Как владельцу сайта соблюсти
закон о персональных данных? Проверяем пять вещей

У вас на сайте есть форма для обратной связи? Или счётчик интернет-аналитики? Сегодня поговорим о том, как законно собирать эти персональные данные. И вообще, что нужно сделать владельцу сайтов, чтобы не нарушить закон о персональных данных.

В прошлый раз мы выяснили, что размещение форм обратной связи на сайте определяет вас, как оператора персональных данных. К операторам, которые обрабатывают персональные данные через сайты, есть свой набор требований. О них и говорим сегодня!

Ещё до того, как вы запустили форму по сбору данных на сайте, известите об этом Роскомнадзор. Ведомство ведёт реестр таких операторов, данные этого реестра публичны. Вы даже можете сами зайти в этот реестр и найти там, например, «Учётку».

Если вы собираете персональные данные, а в реестре вас нет, – это повод для жалобы недовольного клиента или конкурента, а затем и штрафа.

Чтобы попасть в этот реестр, нужно направить в РКН соответствующее заявление в электронном и бумажном виде (если отправляете через Госуслуги или подписываете ЭЦП, то на бумаге не обязательно). В заявлении нужно указать, кто вы, какие именно данные вы будете собирать, у кого, что с этими данными станете делать.

Если спустя какое-то время данные из заявления перестанут быть актуальными, придётся обращаться в Роскомнадзор снова.

Разработайте пакет документации. К моменту начала работы с персональными данными у вас уже должен быть внушительный набор документов. Этот набор должен включать, как публичные документы для посетителей сайта, так и внутренние.

Публичные – это:

1. Политика по обработке персональных данных и
2. Согласие на обработку персональных данных.

Внутренние:

1. Положение об обработке персональных данных.
2. Приказ о работе с персональными данными.
3. Приказ о назначении ответственного за организацию обработки персональных данных.
4. Регламент по доступу к персональным данным для пользователей внутри организации и для внешних контракторов.
5. Обязательство о неразглашении персональных данных для сотрудников, которые взаимодействуют с собранными данными.

Если политика по обработке персональных данных – документ обязательный только для вас, а посетитель не обязан с ней знакомиться; то согласие на обработку персональных данных потребует, и от компании, и от посетителя активных действий.

Так, форма для сбора данных не должна обрабатывать данные, пока пользователь не согласится на это. Самый простой способ это реализовать – попросить посетителя сайта поставить галочку в чекбоксе, чтобы выразить согласие с правилами. Делайте это поле обязательным для оправки данных.

Куки-данные РКН также отнёс к персональным, однако не существует строгих требований, как правильно предупреждать пользователей об их сборе. Поэтому чаще всего владельцы используют обычное текстовое сообщение внизу экрана.

Предупреждать об использовании куки нужно, если движок вашего сайта или подключённый модуль (например, счётчик или блок интернет-аналитики) собирает любые данные о визитах пользователей, их поведении на сайте. Информацию о том, как вы используете эти данные, собранные с помощью куки, можно также прописать в Политике по обработке персональных данных.

И снова про Роскомнадзор. Свяжитесь с ведомством и уведомите его, если решите передавать персональные данные за границу. Это может произойти даже если передавать что-то вы не планировали. Такая передача может случиться, если вы пользуетесь какими-либо зарубежными сервисами для работы с данными: пересылаете информацию через Gmail (достаточно переслать много раз пересланное письмо с многочисленными подписями), храните её на зарубежных сервисах для хранения файлов (Dropbox), или работаете с ней совместно в Гугл Таблицах.

Сюда же можно отнести зарубежные сервисы интернет-аналитики, CRM, хостинг, аренду вычислительных мощностей и т.д.

Всё это расценивается, как трансграничная передача персональных данных; её нужно регистрировать.

В Уведомлении о намерении осуществлять трансграничную передачу ПД нужно будет снова указать ответственных за такую передачу со стороны вашей организации, отметить принимающую сторону, подробно описать передаваемые данные, указать цели передачи и обосновать необходимость.

Для подачи такого Уведомления потребуется подтверждённая учётная запись на Госуслугах.