Чек-лист: соответствует ли ваш сайт закону о персональных данных?

Закон дает достаточно размытое определение: под персональными данными (ПДн) понимается любая информация, которая прямо или косвенно относится к физическому лицу (субъекту персональных данных). Но на практике сформировался следующий перечень данных, которые относятся к персональным:

• ФИО;
• адрес регистрации (проживания);
• телефонный номер;
• адрес электронной почты;
• дата и место рождения;
• паспортные данные;
• информация об образовании, доходах и ином имущественном (социальном) положении;
• семейное положение;
• фотографии (изображение субъекта ПДн);
• и иные.

При этом, четкого и закрытого перечня ПДн не существует, поскольку в каждом конкретном случае нужно определять индивидуально относится ли отдельно взятая информация к персональным данным или нет.

Обратите внимание: перечисленная выше информация является персональной как в совокупности, так и по отдельности. К примеру, адрес электронной почты, по которому можно идентифицировать вас, как конкретное лицо является ПДн, даже если вы не указывали свои ФИО.

Также в некоторых случаях и ник в социальных сетях можно отнести к категории ПДн, если по нему можно определить конкретное лицо. К примеру, по нику @viktoria.vanyushkina можно явно определить кому он принадлежит, так как нам доступны имя и фамилия лица.

Стоит отметить, что и файлы cookies тоже являются ПДн. Роскомнадзор и суды придерживаются данной позиции, поскольку такие данные характеризуют интернет-пользователя и его поведение в сети, что в определенных случаях позволяет определить конкретного субъекта или отличить его от других.

Поэтому, если на вашем сайте ведется сбор только адресов электронной почты или номеров мобильных телефонов – вы точно собираете персональные данные и должны получить на это согласие пользователя.

По 152-ФЗ на сайте должны обязательно быть 2 документа:

1. Политика в отношении обработки персональных данных (политика конфиденциальности);
2. Согласие на обработку персональных данных.

Политика конфиденциальности, как правило, располагается в подвале сайта, так как должна быть всегда доступна для ознакомления пользователю. Политика должна содержать конкретные цели сбора ПНд под каждую форму сбора, основания их сбора, объем и категории ПДн, сроки хранения и иные положения, требуемые РКН.

Обычно владельцы сайта используют формулировку под формой сбора, что пользователь соглашается с Политикой конфиденциальности. Это ошибка. Пользователь не должен соглашаться с Политикой, а должен давать согласие на обработку ПДн.

Согласие на обработку персональных данных должно содержаться на сайте тоже в виде отдельного документа. И именно с данным документом должен соглашаться пользователь в письменной форме (акцептовать его), когда вводит свои данные в поле сбора ПДн.

Важно обратить внимание как правильно получать согласие пользователя на обработку ПНд.

Поскольку Согласие является документом, то пользователь должен его подписать (акцептовать). Так как собственноручно поставить подпись под документом на сайте невозможно, то закон позволяет заменить подпись, например, проставлением галочки в чек-боксе. Проставление галочки в чек-боксе является не просто формальностью, а видом простой электронной подписи.

Галочка не должна быть проставлена сразу, так как ее проставление выражает волю пользователя на обработку его ПДн. Если же галочка проставлена заранее, то свидетельствовать о том, что согласие было дано в надлежащей форме будет затруднительно. В таком случае пользователь сможет обратиться в Роскомнадзор и пожаловаться на незаконный сбор ПДн.

Чек-бокс должен располагаться под каждой формой сбора ПДн, сколько бы их не было на сайте. И в каждой такой форме пользователь должен самостоятельно выражать свое согласие на сбор ПДн и четко понимать цель их сбора.

Форма сбора должна, к примеру, содержать такой текст: «Оставляя свои персональные данные на нашем сайте, вы подтверждаете, что ознакомлены с Политикой конфиденциальности и даете свое Согласие на обработку персональных данных». При этом, Политика конфиденциальности и Согласие на обработку персональных данных должны быть кликабельны и перебрасывать пользователя на страницу с данными документами, чтобы имелась возможность для ознакомления с ними.

Оператор ПДн – это любое юридическое или физическое лицо, которое организует и (или) осуществляет обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Соответственно, как только вы получили любые персональные данные от пользователей с вашего сайта – вы стали оператором.

Важно: статус оператора возникает автоматически с того момента, как вы стали обрабатывать ПДн (совершать любое из действий (операций), указанных в законе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение), а не с момента включения в реестр операторов.

Но с момента начала обработки ПДн вы обязаны подать уведомление в Роскомнадзор (РКН), тем самым включится в реестр операторов. Как правило, момента начала обработки совпадает с моментом регистрации ИП или созданием ООО. На данный момент, РКН не штрафует операторов, если они подали уведомление позже, чем предписывает закон. Тем не менее советуем не откладывать этот момент и подать уведомление о включении в реестр операторов ПДн.