Обработка и защита персональных данных: инструкция для владельцев сайтов

8 августа 2019

~ 35 минут на чтение

Главная –

Блог

Алексей Семёнов

редактор

“

Что такое персональные данные

Персональные данные (ПДн) — это любая информация о человеке, относящаяся к нему прямо или косвенно, которая передается другому физическому или юридическому лицу.

Федеральный закон №152-ФЗ «О персональных данных» регулирует отношения, которые связаны с обработкой персональных данных как в офлайн, так и в онлайн-пространстве. В этом материале мы раскроем те моменты, которые непосредственно относятся к владельцам сайтов. Рассказываем, как работать с персональными данными пользователей.

Роскомнадзор регулярно проводит плановые и внеплановые проверки сайтов. Последние происходят по заявлениям граждан. Получается, что если вы хоть в чем-то не соблюдаете закон, то рискуете оказаться фигурантом административного или уголовного дела. Любой посетитель вашего сайта может написать на вас жалобу за использование его персональных данных.

Столкновение с Роскомнадзором грозит вам не только репутационными потерями и большими штрафами, но и, в случае возбуждения уголовного дела, может вылиться в блокировку ресурса. Так, например, случилось с социальной сетью LinkedIn.

Кому нужно знать закон

Закон «О персональных данных» касается каждого владельца сайта, который каким-либо образом взаимодействует с данными физических лиц. Он описывает правила сбора, обработки, хранения и защиты персональных данных.

Вы оперируете персональными данными, если на вашем сайте есть:

Формы обратной связи
Возможность разместить объявление
Анкеты для заполнения
Опросы о личных данных, социальном положении, взглядах и убеждениях
Сбор биометрических данных
Формы комментариев
Личный кабинет и возможность регистрации
Форма подписки на рассылки
Формы заказа товара или услуги
Сбор любых данных о посетителе

То есть закон касается всех, кто в любом виде получает от пользователей следующие данные:

Фамилию, имя и отчество
Адрес проживания или регистрации
ИНН
Электронную почту
Телефон
Дату или место рождения
Фотографию
Ссылку на личный сайт или страницу в соцсетях
Образование и профессию
Уровень доходов и семейное положение
Файлы куки, геопозицию, IP-адрес
Персональными данными может быть признана и другая информация, поскольку закон не приводит ограниченного перечня

Объясним, что именно требуется от владельцев сайтов, и что нужно сделать, чтобы ресурс работал на законных основаниях.

Федеральный закон «О персональных данных» № 152-ФЗ

Закон о персональных данных появился еще в 2006 году, но в 2017 году произошли важные изменения — в частности ужесточилась ответственность, были введены новые требования и правила. На настоящий момент действует редакция 2017 года.

Вот как определяются персональные данные в пункте 1 статьи 3 152-ФЗ:

«Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

Состояние на 2019 год

В 2018 году были внесены изменения, которые касаются ответственности операторов персональных данных.

«Часть 5 статьи 6 дополнить следующими абзацами:

Оператор, поручивший обработку персональных данных другому лицу, несет ответственность за осуществление надлежащего контроля за действиями другого лица в соответствии с законодательством Российской Федерации.

Порядок осуществления оператором контроля за действиями лица, осуществляющего обработку персональных данных по его поручению, устанавливается оператором самостоятельно».

Это значит, что если оператор привлекает кого-либо для обработки ПДн, то за нарушения все равно отвечает оператор. Например, если вы отправляете спамную рассылку через сервис почтовой рассылки, отвечать будете вы — как оператор ПДн, а не сервис рассылки.

Исключения

Согласно пункту 2 статьи 22 152-ФЗ, в ряде случаев не требуется согласие на обработку персональных данных:

Если ПДн обрабатываются для личных или семейных нужд.
Если данные необходимы для соблюдения трудового законодательства — личные данные сотрудников.
Если они получены в результате договора, используются для его исполнения и не передаются третьим лицам.
Относятся к членам общественного объединения или религиозной организации, которые действуют в соответствии с законом, при условии, что такие данные не передаются третьим лицам.
Если субъект самостоятельно сделал персональные данные общедоступными.
Если данные включают в себя только фамилии, имена и отчества субъектов.
Для однократного пропуска на территорию оператора обработки ПДн.
Если такие данные включены в государственные информационные системы, которые созданы для защиты порядка и безопасности.
Если данные обрабатывается без средств автоматизации, в соответствии с федеральными законами.
Если данные обрабатываются в случаях, которые предусмотрены законами России о транспортной безопасности, в частности для обеспечения работы транспорта.

Что относится к персональным данным

Закон не приводит исчерпывающий перечень информации, которая относится к персональным данным. Однако, в Постановлении Правительства № 1119 от 01.11.2012 выделяют несколько видов ПДн. В частности, на сайте Роскомнадзора можно увидеть следующее деление:

Виды персональных данных, Роскомнадзор

Категории персональных данных

Личные данные

ФИО
Год, месяц и место рождения
Семейное и имущественное положение
Адрес
Профессия
Образование
Доходы

Специальные данные

Расовая принадлежность
Политические взгляды
Философские убеждения
Состояние интимной жизни
Национальная принадлежность
Религиозные убеждения
Состояние здоровья

Биометрические данные

Согласно Статье 11. 152-ФЗ, к биометрическим относятся сведения, характеризующие физиологические и биологические особенности человека, по которым возможно определить его личность:

Отпечатки пальцев
Рисунок радужной оболочки глаза
ДНК-материалы
Образец голоса и др.

И поскольку законом перечень персональных данных не ограничен, выделяется еще один пункт — «Другие категории персональных данных», которые не указаны в списке.

Персональные данные в интернете

К категории иных персональных данных, которые прямо не указаны законом, могут быть отнесены данные, которые владельцы сайтов получают от пользователей, которые заходят на ресурс:

E-mail
IP-адрес
Геолокация
Файлы
Данные о поведении пользователей на сайте

Персональные данные несовершеннолетних

В отдельную категорию можно выделить ПДн детей и подростков. Поскольку они несовершеннолетние, то согласно части 1 статьи 64 Семейного кодекса их права и интересы должны защищать родители или законные представители (опекуны, органы опеки). То есть без согласия родителей данные детей собирать ни в коем случае нельзя.

Что это значит для владельцев сайтов

Информация о пользователях, которую собирает ваш сайт, может относиться к персональным данным. Тогда к вам применяются все правила и требования, указанные в законе. При этом не имеет значения, зарегистрированы вы в качестве оператора персональных или нет, — вы уже им являетесь.

Субъекты персональных данных и их права

Субъект ПДн — физическое лицо, личность которого можно прямо или косвенно определить с помощью информации о нем. То есть это любой пользователь, персональные данные которого попали к владельцу сайта, и личность которого таким образом может быть определена.

Права субъектов

Получать информацию, которая касается обработки его ПДн: факт обработки, правовые основания, цели и способы обработки, наименование и местонахождение оператора, источник получения и сроки хранения, сроки обработки, сведения о предполагаемой трансграничной передаче данных, ФИО и адрес лица, осуществляющего обработку данных по поручению оператора.
Требовать уточнения ПДн, блокировать или уничтожать их, если они являются неполными, устарели или были получены незаконно, а также если данные используются не с заявленными целями.
Получать сведения в доступной форме, по личному запросу или по обращению законного представителя.
Отправлять повторный запрос для получения сведений.

Оператор может отказать субъекту в исполнении повторного запроса на получение сведений, только когда запрос не соответствует условиям, которые предусмотрены частями 4 и 5 статьи 14 152-ФЗ.

Что это значит для владельцев сайтов

Пользователь имеет право запросить информацию о том, какие данные у вас имеются. Также он может потребовать уточнить данные или вовсе удалить их, в том числе через своего законного представителя. При этом вы должны раскрыть информацию только о субъекте запроса и не передавать информацию о третьих лицах.

Хранение и обработка персональных данных

Законом предусмотрены определенные требования к хранению и обработке ПДн сотрудников и клиентов. Вот определение из пункта 3 статьи 3 закона «О персональных данных»:

«Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных».

Требования к обработке

При обработке ПДн необходимо придерживаться следующих требований:

Обработка должна проходить на законной основе.
Срок обработки ограничивается достижением конкретных целей.
Нельзя объединять базы данных, которые были собраны с различными целями.
Обрабатывать можно лишь те данные, которые отвечают заявленным целям, то же касается их содержания и объема.
ПДн должны быть точными, достаточными и актуальными для заявленных целей. Если данные неточные или неполные, то оператор должен их дополнить или удалить.

Условия обработки

Обработка персональных данных возможна в следующих случаях:

С согласия субъекта.
Для выполнения функций, полномочий и обязанностей, возложенных на оператора законом.
Для осуществления правосудия, предоставления государственных услуг.
Для исполнения договора, стороной которого является субъект ПДн.
Для осуществления прав и законных интересов оператора и третьих лиц либо для достижения общественно значимых целей, если при этом не нарушаются права субъекта ПДн.
В статистических и исследовательских целях, кроме целей, которые указаны в статье 15 № 152-ФЗ.
Для осуществления профессиональной деятельности журналиста или СМИ, а также для творческой деятельности, если при этом не нарушаются права субъектов ПДн.
Если субъект самостоятельно предоставил доступ к данным неограниченному кругу лиц.
Если данные обработки подлежат обязательной публикации в соответствии с федеральным законом.

Если получить согласие на обработку данных невозможно, то разрешено обрабатывать данные для защиты жизни, здоровья и жизненно важных интересов субъектов ПДн.

Требования к хранению

К хранению ПДн предъявляются следующие требования:

Данные должны храниться в форме, которая позволит определить субъекта.
Время хранения не должно превышать цели обработки, если срок не определен законом и договором.
По достижении целей обработки ПДн должны быть обезличены или уничтожены.
Сервера, на которых хранятся персональные данных, должны находиться на территории России.
Информационные системы персональных данных должны быть обеспечены уровнем защиты, который соответствует угрозам и категориям ПДн.

Что это значит для владельцев сайтов

Вы можете собирать, хранить и обрабатывать персональные данные, если у вас есть согласие субъекта, вы соблюдаете требования закона, вы исполняете договор между вами и субъектом ПДн. При этом есть ряд ограничений: данные собираются для достижения определенных целей и на конкретный срок, собирать стоит только необходимые данные, ПДн должны храниться в России и быть защищены.

Инструкция: как безопасно работать с персональными данными

Общие правила

Уведомлять пользователей о сборе данных.
Получать персональные данные только с согласия.
Не собирать лишние данные.
Использовать персональные данные только в заявленных целях.
Знакомить граждан со своей политикой обработки персональных данных.
Отвечать на запросы граждан о том, как используются их данные, предоставлять всю необходимую информацию.
Обеспечивать сохранность, тайну и точность данных, не передавать их третьим лицам.
Уточнять, блокировать или уничтожать персональные данные лиц по их заявлению.

Требования к сайту

Проверьте, соответствует ли ваш сайт требованиям федерального закона:

1. Хостинг и сервера с базой данных должны располагаться на территории России. Это требование Федерального закона от 21 июля 2014 г. N 242-ФЗ.

Выдержка из закона

2. Под каждой формой сбора данных должен быть размещен текст: «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных». Также должна быть ссылка на Пользовательское соглашение, договор или согласие на обработку персональных данных.

Пример чекбокса

3. Соглашение на обработку персональных данных лучше разместить на отдельной странице. Документ должен содержать:

Наименование или фамилию, имя, отчество оператора, который собирает данные, а также его адрес.
Цель обработки ПДн.
Перечень ПДн, согласие на обработку которых дает пользователь.
Наименование или фамилию, имя, отчество того, кто будет обрабатывать ПДн, если обработка будет поручена третьему лицу или организации.
Перечень действий с персональными данными, на совершение которых запрашивается согласие.
Срок, на который запрашивается согласие для обработки данны.
Информация о том, как гражданин может отозвать разрешение на обработку своих данных.

4. На сайте должна присутствовать ссылка на политику обработки персональных данных.

5. Всем новым пользователям нужно показывать дисклеймер (всплывающую форму) с предупреждением о том, что сайт собирает определенные данные (куки, IP, геолокацию и др.). В случае несогласия с этим, пользователь может покинуть сайт.

Пример предупреждения на Seonews.ru

6. Должно быть подано уведомление в Роскомнадзор для внесения вас в реестр операторов ПДн. Уведомление можно не подавать, если вы обрабатываете только данные сотрудников, заключаете договор с каждым клиентом или собираете данные только на бумажных носителях

Дополнительные требования для юридических лиц

Если владельцем сайта значится организация, закон предъявляет еще несколько требований:

Назначить ответственных лиц за обработку данных.
Подготовить пакет внутренних документов, которые регламентируют процессы обработки и защиты персональных данных.
Соблюсти регламент по взаимодействию с физическими лицами, контрагентами и государственными органами.

Подписать с работниками обязательства о неразглашении ПДн, согласие на обработку, ознакомить их с внутренними документами под подпись.
Со всеми физическими лицами подписывать согласие на обработку ПДн и добавлять пункт согласия во все договоры, которые заключаете.
Заключать поручения на обработку ПДн, если вы передаете их третьим лицам, например, рекламным агентствам.
Отвечать на запросы граждан об обработке их данных, предоставлять по запросу всю необходимую информацию.

4. Обеспечить организационную и техническую защиту персональных данных: ограниченный доступ в помещения, межсетевые экраны, антивирусные программы. Необходимые меры указаны в Приказе ФСТЭК России от 18.02.2013 N 21.

Как защитить персональные данные

Защита персональных данных — комплекс организационных и технических мероприятий, направленных на защиту сведений о субъекте, по которым можно определить его личность.

В России защита ПДн осуществляется созданием специального режима обработки данных. Он включает в себя следующие действия:

Создание внутренней документации по работе с ПДн.
Создание организационной системы защиты ПДн.
Внедрение технических мер защиты.
Получение лицензий регулирующих органов (ФСБ, ФСТЭК — при создании защиты для других лиц).
Прохождение сертификации на средства защиты информации от регулирующих органов (ФСБ, ФСТЭК).

Определить ситуации, когда нужно обрабатывать ПДн.
Выделить процессы, в которых обрабатываются ПДн.
Определить перечень сотрудников и подразделений, которые имеют доступ к ПДн в рамках рабочей деятельности.
Выбрать ограниченное количество бизнес-процессов для аналитики.
Определить набор информационных систем и совокупность ПДн, которые будут обрабатываться.
Провести категоризацию ПДн и классификацию информационных систем (ИС).
Сформировать актуальную модель угроз для каждой информационной системы персональных данных (ИСПДн).
Подготовить техническое задание для создания системы защиты соответствующего уровня.
Подать уведомление о начале обработки ПДН в Роскомнадзор для регистрации в качестве оператора ПДн.
Отправить заявку на получение руководящих документов по организации системы защиты в Федеральную службу технического и экспортного контроля (ФСТЭК).
Разработать требования для конкретной информационной системы, с учетом присвоенного класса защиты.
Подготовить технический проект по защите ИСПДн и помещений.
Разработать положения, приказы, инструкции и регламенты для систем защиты ПДн.
Спроектировать и внедрить систему защиты ПДн.
Получить согласие на обработку ПДн от субъектов.
Регулярно проводить мероприятия по контролю и выявлению нарушений в защите ПДн.

При трансграничной передаче дополнительно нужно проверить, имеется ли в стране получения надлежащая система защиты персональных данных.

Уровни защиты персональных данных

Уровни защищенности ПДн при их обработке определены Постановлением Правительства № 1119 от 01.11.2012. Для каждого уровня свои требования, которые необходимо выполнить. Чтобы подобрать необходимый уровень защищенности ПДн, необходимо определить все сопутствующие условия.

1 группа. Специальные категории ПДн: информация о расовой и национальной принадлежности субъекта, о политических, религиозных и философских предпочтениях, о здоровье и интимной жизни субъекта.
2 группа. Биометрические ПДн: данные о физиологических и биологических особенностях.
3 группа. Общедоступные ПДн: сведения о субъекте, полный доступ к которым предоставлен самим субъектом.
4 группа. Прочие категории ПДн, сведения, которые не представлены в предыдущих группах.

Трудовые отношения. Субъекты, с которыми у вас имеются трудовые взаимоотношения, — сотрудники.
Иные отношения. Вы обрабатываете данные субъектов, которые не являются сотрудниками вашей организации.

До 100 000 субъектов.
Более 100 000 субъектов.

1 тип. Наличие незаявленных возможностей в системном ПО, которое имеет доступ к ПДн.
2 тип. Недекларированные возможности в прикладном ПО, которое имеет доступ к ПДн.
3 тип. Угрозы, которые не связаны с недеклариованными угрозами в ПО.

Сопоставив все данные, можно узнать необходимый уровень защищенности и определить требования закона к обработке ПДн.

Уровни защищенности ПДн

Что это значит для владельцев сайтов

Если сайтом владеет юридическое лицо, закон предъявляет определенные требования к уровню защиты ПДн: вам нужно определить категорию, назначить ответственных, получить разрешения у контролирующих органов и зарегистрироваться в качестве оператора персональных данных.

Также вам необходимо будет обеспечить информационную защиту персональных данных при помощи фаерволов и антивирусных программ. Также вы можете обратиться в специальные дата-центры или заказать защищенное хранение данных в облаке или у специализированных провайдеров.

Набор конкретных мер зависит от необходимого уровня защищенности. Если вы не передаете результаты медицинских анализов и биометрические данные, то скорее всего ваш уровень защищенности — УЗ-3 или ниже. Таблица требований по обеспечению мер безопасности в соответствии с уровнем защищенности приведены в Приказе ФСТЭК России № 21 от 18.02.2013 г.

Дополнительные материалы по теме

Пояснения Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации.
Ответы на вопросы об обработке персональных данных от Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации.
Бланк Согласия на обработку персональных данных.
Бланки уведомлений, электронные формы заявлений и примеры заполненных образцов от Роскомнадзора.
Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Нарушения и штрафы

Ответственность за нарушения закона несет оператор персональных данных, определение которого дано в 152-ФЗ:

«Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;»

Санкции за нарушение закона о персональных данных указаны в статье 13.11 КоАП РФ

Статья 13.11 КоАП ч. 1

Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния.

Санкции

Пример: сбор данных о семейном, имущественном положении в форме заказа товара. Данная информация здесь явно лишняя и не соответствует заявленным целям.

Статья 13.11 КоАП ч. 2

Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных.

Санкции

Пример: сбор электронных адресов без явного согласия пользователя. В данном случае электронная форма равнозначна письменной.

Статья 13.11 КоАП ч. 3

Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных.

Санкции

Пример: на сайте нет «Политики конфиденциальности» и публичной ссылки на нее.

Статья 13.11 КоАП ч. 4

Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных.

Санкции

Пример: необеспечение требуемого уровня защиты данных, нарушение правил обработки и отказ в запросе на предоставление данных.

Статья 13.11 КоАП ч. 5

Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Санкции

Пример: отказ или игнорирование запросов субъекта на изменение или удаление его персональных данных.

Статья 13.11 КоАП ч. 6

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния.

Санкции

Пример: оператор не обеспечил безопасность хранения и обработки персональных данных, которые собраны без средств автоматизации.

Статья 13.11 КоАП ч. 7

Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных.

Санкции

Примечание: данный пункт касается только государственных и муниципальных органов власти.

Сравнение с GDPR

GDPR (General Data Protection Regulation, Генеральный регламент о защите персональных данных) — постановление Европейского союза, которое усиливает и унифицирует защиту персональных данных всех лиц в Европейском союзе. Вступил в силу 25 мая 2018 года.

Цель GDPR — дать гражданам контроль над их персональными данными и упростить нормативную базу для международных экономических отношений. Постановление также устанавливает ограничительные и контролирующие меры на трансграничную передачу данных.

GDPR актуален для тех, кто работает на территории Европейского союза или вступает в отношения с гражданами ЕС. То есть, если ваш интернет-магазин продает что-либо гражданам ЕС, то вы также подпадаете под действие данного нормативного акта. Кроме того, GDPR регулирует мониторинг онлайн-активности граждан ЕС, то есть, если вы собираете cookies пользователей из ЕС, вы попадаете под действие GDPR.

Основное отличие 152-ФЗ — в том, что GDPR распространяется не на все российские компании, а лишь на те, которые работают с гражданами ЕС. Второй важный момент: GDPR разрешает перенос персональных данных между компаниями по запросу пользователя. Третье отличие: в случае утечки данных оператор должен уведомить контролирующие органы в течение 72 часов, а затем и субъектов персональных данных, чьи интересы могут быть затронуты.

Соблюдение правил работы с персональными данными — насущная необходимость для каждого владельца сайтов. Причем в первую очередь нужно соблюсти требования Роскомнадзора, поскольку он проводит тысячи проверок в год. Как минимум владельцы сайта должны размещать уведомление о сборе данных, получать на него согласие и давать пользователям всю необходимую информацию в соответствующем документе.

Если владелец сайта — юридическое лицо, ситуация осложняется, поскольку необходимо подготовить пакет документов и соблюсти ряд процедур. Документы можно подготовить самостоятельно, с помощью юриста, системного интегратора или автоматизированных сервисов. Это может потребовать дополнительных расходов, однако несоблюдение правил обойдется значительно дороже. При этом выполнить требования закона нужно будет всего один раз.

Читайте по теме