В июле вступили в силу поправки к закону о персональных данных и штрафы значительно выросли. Расскажу, что делать, когда уже пришло письмо из прокуратуры о проверке соблюдения требований закона о персональных данных (закон № 152-ФЗ).
Предположим, у вас — сайт (Интернет-магазин и не только) с формой обратной связи или корзиной и оформлением заказа онлайн. В общем, любая форма с контактами — это зона риска в разрезе закона № 152-ФЗ.
Важно понимать, что по закону (рекомендую его прочитать) есть четкий перечень того, что является персональными данными (ПД) и многие ошибочно думают, что указание Ф.И.О. без данных паспорта не попадает под действие закона. Важный момент — косвенные ПД. Исходя из их определения — любое сочетание данных о клиенте попадает под действие закона.
ВАЖНО! Заполнение ФИО и телефона в форме на сайте требует соблюдения закона № 152-ФЗ.
Инструкция, чтобы соблюдались требования по защите персональных данных
На примере Интернет-магазина, что нужно сделать, чтобы закон № 152-ФЗ выполнялся:
1. Приготовить печатные версии документа с печатями и подписями и хранить папочку рядом с аналогичной папкой для пожарников. Перечень документов:
- Приказ о назначении ответственного за организацию обработки персональных данных [Образец приказа 152-ФЗ];
- ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ [Образец Должностная инструкция 152-ФЗ];
- ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ [Образец политики обработки ПД];
- ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ [Образец правил обработки ПД].
2. Указать на сайте реквизиты вашей организации (ИНН, ОГРН, адрес);
3. Разместить активную гиперссылку на политику организации в отношении обработки персональных данных;
4. Под формой отправки заказа / формы обратной связи разместить:
1) Согласие на использование ПД для выполнения запроса;
2) Согласие на обработку / хранение ПД и уведомление о понимании процедуры отзыва своих ПД;
3) Сервер вне РФ? Согласие на трансграничную передачу ПД.
Ни к чему совершенно регистрироваться в качестве оператора данных на сайте Роскомнадзора. Проверить свой случай можно по тексту закона, там подробно указано, кому надо. Остальным — не надо.
Если пришло письмо из прокуратуры
Если всё это есть — бояться нечего. Но если письмо из прокуратуры все же пришло, то надо:
1. Бросить все дела, и разместить на сайте необходимые данные;
2. Связаться с представителем прокуратуры и уведомить, что по факту нарушений нет (быстрее = лучше, тянуть смысла нет);
3. Подготовить внутренние документы и заверить их печатью / подписью;
4. Учитывая наличия скриншотов (умеют, практикуют) — заранее задуматься об объяснении, почему представитель Роскомнадзора не нашел согласия и политику на сайте (что ссылки доступны из личного кабинета / открывается из корзины и.т.д).
Но при этом политику разместить на всех страницах и на всех формах поставить подтверждение согласие и сообщить, что как раз улучшили представление данных на сайте;
5. [Лайфхак] Посмотрите, как указан в запросе адрес сайта. HTTP://сайт.ру?
Возможно, у вас хороший повод совершить переезд на защищенное соединение HTTPS и получить плюсик к карме у Гугл?
Источник: Проект SPARK
Добрый день. Подскажите пожалуйста. Пришло письмо из Роскомнадзора по вопросу интернет-сайта, а именно, что наша компания собирает и обрабатывает информацию и мы являемся «оператором». На нашем сайте сделана политика конфиденциальности для посетителей, согласно ФЗ 152. Но основная проблема в том ,что Роскомнадзор пишет, что мы не уведомили их в этом! Т.е. получается, мы создали сайт, сделали несколько форм обратной связи на нем и должны были об этом оповестить Роскомнадзор? Совсем не понятная ситуация. Можете вы помочь консультацией как нам быть и что нам грозит и грозит ли вообще? Сайт у нас обычный, посвященный услугам строительства.
Добрый день!
Обратитесь на мейл shestakova.ekaterina@gmail.com