Владельцам сайтов: изменения в законе
о персональных данных

Как избежать штрафов и что нужно знать о новых поправках
Владельцы сайтов, которые размещают на сайте формы обратной связи, используют системы аналитики, собирают номера телефонов, адреса электронной почты и другую информацию посетителей, обрабатывают персональные данные.

С 1 сентября 2022 года, а также с 1 марта 2023 вступили в силу поправки в закон № 152 «О персональных данных». Появились новые требования к Политике по обработке персональных данных и трансграничной передаче, то есть отправки персональных данных на территорию иностранного государства. Если владелец сайта не будет соблюдать эти требования, он может получить штраф. Их существует более 10 видов, а общая сумма штрафов может достигать 18 миллионов рублей.
Никита Володин
Консультант консалтинговой компании Б-152
Никита Володин, консультант компании Б-152, рассказывает, что нужно сделать владельцам сайтов, чтобы организовать сбор и обработку персональных данных и не нарушить новые требования закона.
Кого будут штрафовать?
Операторов персональных данных. Оператор собирает и обрабатывает персональные данные, например, электронные адреса для рассылки. Оператором могут быть физические и юридические лица.
Определение из закона 152-ФЗ «О персональных данных»:
Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Что такое персональные данные?

Любые данные о человеке, по которым его можно опознать. Точного перечисления таких данных в законе нет, но, например, если сведения о музыкальных предпочтениях человека без дополнительной информации нам ни о чём не говорят, то электронная почта — это уже персональные данные.
Определение из закона 152-ФЗ «О персональных данных»:
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Часто используемые персональные данные

Персональные данные можно получать через формы, которые заполняют посетители сайта, и автоматически, без участия пользователя. В первом случае человек сам передаёт вам свои данные, например, для оформления заказа. Чаще всего это:
  • email;
  • телефон;
  • имя, фамилия, отчество;
  • адрес;
  • дата рождения;
  • фотография;
  • ссылка на персональный сайт и профиль в соцсетях.
Автоматически персональные данные посетителей сайта собираются при помощи cookie. Cookie — это файл с данными, который сохраняется на компьютере пользователя после посещения сайта. В куки могут храниться:
  • данные о местоположении человека;
  • IP-адрес;
  • информация о действиях на сайте;
  • добавленные в корзину товары и так далее.

Владельцы сайтов могут использовать файлы куки, например, для показа таргетированной рекламы или отправки напоминаний об оставленных в корзине товарах. Так как перечня персональных данных в законе нет, нельзя точно сказать, входят ли куки в понятие «персональных данных». Но на практике суды и Роскомназдор признают обработку информации, собираемой при помощи куки, обработкой персональных данных.

Я не обрабатываю персональные данные, а только собираю

Хранение и сбор тоже попадают под определение обработки. Даже если вы собираете данные и через пару минут удаляете, это будет считаться обработкой персональных данных.
Определение из закона 152-ФЗ «О персональных данных»:
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Как владельцам сайтов не нарушить закон об обработке персональных данных и избежать штрафов
1
Создайте политику обработки персональных данных и разместите её на отдельной странице сайта

На сайте, где собираются данные пользователей, обязательно нужно разместить Политику обработки персональных данных. Это документ, в котором описано, какие именно данные и для какой цели вы собираете, как храните и обрабатываете, а также кому вы можете передавать эти данные. Политика обязательно должна содержать:
  • ссылку на сайт, к которому она применяется;
  • ФИО или название организации, которая получает согласие посетителя сайта;
  • цели обработки персональных данных.

Целью может быть отправка пользователям рассылки или предоставление доступа к образовательным материалам. Если вы собираете cookie, это также нужно указать в политике как отдельную цель. Для каждой цели укажите:
  • кто передаёт вам данные (категории субъектов персональных данных). Это могут быть посетители сайта, ваши сотрудники, кандидаты на вакансии;
  • категории и перечень данных о пользователях, которые вы получаете;
  • способы и сроки обработки и хранения данных,
  • порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.

Согласно части 3 статьи 13.11 кодекса РФ об административных правонарушениях за отсутствие политики обработки персональных данных на сайте можно получить штраф в размере от 30 до 60 тысяч рублей.
Воспользуйтесь бесплатным конструктором политики обработки персональных данных от Тильды. Заполните все поля, поставьте нужные галочки, скопируйте текст и разместите его на отдельной странице сайта.
2
Добавьте ссылку на политику обработки персональных данных в футер сайта

Политика должна быть доступна на каждой странице, где собираются данные пользователей. Удобнее всего добавить ссылку в подвал сайта: он одинаковый для всех страниц, поэтому при создании новой вы точно не забудете разместить на ней ссылку на политику.
3
Под каждой формой сбора данных разместите предупреждающий текст о сборе персональных данных

Под каждой формой сбора персональных данных добавьте уведомление о том, что вы собираете персональные данные пользователей. Для этого разместите рядом с кнопкой чек-бокс, где пользователь сможет поставить галочку, и текст «Даю согласие на обработку своих персональных данных». Если на сайте есть пользовательское соглашение (оферта), добавьте на него ссылку в текст. Если нет — на отдельной странице сайта разместите текст согласия на обработку персональных данных и добавить на него ссылку под форму.

В согласии на обработку персональных данных должны быть:
  • наименование или ФИО и адрес оператора, получающего согласие;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых пользователь даёт согласие;
  • перечень действий с персональными данными и способы их обработки;
  • если вы поручаете обработку персональных данным сторонним лицам или компаниям, укажите их адрес, наименование или ФИО;
  • срок, в течение которого действует согласие, а также способ как можно его отозвать.
Обработка персональных данных пользователей без их согласия наказывается штрафом в размере от 60 до 100 тысяч рублей за первое нарушение и от 100 до 300 тысяч — за повторное (ст.13.11 КоАП РФ).
В Тильде в каждом блоке с формой сбора данных есть поле, в котором можно разместить текст о согласии на обработку данных и ссылку на соглашение и таким образом выполнить требование закона.
4
Показывайте всем новым пользователям сайта предупреждение о том, что вы собираете cookie

Файлы cookie считаются персональными данными, поэтому всем новым посетителям сайта нужно показывать уведомление об их сборе, и получить на это согласие. Для этого на баннере добавьте кнопку «согласен» или пропишите в тексте предупреждения, например: «используя сайт, вы предоставляете согласие на обработку ваших персональных данных с помощью сервисов веб-аналитики». В текст добавьте ссылку на политику обработки персональных данных. Если пользователь не хочет, чтобы эти его данные обрабатывались, он должен покинуть сайт.
В библиотеке блоков Тильды уведомление об использовании куки находятся в категории другое. Это блоки: T657, T886 и T887
5
Подайте уведомление, чтобы внести компанию в реестр операторов персональных данных Роскомнадзора

Владелец сайта должен уведомить Роскомнадзор об обработке персональных данных. Это можно сделать на портале персональных данных. Если оператор уже подал такое уведомление — это нужно сделать заново по новой форме, утверждённой Приказом Роскомнадзора от 28.10.2022 № 180.

В законе есть три исключения, когда можно не подавать уведомление:
  • когда обрабатываемые данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • когда данные обрабатываются в рамках исполнения законодательства по устойчивому функционированию транспорта и обеспечению безопасности там;
  • когда персональные данные обрабатываются без использования средств автоматизации — только на материальных носителях.
6
Создайте регламент ответов на запросы посетителей сайта

Пользователи могут запрашивать у владельцев сайта, для каких целей собирают их данные, как они обрабатываются, где хранятся и так далее. Раньше у компании был месяц для ответа на обращение, теперь — 10 рабочих дней.

Подготовьтесь к таким запросам заранее и закрепите во внутренних документах срок ответа. Если человек потребует прекратить обработку его персональных данных — оператор обязан это сделать также в течение 10 дней.
Если компания проигнорирует запрос пользователя или ответит после окончания положенного срока, её оштрафуют на сумму от 40 до 80 тысяч рублей.
С 1 сентября 2022 года пользователь также имеет право не предоставлять персональные данные, которые не нужны для исполнения договора. Например, если покупатель оформляет у вас доставку товара в пункт выдачи, а вы запрашиваете его домашний адрес, человек может не предоставлять вам эти данные. Если вы откажете пользователю в доставке, то есть в исполнении договора, и он потребует объяснить, почему это произошло, нужно ответить в короткие сроки: на письменный запрос — в течение 7 дней, на устный — незамедлительно.

Это изменение будет особенно актуально для владельцев интернет-магазинов, поэтому им необходимо:
  • определить, какие персональные данные обязательны для исполнения договора купли-продажи, чаще всего это публичная оферта на сайте;
  • обосновать, зачем обрабатывается такое количество персональных данных;
  • исключить из оферты сбор данных, которые не используются для исполнения договора.
Выше мы рассказали о действиях, которые необходимо выполнить всем владельцам сайтов, чтобы избежать штрафов. Далее расскажем о том, что актуально для тех, кто передаёт данные на территорию иностранного государства, или поручает обработку данных третьим лицам.
7
Подайте уведомление в РКН о трансграничной передачи персональных данных

Трансграничная передача персональных данных — это передача персональных данных на территорию иностранного государства: органу власти, иностранному физическому или юридическому лицу. Например, если компания помогает найти обучение за рубежом, для этого получает данные граждан России и передаёт их в иностранные школы, это считается трансграничной передачей. К ней также относится использование сервисов, чьи базы данных расположены за границей (Mailchimp, Notion, Zoho CRM, Trello и другие).
С 1 марта 2023 года до начала трансграничной передачи нужно подать уведомление в РКН. Если после подачи уведомления прошло 10 рабочих дней и вы не получили ответ — можно осуществлять такую передачу. Ответ придёт только в случае запрета или ограничения передачи данных иностранному оператору.

Если вы ранее подали уведомление о трансграничной передачи, повторно отправлять его не нужно.
Также проверьте, в какие страны вы планируете передавать данные. Все страны мира, в соответствии с Приказом Роскомнадзора, делятся на обеспечивающие «адекватную» защиту персональных данных и не обеспечивающие. К странам, обеспечивающим адекватную защиту персональных данных, относятся Болгария, Польша, Литва, Словения и другие подписанты Евроконвенции, а также отдельные страны по приказу Роскомнадзора. К «неадекватным» — все остальные.
8
Проверьте поручение на обработку персональных данных

Если вы поручаете обработку персональных данных другой компании, это должно быть прописано в договоре с ней. Поручать обработку можно, например, маркетинговым агентствам или дата-центрам — чаще всего это компании, которые работают на аутсорсе. В тексте поручения на обработку персональных данных нужно прописать:
  • перечень персональных данных;
  • все планируемые с ними действия;
  • цели обработки персональных данных;
  • гарантии соблюдения конфиденциальности и безопасности персональных данных;
  • обязанность обработчика по запросу оператора предоставлять сведения о соблюдении требований конфиденциальности и безопасности;
  • обязанность обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных на территории РФ;
  • все требования к защите персональных данных, содержащиеся в ст. 18 и ст. 19 ФЗ № 152.

Отсутствие поручения в договоре с подрядчиком может привести к штрафу от 60 до 100 тысяч рублей, а в случае повторного нарушения — от 100 до 300 тысяч рублей.

Что еще нужно сделать, если вы — юрлицо

Выше мы назвали главные требования, которые Роскомнадзор предъявляет ко всем сайтам — неважно, физическое вы лицо или юридическое. Ниже еще несколько групп требований, которые должны дополнительно выполнять юридические лица.
Что нужно еще сделать компаниям:
1
Назначить ответственных лиц и разработать пакет внутренних документов, регламентирующих процессы обработки и защиты персональных данных.
2
Подписать с сотрудниками согласие на обработку персональных данных и под роспись ознакомить их с внутренними документами по персональным данным.
3
Если произошла утечка персональных данных, оператор теперь обязан в течение 24 часов уведомить РКН: сообщить предполагаемые причины утечки и оценить вред. Затем в течение 72 часов провести расследование инцидента и сообщить о его результатах.

В Минцифры готовят законопроект о внесении изменений в Кодекс административных правонарушений, согласно которым за утечки персональных данных компании будут штрафовать в размере до 3% от годовой выручки.
4
Защитить персональные данные техническими и организационными мерами: антивирусными системами, средствами межсетевого экранирования, разграничить права доступа. Всё это прописано в приказе № 21 Федеральной службы по техническому и экспортному контролю.

Чек-лист для владельцев сайта

  • Определите, какие персональные данные собираются на сайте.


  • Добавьте ссылку на политику обработку персональных данных в подвал сайта.

  • Проверьте, чтобы под формами сбора персональных данных на сайте был чек-бокс с предупреждающим текстом о том, что пользователь соглашается на обработку персональных данных. В тексте должна быть ссылка на пользовательское соглашение или согласие на обработку персональных данных.

  • Разместите на сайте уведомление об использовании cookie.

  • Если вы не подали уведомление об обработке персональных данных в реестр операторов — сделайте это.

  • Разработайте регламент реагирования на запросы пользователей и проведите тренинг для сотрудников, обрабатывающих персональные данные.

  • Если у вас интернет-магазин, проверьте содержание оферты и формы на предмет «избыточных» персональных данных.

  • Если вы планируете осуществлять трансграничную передачу персональных данных — подайте уведомление в РКН.

  • Если вы юрлицо — разработайте пакет внутренних документов по защите персональных данных, подпишите согласие с сотрудниками на обработку персональных данных, защитите данные необходимыми мерами.

Текст: Никита Володин
Иллюстрации, дизайн и верстка: Юлия Засс
Если материал вам понравился, расскажите о нем друзьям. Спасибо!
Читайте также: