Как подготовить сайт к требованиям ФЗ-152 «О защите персональных данных»

Сервер

В феврале внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных. Они вступят в силу 1 июля 2017 года и коснутся всех, кто собирает, обрабатывает и хранит любые персональные данные.

Что понимается под персональными данными?

Персональные данные — это любые данные о человеке, по которым его можно идентифицировать. В законе нет перечня таких данных, поэтому приходится догадываться самим. Например, по имени или логину нельзя понять, что это за человек, а по имени и телефону или имени и электронной почте — можно.

Скорее всего, вы являетесь оператором персональных данных, если каким-то образом получаете от любых людей такую информацию в любом сочетании:

  • фамилию,
  • имя,
  • отчество,
  • какой-то физический адрес,
  • электронную почту,
  • телефон,
  • дату или место рождения,
  • фотографию,
  • ссылку на персональный сайт или соцсети,
  • профессию,
  • образование,
  • уровень доходов,
  • семейное положение.

Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету, — это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения — это тоже обработка персональных данных.

Как подготовиться сайт к ФЗ-152?

Прежде всего необходимо разместить на всех страницах сайта «Пользовательское соглашение» и «Политику конфиденциальности». Данные документы должны быть доступны с любой страницы Вашего сайта!

Необходимо реализовать процесс так, чтобы пользователь явно указал, что он согласен на обработку персональных данных. Например, можно добавить данное согласие в форму регистрации на сайте. Как это сделать я описывал в статье «Изменяем модальную форму регистрации в 1С Bitrix».

Сделайте внутренние документы (приказы, регламенты и должностные инструкции) о хранении персональных данных и ответственности сотрудников, работающих с этими данными.

Уведомите Роскомнадзор о том, что вы обрабатываете персональные данные. Они внесут вас в реестр операторов персональных данных.

Уведомление можно не подавать, если:

  • обрабатываются только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более — распространяться;
  • человек сам опубликовал эти данные в общем доступе;
  • у вас есть только ФИО клиента и больше ничего.

Убедитесь, что сервера, на которых находится ваш сайт/база данных, где хранятся персональные данные находятся на территории Российской Федерации.

Проверить соответствие вашего сайта Фз-152 можно тут: 152фз.рф