделать на сайте, чтобы избежать штрафов Мы составили список работ, которые стоит сделать на своём сайте прямо сейчас. Добавить текст согласия на обработку персональных данных Под каждой формой ввода данных на сайте регистрация, заявки на услугу, обратный звонок разместить текст «Нажимая на кнопку «Название кнопки», я даю согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на документ.
Составить документ "Политика в отношении обработки персональных данных" Этот документ нужно разместить на сайте в свободном доступе.
Узнать, где находится хостинг сайта Узнать у хостинг-провайдера, где физически находится ЦОД, в котором расположен ваш сайт и, в случае, если он расположен не на территории РФ, перенести сайт на другой хостинг. Указать email для обращений пользователей по персональным данным Укажите email, куда физическое лицо может обратиться за тем, чтобы его персональные данные были удалены, заблокированы и вообще, куда он может задать вопрос по персональным данным.
Подать уведомление об обработке персональных данных в Роскомнадзор Вам или агентству-разработчику сайта необходимо подать уведомление об обработке персональных данных в Роскомнадзор, для этого нужно перейти по ссылке и помимо всего прочего указать там адреса местонахождения баз персональных данных и перечень персональных данных, которые в них содержатся.
Заключить соглашение о безопасности персональных данных с разработчиком сайта В случае если агентство-разработчик сайта имеет доступ к персональным данным из заявок или базы данных сайта например, сайт находится на технической поддержке , вам необходимо заключить соглашение с агентством об обеспечении безопасности персональных данных.
Поставить на сайте дисклеймер До 1 июля года поставить на сайте дисклеймер, который будет уведомлять посетителей сайта, что его персональные данные обрабатываются на сайте в целях его функционирования и, если он не согласен, то должен покинуть сайт. Список внушительный, но не стоит бояться этих изменений. Специалисты Мэйка в течение 5 рабочих дней внесут изменения, которые обезопасят ваш сайт от штрафов Роскомнадзора.
Мы оказываем эту услугу как нашим клиентам в рамках технического обслуживания, так и сторонним сайтам. Специализируется на проектировании интерфейсов сайтов и мобильных приложений. Поделись с друзьями. Почитать еще на эту тему.
Номер статьи и текст. Сумма штрафа. В каких случаях накладывается штраф. От 30 рублей до 50 рублей на юридических лиц. От 15 рублей до 75 рублей на юридических лиц. От 15 рублей до 30 рублей на юридических лиц.
От 20 рублей до 40 рублей на юридических лиц. От 25 рублей до 45 рублей на юридических лиц. От 25 рублей до 50 рублей на юридических лиц. Персональные данные — это любая информация, по которой клиента можно идентифицировать: ФИО, номер телефона, e-mail, паспортные данные, дата рождения, адрес, cookie-файлы и так далее. Бизнес может обрабатывать — то есть получать, использовать или передавать такие данные клиентов — только с их согласия.
Однако есть ситуации, когда оно не нужно:. Посмотрим, как это работает на примере. Клиент заказывает у Ивана товар с доставкой на дом. Для этого ему нужно указать адрес — иначе не получится исполнить договор. Значит, согласие на обработку данных об адресе не нужно.
Еще Иван хочет отправлять клиенту СМС с рекламными рассылками и промокодом на следующий заказ. Это не обязательно для исполнения договора, поэтому необходимо получить согласие клиента. Некоторые юристы советуют подстраховаться и всегда получать согласие на обработку персональных данных — когда нужно и когда нет.
Но это не спасает бизнес от рисков: за ошибки в форме согласия можно также получить штраф. Поэтому рекомендуем проконсультироваться с юристом, в каких случаях вашему бизнесу нужно согласие, а когда нет.
Например, клиент оставил вам свой e-mail или телефон в заявке на обратный звонок, значит, он передал вам свои персональные данные.
С согласия клиента можно эти данные использовать: перезвонить и предложить оформить заказ, отправить пуш-уведомление о скидках на старую коллекцию, отправить email-рассылку с подборкой книг в интернет-магазине и так далее. Если вы собираете данные в таком формате, что клиента невозможно идентифицировать, вам не нужно брать согласие на обработку его данных.
Еще сбор согласий не нужен в особых случаях, которые прописаны в законе. Например, закон не требует получать согласие от клиента, если его данные нужны для исполнения договора, который он уже заключил. Не нужно брать согласие на обработку адреса, если клиент заказал у вас товар и оформил доставку на дом, потому что заключен договор купли-продажи и для его исполнения вам необходим адрес доставки». Эксперты выделили три частых ситуации, когда бизнес работает с персональными данными клиентов и нужно получить согласие на их обработку:.
Компания собирает на сайте cookie-файлы. Практически все сайты используют cookie-файлы, они собирают информацию об активности пользователя. С помощью cookie компания может узнать IP-адрес клиента или другие технические параметры устройства, с помощью которых пользователя в дальнейшем можно идентифицировать.
Раньше вопрос, считать ли cookie-файлы персональными данными, был спорным, но сейчас Роскомнадзор и суды широко трактуют понятие «персональные данные» и относят к ним cookie.
Поэтому, если ваш сайт собирает cookie-файлы, на нем должна всплывать плашка с запросом согласия на сбор cookie. Идеально, если посетитель сайта не сможет им пользоваться, пока не согласится с обработкой cookie. Клиент оставил свои данные на сайте, чтобы получать email-рассылку. Обычно сайт компании — это не только визитная карточка бизнеса, но и способ сбора контактной информации клиентов в рекламных целях. Если хотите отправлять клиенту по почте рассылку или промокоды, нужно его согласие.
Компания узнает информацию о клиенте офлайн для подключения клиента к программе лояльности. Неважно, как вы собираете данные клиента — на бумаге или клиент сообщает вам их устно, а вы сами эти данные где-то записываете, надо получать согласие на обработку персональных данных.
Вы можете собирать согласия у клиентов любым способом и в любой форме — в законе нет установленных шаблонов и правил. Исключение: бизнес, который работает с особенно важными данными, например с данными о здоровье или национальной принадлежности.
Для этих категорий в законе прописаны повышенные требования, но к большинству ситуаций они не относятся. Собирать согласия можно в письменном или электронном виде — на усмотрение бизнеса. Мы рекомендуем хранить согласия в течение всего срока их действия — обычно это период, в течение которого планируется обработка данных.
Например, если собираете данные для выдачи сотруднику пропуска в офис, их надо хранить, пока человек у вас работает. В таблице — популярные способы сбора согласий. Печатная анкета. В ней должен быть пункт о согласии на обработку персональных данных. Клиент заполняет ее от руки. Анкета должна храниться в бумажном виде. Подтверждение согласия через СМС-код или звонок. Продавец со слов клиента вносит его данные в электронную систему для участия в программе лояльности и просит клиента подтвердить свое согласие на передачу данных через СМС-код или звонок.
Система автоматически отправляет клиенту код подтверждения. Перед тем как подтвердить свое согласие на обработку данных, клиент должен ознакомиться с правилами программы лояльности и полным текстом согласия. Для этого можно отправить клиенту ссылку на эти документы в СМС. Чекбокс с галочкой согласия в общей форме заявки. Клиент ставит галочку «согласен» в чекбоксе формы для сбора данных напротив ссылки на согласие на сайте.
Отправленная заявка с проставленной галочкой сохраняется на сайте. При необходимости ее можно выгрузить и использовать в качестве доказательства того, что клиент дал согласие. Двойное подтверждение — double opt-in. Клиент дает согласие через e-mail или СМС. Например, сначала оставляет свой e-mail в форме на сайте, а затем подтверждает согласие, кликнув на ссылку в письме. Или оставляет на сайте номер телефона, а потом отправляет подтверждение в ответ на СМС, которое пришло от компании, или называет код продавцу в магазине.
Главное: вне зависимости от формы согласия сохранить подтверждение того, что клиент согласился на обработку своих персональных данных. Для этого сохраните заполненную от руки анкету или выгрузите логи — технические файлы о действиях клиента на сайте.
Согласия нужно хранить на случай проверки контролирующими органами или жалобы клиента. Если бизнесу понадобились персональные данные, например, чтобы отправить промокод на скидку, просто так их запросить нельзя. Сначала нужно определить ответственного, уведомить Роскомнадзор и подготовить документы. Определить ответственного.
Нужно выбрать сотрудника, который будет отвечать за обработку персональных данных. Если сотрудников нет, тогда им становится сам ИП. Ответственный должен следить за изменениями в законе о персональных данных, контролировать, чтобы все сотрудники соблюдали эти законы, реагировать на запросы Роскомнадзора или клиентов. Когда выберете ответственного сотрудника, надо подготовить об этом приказ.
Уведомить Роскомнадзор. До начала работы с персональным данными бизнес должен уведомить об этом Роскомнадзор. Это можно сделать тремя способами:. В течение 30 дней Роскомнадзор внесет компанию или ИП в реестр операторов. Если какие-то данные не указали, сотрудники ведомства могут их уточнить. После того, как бизнес добавили в реестр операторов, можно собирать и обрабатывать персональные данные.
С года уведомлять Роскомнадзор не нужно только в двух случаях:. Это редкие случаи — большинство ИП и компаний должны уведомить Роскомнадзор.
Сделать это нужно только один раз, но надо сообщать об изменениях, если:. Сообщить об изменениях в работе нужно до 15 числа следующего месяца. Еще с года бизнес обязан уведомлять об утечке персональных данных. Если такое случится, нужно:.
Подготовить документы. Закон требует подготовить только политику обработки персональных данных. Но обычно бизнес помимо политики готовит еще и положение о защите данных. Кроме того, отдельно оформляют форму согласия на обработку персональных данных для удобства клиентов.
Посмотрим, что должно быть в каждом документе. Посмотрим, как составить согласие на обработку персональных данных. Сформулировать цель обработки персональных данных. Можно собирать персональные данные, которые точно нужны для работы. Закон запрещает собирать избыточные данные, не нужные для цели, которую вы заявляете в согласии.
В одном согласии укажите только одну цель. Нельзя брать одно согласие на обработку данных для нескольких целей.
Также нельзя собирать согласия на обработку неограниченного перечня данных. Список собираемых персональных данных должен быть четко определен. Чтобы отправить пиццу, бизнесу необходимо знать адрес и номер телефона, чтобы курьер мог позвонить. А вот информация о вкусовых предпочтениях, семье или работе не нужна. Если пиццерия запустит программу лояльности, по которой дают скидку на день рождения, тогда можно будет запросить дату рождения.
Но для этой цели понадобится отдельное согласие. Если бизнес все-таки спрашивает необязательные данные, а клиент отказывается их передать — нельзя отказать ему в услуге. Нет конкретного перечня личных данных, которые необходимы для каждой цели. Однако каждый запрос данных нужно обосновать. Клиент имеет право требовать объяснения, зачем бизнесу его данные. Тогда необходимо в течение семи дней ответить на обращение.
Если клиент спросил лично, ответить нужно сразу.
Подготовить документ. Чтобы подготовить правильную форму согласия, нужно проанализировать весь процесс сбора данных и с учетом этого лаконично и в понятной форме объяснить клиенту, что вы собираетесь делать с его данными. В законе прописаны обязательные требования к тексту письменного согласия — изучите их при подготовке формы.
Вот примерный перечень того, что нужно указать в согласии:. Закон не обязывает писать документы на непонятном юридическом языке. У вас есть возможность сделать документы понятными для клиентов и тем самым завоевать их лояльность. Вот что на этот счет говорит юрист:.
И многие предприниматели и компании относятся к этому негативно. Однако правильная работа с персональными данными может стать конкурентным преимуществом. Приведу пример: раньше по закону все продуктовые магазины должны были вернуть деньги за товар или обменять, если он испортился. Но только ВкусВилл заявил: магазин вернет деньги, если товар испорчен или не нравится его вкус. При этом не надо никаких чеков и заявлений. Таким шагом они завоевали лояльную аудиторию. Сейчас так уже делают многие компании, но пять лет назад ВкусВилл стал первым.
Сейчас у бизнеса есть возможность завоевать лояльность аудитории, если они сделают работу с персональными данными прозрачной и удобной. Такая забота поможет выделиться на фоне конкурентов. Покажу ниже удачный вариант документа».
Юрист, управляющий партнер Runetlex. Клиент может отозвать согласие на обработку данных в любое время. В этом случае бизнес должен их уничтожить. Как это делать, зависит от способа обработки:. Хранить акт и выгрузку из журнала нужно в течение трех лет с момента уничтожения персональных данных. После отзыва согласия бизнес больше не может использовать данные клиента. Например, нельзя отправить такому клиенту промокод на электронную почту. Однако вы можете продолжать использовать персональные данные, если есть другие основания для этого.
Например, для исполнения договора, который заключили с этим клиентом, или для выполнения требований закона. Также надо уничтожить персональные данные даже без отзыва клиента, если достигли цели, для которой их запрашивали. Это нужно сделать в течение 30 дней. Если данные хранились на бумаге, проще всего уничтожить через шредер. Если на компьютере, надо форматировать диск, удалить из базы данных.
Как именно надо уничтожить, закон не поясняет. Главное — чтобы никто не смог восстановить данные в будущем. Часто компании в России пытаются собирать данные, но делают это неправильно — такие случаи можно встретить в сети.
