Как подготовить сайт к требованиям ФЗ-152 «О защите персональных данных»
В феврале внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных. Они вступят в силу 1 июля 2017 года и коснутся всех, кто собирает, обрабатывает и хранит любые персональные данные.
Что понимается под персональными данными?
Персональные данные — это любые данные о человеке, по которым его можно идентифицировать. В законе нет перечня таких данных, поэтому приходится догадываться самим. Например, по имени или логину нельзя понять, что это за человек, а по имени и телефону или имени и электронной почте — можно.
Скорее всего, вы являетесь оператором персональных данных, если каким-то образом получаете от любых людей такую информацию в любом сочетании:
- фамилию,
- имя,
- отчество,
- какой-то физический адрес,
- электронную почту,
- телефон,
- дату или место рождения,
- фотографию,
- ссылку на персональный сайт или соцсети,
- профессию,
- образование,
- уровень доходов,
- семейное положение.
Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету, — это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения — это тоже обработка персональных данных.
Как подготовиться сайт к ФЗ-152?
Прежде всего необходимо разместить на всех страницах сайта «Пользовательское соглашение» и «Политику конфиденциальности». Данные документы должны быть доступны с любой страницы Вашего сайта!
Необходимо реализовать процесс так, чтобы пользователь явно указал, что он согласен на обработку персональных данных. Например, можно добавить данное согласие в форму регистрации на сайте. Как это сделать я описывал в статье «Изменяем модальную форму регистрации в 1С Bitrix».
Сделайте внутренние документы (приказы, регламенты и должностные инструкции) о хранении персональных данных и ответственности сотрудников, работающих с этими данными.
Уведомите Роскомнадзор о том, что вы обрабатываете персональные данные. Они внесут вас в реестр операторов персональных данных.
Уведомление можно не подавать, если:
- обрабатываются только данные сотрудников;
- персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более — распространяться;
- человек сам опубликовал эти данные в общем доступе;
- у вас есть только ФИО клиента и больше ничего.
Убедитесь, что сервера, на которых находится ваш сайт/база данных, где хранятся персональные данные находятся на территории Российской Федерации.
Проверить соответствие вашего сайта Фз-152 можно тут: 152фз.рф