Какие документы по обработке персональных данных обязательно должны быть на сайте?
В соответствии со статьей 18.1 Федерального закона № 152-ФЗ «О персональных данных» в обязанности оператора персональных данных входит издание документа, определяющего его политику в отношении защиты и обработки персональных данных.
Политика защиты и обработки персональных данных — это обязательный документ, если персональные данные оператор обрабатывает на своём сайте. Например, когда клиенты регистрируются на сайте организации, заполняют различные формы: для заказа обратного звонка или задают вопрос или же, оформляют онлайн-заказ на товары или услуги компании и оставляют для этого свои персональные данные.
Что указывается в политике:
- Общие положения: что относится к персональным данным, что такое обработка данных, какие оператор использует способы обработки.
- Цели сбора персональных данных: например, заключение договоров, исполнение требований законодательства, и другое.
- Основания обработки персональных данных: договоры, законодательство, согласие субъекта, уставные документы оператора.
- Объем и категории персональных данных и субъектов не должны противоречить заявленным целям. Здесь подробно расписывается, для чего оператор обрабатывает персональные данные, с чьими данными он может работать.
- Порядок и условия работы с данными: как они хранятся, какие есть ограничения, какие способы обработки используются (автоматизированный, неавтоматизированный, смешанный).
- Условия обработки биометрии: когда оператор может обрабатывать такие персональные данные, какие меры защиты предусмотрены.
- Особенности актуализации, уничтожения и удаления персональных данных: обязанность оператора предоставить субъекту доступ к его данным, своевременно и правильно изменять или удалять их, прекращать работу с ними при отзыве согласия субъектом.
Также, С 2024 года файлы cookies признаны персональными данными т.к. современные куки-файлы могут содержать уникальные идентификаторы, которые позволяют отследить действия конкретного человека, пусть даже без указания имени. Это уже попадает под определение персональных данных.
Файлы cookies (куки) — это небольшие текстовые фрагменты, которые сайт сохраняет в браузере пользователя. Они позволяют «запоминать» действия, предпочтения и технические параметры визита: язык интерфейса, содержимое корзины, поведение на страницах, источник перехода и многое другое.
Благодаря cookies сайты становятся удобнее, а бизнес эффективнее.
Куки используются:
- для аналитики и оценки поведения посетителей;
- в целях персонализации контента;
- для ретаргетинга и настройки рекламы;
- для авторизации и запоминания сессий.
152-ФЗ «О персональных данных», статья 6: обработка персональных данных допускается только с согласия субъекта или при наличии других правовых оснований.
Cookies-файлы не упомянуты напрямую, но, т.к. косвенно имеется возможность идентификации или поведенческий учёт посетителя, их использование требует согласия.
Закон не регулирует формат cookies-баннера, но из 152-ФЗ следует, что обработка персональных данных до получения согласия — недопустима. А значит, размещение куки-баннера обязательно для соблюдения требования закона.
Соответственно, если сайт использует в своей работе какие-то сторонние сервисы, которые используют cookies и могут идентифицировать пользователя сайта, например, Яндекс.Метрику, карты от Яндекса, 2ГИС и подобных сервисов, интеграцию с онлайн-эквайрингами банков, облачными кассами для оплаты услуг и т.п., то, следовательно, сайт использует cookies и нужно подробно описать для пользователя – какие сервисы и зачем собирают данные. А самое главное, оператор, как владелец сайта, обязан предоставить пользователю возможность выбирать, какие типы cookies разрешать или запрещать, описав с какими неудобствами может столкнуться пользователь. Например, он не сможет увидеть интерактивную схему проезда к офису или магазину владельца сайта, указанную на Яндекс картах.
Куки могут быть:
- Необходимые cookies (всегда включены)
- Аналитические cookies (можно отключить)
- Маркетинговые cookies (можно отключить)
- Функциональные cookies (можно отключить)
Соответственно, до получения согласия от пользователя скрипты сторонних сервисов, использующих cookies не должны исполняться.
Основные положения закона №152-ФЗ, касающиеся cookies:
- Согласие на обработку - пользователь должен добровольно и осознанно согласиться на использование cookies.
- Информирование - до начала обработки вы обязаны разъяснить:
- какие данные собираются;
- с какой целью;
- кто их обрабатывает;
- где размещена политика обработки.
- Право на отказ - пользователь имеет право не предоставить согласие и при этом сайт должен продолжить работать (в разумных пределах).
- Ст. 9 ФЗ-152: согласие субъекта должно быть конкретным, информированным и сознательным; оператор обязан подтвердить факт его получения.
- Ст. 5 ФЗ-152: обработка персональных данных должна быть ограничена законными целями и подтверждена документально.
Позиция Роскомнадзора: при проверках сайтов регулятор указывает, что необходимо не только отображать баннер, но и сохранять техническую фиксацию согласия (логирование действия пользователя). Согласие должно фиксироваться в базе данных или логах сервера, соответственно, должен вестись журнал согласий посетителей сайта за временной промежуток не менее одного года с данными: дата и время получения согласия, IP-адрес пользователя, список категорий cookies, которые одобрены пользователем, дата документа, который описывает способы и цели обработки персональных данных.
Политика должна содержать подробные инструкции о том, как пользователи могут отключить cookies в различных браузерах. Это альтернативный способ отказа от cookies.
Обязательные элементы:
- Инструкции для Chrome, Safari, Firefox, Edge
- Пошаговое описание настроек
- Предупреждение о возможных ограничениях функциональности
Политика cookies должна содержать дату последнего обновления и обновляться при изменении используемых сервисов.
Нарушение порядка обработки персональных данных может привести к:
- административным штрафам (ст. 13.11 КоАП РФ),
- блокировке сайта в случае серьезных нарушений,
- жалобам пользователей и проверкам Роскомнадзора.
Даже если у вас небольшой сайт или блог, закон одинаково применим. Наличие cookies-баннера с согласием пользователя теперь прямая юридическая обязанность, согласно требованиям законодательства РФ.
При составлении политики конфиденциальности пользуйтесь Рекомендациями по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и Рекомендациями Роскомнадзора операторам персональных данных.
Что касается заполнения различных форм на сайте, о которых речь шла выше (формы обратного звонка, обратной связи, оформления онлайн-заказа и др.): при заполнении данной формы посетитель сайта должен предоставить явное согласие на обработку своих персональных данных. Следовательно, должен быть разработан еще один документ, а именно – Согласие на обработку данных, который подробно распишет как будут использоваться данные посетителя, кому могут быть переданы и т.д.
Согласие должно быть выражено явно: не допускается предустановленная «галочка» или текст, подобный «Нажимая кнопку ОТПРАВИТЬ Вы предоставляете согласие…». Также, предоставление этого согласия пользователем должно быть занесено в журнал.
Штрафы за различные нарушения за несоблюдение закона о персональных данных были значительно увеличены, например, согласно ст. 13.11 КоАП РФ:
За отсутствие политики обработки персональных данных – штраф до 60 000 руб.
Политика по обработке персональных данных иили cookies не опубликована на сайте должным образом – штраф до 60 000 руб.
Отсутствует согласие на обработку персональных данных – штраф до 300 000 руб.
Сбор и накопление персональных данных с использованием баз данных за пределами территории РФ – штраф до 6 000 000 руб.
Повторные штрафы в разы выше.
Ну и последнее: при работе с персональными данными не должны использоваться иностранные сервисы, хостинг и т.п. Если вашему сайту действительно нужно обрабатывать данные с использованием зарубежных средств, то вы должны предварительно получить разрешение Роскомнадзора на трансграничную передачу данных и обязательно отразить это в политике обработки персональных данных.
Итого, чтобы соответствовать законодательству, сайт должен иметь:
- Политику конфиденциальности (обработки персональных данных)
- Согласие на обработку персональных данных
- Баннер, с возможностью выбора категорий cookies, которые разрешает посетитель
- Осуществлять выполнение скриптов, входящих в категории, на которые необходимо согласие посетителя только после получения такого согласия
- Вести журнал полученных согласий минимум в течение трех лет и при запросе со стороны РКН предоставить к нему доступ
Рекомендуем проверить свои сайты на предмет соответствия законодательства и при выявлении отсутствия каких-то документов или недостаточной информации внутри конкретного документа исправить все несоответствия до момента проверки сайта со стороны РКН. Не рекомендуем копировать документы с других сайтов, т.к. при проверке со стороны РКН, специалисты действительно читают документы, проверяют наличие в них информации об используемых сервисах и выявляют несоответствия, а это грозит штрафом. Документы должны быть разработаны для вашей компании и вашего сайта.
Также, не стоит забывать о том, что вы должны быть зарегистрированы в Роскомнадзоре как оператор персональных данных. В случае отсутствия регистрации, но производя сбор и обработку Персональных данных, есть риск получить штраф до 300 000р.
Не дожидайтесь автоматических проверок РКН или проверок по чьей-то жалобе, приведите сайты в соответствие с законом как можно быстрее.
Если ваш сайт разрабатывался нашей студией, то за реализацией технической части исполнения ФЗ можно обратиться к нашим специалистам через раздел контакты. Если нужна юридическая помощь в составлении документов, то ее могут оказать наши партнеры-юристы по отдельному договору.
Все новости >>