Владельцам сайтов : изменения в законе
о персональных данных
избежать штрафов и что нужно знать о новых поправках
Владельцы сайтов, которюте на сайте формы обратной связи, используют системы аналитики, собира телефонов, адреса электроной почты и другую информацию посетителей, обрабатывают персональные данные.
С 1 сентября 2022 года, а также с 1 марта 2023 вступили в силу поправки в закон № 152 "О персональных даных". Появились новые требования к Политике по бработке персональных и трансграничной передаче, то есть отправки персональных данных на территорию иностранного государства. Если владелец сайта не будет соблюдать эти требования, он может получить штраф. Их существует более 10 видов, а общая сумма штрафов может достигать 18 миллионов рублей.
С 1 сентября 2022 года, а также с 1 марта 2023 вступили в силу поправки в закон № 152 "О персональных даных". Появились новые требования к Политике по бработке персональных и трансграничной передаче, то есть отправки персональных данных на территорию иностранного государства. Если владелец сайта не будет соблюдать эти требования, он может получить штраф. Их существует более 10 видов, а общая сумма штрафов может достигать 18 миллионов рублей.
Никита Володин, консультант компании Б-152, рассказывает, что нужно сделать владельцам сайтов, чтобы организовать сбор и обработку персональных и не нарушить новые требования закона.
Кого будут штрафовать ?
ператоров персональных данных. ператор собирает и обрабатывает персональные даные, например, электроные адреса для рассылки. Оператором могут быть физические и юридические лица.
Определение из закона 152-ФЗ "О персональных данных" :
даннальных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организущие и (или) осуществляющие обработку персональны данных даных, а также определящие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операциия), совершаемые с персональными даными.
Что такое персональные данные ?
о чловеке, по которым его можно опознать. Точного перечисления таких даных в законе нет, но, например, если сведения о музыкальных предпочтениях человека без дополнительной информации нам ни о чём не говорят, то электроная почта - это уже персональные даные.
Определение из закона 152-ФЗ "О персональных данных" :
данные - любая информация, относящаяся к прямо или косвенно определенному или опредеделеделяемому физическому лицу (субъекту персональных данных).
Часто используемые персональные данные
Персональные данно получать через формы, которые заполняют посетители сайта, и автоматически, без участия пользователя. первом случае человек сам передаёт вам свои даные, например, для оформления заказа. Чаще всего это :
- courriel ;
- телефон ;
- имя, фамилия, отчество ;
- адрес ;
- дата рождения ;
- фотография ;
- ссылка на персональный сайт и профиль в соцсетях.
персональные данные посетителей сайта собираются при помощи cookie. Cookie - это файл с даными, который сохранятся на компьютере пользователя после посещения сайта. В куки могут храниться :
р12ладель сайтов могут использовать файлы куки, например, для показа таргетирванной рекламы или отправки напминаний об оставленых в корзине товарах. данных в законе нет, нельзя точно сказать, входят ли куки в понятие "персональных". Но на практике суды и Роскомназдор признают обработку информации, собираемой при помощи куки, обработкой персональных данных.
- данные о местоположении человека ;
- IP-адрес ;
- информация о действиях на сайте ;
- добавленные в корзину товары и так далее.
р12ладель сайтов могут использовать файлы куки, например, для показа таргетирванной рекламы или отправки напминаний об оставленых в корзине товарах. данных в законе нет, нельзя точно сказать, входят ли куки в понятие "персональных". Но на практике суды и Роскомназдор признают обработку информации, собираемой при помощи куки, обработкой персональных данных.
Я не обрабатываю персональные данные, а только собираю
и сбор тоже попадают поделение обработки. Даже если вы собираете даные и через пару минут удаляете, это будет считаться обработкой персональных данных.
Определение из закона 152-ФЗ "О персональных данных" :
данальных любое действие (операция) или совокупность действий (операций), совершаемы с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных даных.
Как владельцам сайтов не нарушить закон об обработке персональных даных избежать избежать штрафов
1
даздайте политику обработки персональных и разместите её на отдельной странице сайта
На сайте, где собираются даные пользователей, обязательно нужно разместить Политику обработки персональных данных. для какой цели вы собираете, котором описано, какие имено даные для какой цели вы собираете, ка храните и обрабатыете, а также вы можете передавать эти данные. Политика обязательно должна содержать :
рассылка или предоставление доступа к образователь татерилам. Если вы собираете cookie, это также нужно указать в политике как отдельную цель. Для каждой цели укажите :
Согласно части 3 статьи 13.11 кодекса РФ об административных правонарушениях за отсутствие политики обработки персональных данных на сайте можно получить штраф в размере от 30 до 60 тысяч рублей.
На сайте, где собираются даные пользователей, обязательно нужно разместить Политику обработки персональных данных. для какой цели вы собираете, котором описано, какие имено даные для какой цели вы собираете, ка храните и обрабатыете, а также вы можете передавать эти данные. Политика обязательно должна содержать :
- ссылку на сайт, к которому она применяется ;
- ФИО или название организации, которая получает согласие посетителя сайта ;
- цели обработки персональных данных.
рассылка или предоставление доступа к образователь татерилам. Если вы собираете cookie, это также нужно указать в политике как отдельную цель. Для каждой цели укажите :
- кто передаёт вам данные (категории субъектов персональных даных). Это могут быть посетители сайта, ваши сотрудники, кандидаты на вакансии ;
- категории перечень даных о пользователях, которые вы получаете ;
- способы и сроки обработки и хранения данных,
- порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных оснований.
Согласно части 3 статьи 13.11 кодекса РФ об административных правонарушениях за отсутствие политики обработки персональных данных на сайте можно получить штраф в размере от 30 до 60 тысяч рублей.
Le système d'information sur la santé est en cours d'élaboration et de mise à jour, et le système d'information sur la santé est en cours d'élaboration . Заполните все поля поставьте нужные галочки, скопируйте текст и разместите его на тдельной странице сайта.
2
обработки персональных в футер сайта
Политика должна быть доступна каждой странице, где собираются даные пользователей. Удобнее всего добавить ссылку в подвал сайта: он одинаковый для всех страниц, поэтому при создани новой вы точно не забудете разместить на ней ссылку на политику.
Политика должна быть доступна каждой странице, где собираются даные пользователей. Удобнее всего добавить ссылку в подвал сайта: он одинаковый для всех страниц, поэтому при создани новой вы точно не забудете разместить на ней ссылку на политику.
3
сбора данных разместите предупреждающий текст о сборе персональных данных
сбора персональных данных добавьте уведомление о том, что вы собираете персональные добавателей дователеые пользователей. Для этого разместите рядом с кнопкой чек-бокс, где пользователь сможет поставить галочку, и текст "Даю согласие на обработку своих персональных данных". Если на сайте есть пользовательское соглашение (оферта), добавьте на него ссылку в текст. Если нет - на отдельной странице сайта разместите текст согласия на обработку персональных даных и добавить на него ссылку под форму.
согласии на обработку персональных данных должны быть :
сбора персональных данных добавьте уведомление о том, что вы собираете персональные добавателей дователеые пользователей. Для этого разместите рядом с кнопкой чек-бокс, где пользователь сможет поставить галочку, и текст "Даю согласие на обработку своих персональных данных". Если на сайте есть пользовательское соглашение (оферта), добавьте на него ссылку в текст. Если нет - на отдельной странице сайта разместите текст согласия на обработку персональных даных и добавить на него ссылку под форму.
согласии на обработку персональных данных должны быть :
- наименование или ФИО и адрес оператора, получающего согласие ;
- цель обработки персональных данных ;
- перечень персональных, данных, на обработку которых пользователь даёт согласие ;
- перечень действий с персональными даными и способы их обработки ;
- если поручаете обработку персональных даным стороним лицам или компаниям, укажите их адрес, наименование или ФИО ;
- срок, в течение которого действует согласие, а также способ как можно его отозвать.
данальных пользователей без их согласия наказывается штрафом в размере от 60 до 100 тысяч рублей за первое нарушение и от 100 до 300 тысяч - за повторное(ст.13.11 КоАП РФ).
В Тильде в каждом блоке с формой сбора данных есть поле, в котором можно разместить текст о согласии на обработку данных и ссылку на соглашение и таким образом выполнить требование закона.
4
Показывайте всем новым сайта предупреждение о том, что вы собирате cookie
Файлы cookie считаются персональными данными даными, поэтому всем новым посетителям сайта нужно показывать уведомление об их сборе, и получить на это согласие. "согласен" или пропишите на банере добавьте кнопку "согласен" или пропишите в тексте предупреждения, например : "согласие на бработку ваших персональ данших даных с помощью сервисовсов веб-аналитики". В текст добавьте ссылку на политику обработки персональных даных. не хочет, чтобы эти его даные обрабатывались, он должен покинуть сайт.
Файлы cookie считаются персональными данными даными, поэтому всем новым посетителям сайта нужно показывать уведомление об их сборе, и получить на это согласие. "согласен" или пропишите на банере добавьте кнопку "согласен" или пропишите в тексте предупреждения, например : "согласие на бработку ваших персональ данших даных с помощью сервисовсов веб-аналитики". В текст добавьте ссылку на политику обработки персональных даных. не хочет, чтобы эти его даные обрабатывались, он должен покинуть сайт.
библиотеке блоков Тильды уведомление об использовании куки находятся в категории другое. Это блоки : T657, T886 и T887
5
компанию в рестр операторов персональ данние, чтобы внести в рестр оперсональных данных Роскомнадзора
саладелец должен уведомить Роскомнадзор об обработке персональных данных. Это можно сделать на портале персональных данных. Если оператор уже подаление - это нужно сделать заново по ново, утверждомление - это нужно сделать заново по новой Приказом Роскомнадзора от 28.10.2022 № 180.
В законе есть три исключения, когда можно не подавать уведомление :
саладелец должен уведомить Роскомнадзор об обработке персональных данных. Это можно сделать на портале персональных данных. Если оператор уже подаление - это нужно сделать заново по ново, утверждомление - это нужно сделать заново по новой Приказом Роскомнадзора от 28.10.2022 № 180.
В законе есть три исключения, когда можно не подавать уведомление :
- когда обрабатываемые данные включены в государственные информационные системы персональных данных, созданые в целях защиты безопасности государства и общественого порядка ;
- когда данные обрабатываются в рамках исполнения законодательства по устойчивому функционированию транспорта и обеспечению безопасности там ;
- когда персональные даные обрабатываются без использования средств автоматизаци - только на материльных носителях.
6
Создайте регламент ответов на запросы посетителей сайта
Пользователи могут запрашивать у владельцев сайта, для каких целей собирают их даные, как они обрабатываются, где хранятя и так дале. Раньше у компани был месяц для ответа на обращение, теперь - 10 рабочих дней.
Подготвьтесь ктаким запросам заране и закрепите во нутрених документах срок ответа. Если человек потребует прекратить обработку его персональных даных - оператор обязан это сделать также в течение 10 дней.
Пользователи могут запрашивать у владельцев сайта, для каких целей собирают их даные, как они обрабатываются, где хранятя и так дале. Раньше у компани был месяц для ответа на обращение, теперь - 10 рабочих дней.
Подготвьтесь ктаким запросам заране и закрепите во нутрених документах срок ответа. Если человек потребует прекратить обработку его персональных даных - оператор обязан это сделать также в течение 10 дней.
Если компания проигнорирует запрос пользователя или ответ после окончания положенного срока, её оштрафуют на суму от 40 до 80 тысяч рублей.
сентября 2022 года пользователь также имет право не предоставлять персональные даные, которые не нужны для исполнения договора. Например, если покупатель оформляет у вас доставку товара в пункт выдачи, а вы запрашиваете его домашний адрес, человек может не предоставлять вам эти данные. доставке, то сть в исполнии договора, и он потребует объяснить, почему это произошло, нужно отить в кортить в короткие срокие : на письменный запрос - в течение 7 дней, на устный - незамедлительно.
Это изменение будет особенно актуально для владельцев интернет-магазинов, поэтому им необходимо :
Это изменение будет особенно актуально для владельцев интернет-магазинов, поэтому им необходимо :
- определить, какие персональные даные обязательны для исполнения договора купли-продажи, чаще всего это публичная офетра на сайте ;
- обосновать, зачем обрабатывается такое количество персональных данных ;
- исключить из оферты сбор даных, которые не используются для исполнения договора.
Выше мы рассказали о действиях, которые небходимо выполнить всем владельцам сайтов, чтобы избежать штрафов. Дале расскажем о том, что актуально для тех, кто передаёт даные на территорию иностраного государства, или поручает обработку данных третьим лицам.
7
РКН о трансграничной передачи персональных данных
Трансграничная передача данных - это передача персональных данных на территорию иностранного государства : органу власти, иностраному физическому или юридическому лицу. Например, если компания помогает найти обучение за рубежом, для этого получает даные граждан России и передаёт их в иностранные школы, это считается трансграничной передачей. К ней также относится использование сервисов, чьи базы даных расположены за границей (Mailchimp, Notion, Zoho CRM, Trello и другие).
Трансграничная передача данных - это передача персональных данных на территорию иностранного государства : органу власти, иностраному физическому или юридическому лицу. Например, если компания помогает найти обучение за рубежом, для этого получает даные граждан России и передаёт их в иностранные школы, это считается трансграничной передачей. К ней также относится использование сервисов, чьи базы даных расположены за границей (Mailchimp, Notion, Zoho CRM, Trello и другие).
1 марта 2023 года до начала трансграничной передачи нужно подать уведомление в РКН. Если после подачи уведомления прошло 10 рабочих дней и вы не получили ответ - можно осуществлять такую передачу. Ответ придёт только в случае запрета или ограничения передачи данных иностранному оператору.
Если вы ране подали уведомление о трансграничной передачи, повторно отправлять его не нужно.
Если вы ране подали уведомление о трансграничной передачи, повторно отправлять его не нужно.
проверьте, в какие страны вы планируете передавать даные. с Все стра, в сответстви с Приказом Роскомнадзора, делятся на обеспечивающие "адекватную" защиту персональны даннна обеспечивающие. данных, относятся Болгария, Польша, Литва, Словения и другие подписанты Евроконвенции, а также отдельные страны по приказу Роскомнадзора. К "неадекватным" - все остальные.
8
Проверьте поручение на обработку персональных даных
данных другой компании, это должно быть прописано в договоре с ней. Поручать обработку можно, например, маркетингоым агентствам или дата-центрам - чаще всего это компании, которые работают на утсорсе. В тексте поручения на обработку персональных даных нужно прописать :
Отсутствие поручения вдоговоре с подрядчиком может привести к штрафу от 60 до 100 тысяч рублей, а в случае повторного нарушения - от 100 до 300 тысяч рублей.
данных другой компании, это должно быть прописано в договоре с ней. Поручать обработку можно, например, маркетингоым агентствам или дата-центрам - чаще всего это компании, которые работают на утсорсе. В тексте поручения на обработку персональных даных нужно прописать :
- перечень персональных данных ;
- все планируемые с ними действия ;
- цели обработки персональных данных ;
- гарантии соблюдения конфиденциальности и безопасности персональных данных ;
- обязанность обработчика по запросу оператора предоставлять сведения о соблюдени требований конфиденциальности и безопасности ;
- обязанность обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных использованием баз данных на территориии РФ ;
- все требования к защите персональных данных, содержащиеся в ст . 18 и ст . 19 ФЗ № 152.
Отсутствие поручения вдоговоре с подрядчиком может привести к штрафу от 60 до 100 тысяч рублей, а в случае повторного нарушения - от 100 до 300 тысяч рублей.
Что еще нужно сделать, если вы - юрлицо
Выше мы назвали главния, которые Роскомнадзор предъявлят ко всем сайтам - неважно, физическое вы лицо или юридическое. Ниже еще несколько групп требований, которые должны дополнительно выполнять юридические лица.
Что нужно еще сделать компаниям :
1
разработать пакет внутренних документов, регламентирующих процесы обработки и защиты персональных данных.
2
Подписать с сотрудниками согласие на обработку персональных даных и под роспись ознакомить их с внутреними документами по персональным данным.
3
Если произошла утечка персональных данных, оператор теперь обязан в течение 24 часов уведомить РКН : сообщить предполагамые причины утечки и оценить вред. Затем в течение 72 часов провести расследование инцидента и сообщить о его результатах.
Минцифры готовят законопроект о внесении изменений в Кодекс административных правонарушений, согласно которым за утечки персональных даных компани будут штрафовать в размере до 3% от годовой выручки.
Минцифры готовят законопроект о внесении изменений в Кодекс административных правонарушений, согласно которым за утечки персональных даных компани будут штрафовать в размере до 3% от годовой выручки.
4
даннальные техническими и организационными мерами : антивирусными системами, средствами межсетевого экранирования, разграничить права доступа. Всё это прописано в приказе № 21 Федеральной службы по техническому и экспортному контролю.
Чек-лист для владельцев сайта
- Определите, какие персональные данные собираются на сайте.
- персональных данных и актуализируйте её содержание в сответватетствие с требованиями федерального закона "О персональных данных".
- политику обработку персональных данных в подвал сайта.
- сбора персональных на сайте был чек-бокс с предупреждающим текстом о том, что пользователь соглашается на обработку персональных данных. должна быть ссылка на пользовательское соглашение или согласие на обработку персональ даных даных.
- Разместите на сайте уведомление об использовании cookie.
- персли вы не пали уведомление об обработке персональных даных в рестр операторов - сделайте это.
- регламент реагирования запросы пользователей и проведите тренинг для сотрудников, обрабатывающих персональные даные.
- Если у вас интернет-магазин, проверьте содержание оферты и формы на предмет "избыточных" персональных данных.
- Если вы планируете осуществлять трансграничную передачу персональных данных - подайте уведомление в РКН.
- докуменних документов по зарлицо - разработайте пащите персональных данных, подпишите согласие сотрудниками на обработку персональных данных, защитите даннные необходимыми мерами.
Il n'y a pas d'autre choix que d'aller à l'école : Никита Володин
Иллюстрации, дизайн и верстка : Юлия Засс
Иллюстрации, дизайн и верстка : Юлия Засс
расли материал вам понравился, расскажите о нем друзьям. Спасибо !
Читайте также :
