Обработка персональных данных на сайте [правила и образец]

28 Сентября

Персональные данные - это практически все, что позволяет вам идентифицировать человека. Если вы собираете только номера телефонов - это не персональные данные. Но как только вы стали собирать и номера телефонов и имена их владельцев - это персональные данные. Если вы собираете и храните GPS данные о местоположении человека, принимаете сотрудника на работу и берете копию паспорта, в пропускном пункте собираете ФИО посетителя и его номер автомобиля - это тоже персональные данные. Наверняка вы получали звонки или SMS сообщения со спам рассылкой от разных компаний. Как у посторонних людей появился ваш номер телефона? К кому обращаться чтобы вам больше не звонили и не писали, как вычеркнуть ваш номер из посторонней базы данных?

Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ предусматривает каким образом эти данные хранятся, кому можно передfваться, от кого можно потребовать удалить данные. Если вы собираете с помощью вашего сайта персональные данные - вы оператор персональных данных. Так вас называет федеральный закон.

Вы оператор персональны данных, если:

  1. На вашем сайте есть форма подписки.
  2. На вашем сайте или лендинге есть возможность оставлять комментарии.
  3. Вы публикуете отзывы о своих услугах.
  4. Вы обрабатываете заказы через CRM-систему.
  5. Собираете статистику о посещениях через Яндекс.Метрику или Google.Analytics.

При этом различают 3 типа персональных данных: общие, специальные и биометрические.

Общие персональные данные это:

  • ФИО;
  • e-mail;
  • телефон;
  • адрес;
  • паспортные данные;
  • образование;
  • заработок.

Специальные персональные данные это:

  • раса;
  • национальность;
  • политические взгляды;
  • отношение к религии;
  • состояние здоровья.

Биометрические персональные данные это:

  • анализ ДНК;
  • рост;
  • вес;
  • дактилоскопические данные;
  • радужная оболочка глаза.

Если вы оператор специальных и биометрических данных вы обязаны обрабатывать их только с письменного согласия человека.

Как создать политику конфиденциальности для сайта

Документ необязательно должен называться "Политика конфиденциальности", можно использовать название "Политика в отношении персональных данных", "Пользовательское соглашение". На ваш вкус. Закон не утвердил форму документа. Вы можете изложить правила на вашем сайте в свободной форме. Главное в документе указать обязательные сведения:

  1. Основание и цель сбора персональных данных.
  2. Название вашего сайта, контактные данные.
  3. Указать кто обрабатывает данные.
  4. Какие данные обрабатываются и из каких источников получаете, включая файлы cookie.
  5. Сроки обработки и хранения персональных данных.
  6. Каким образом вы соблюдаете права субъекта, предусмотренные законом "О персональных данных".

Вы можете скачать готовые образцы и заменить в них информацию для вашего сайта. Не используйте документ с других сайтов. Вам нужно создать свой уникальный документ для вашего сайта и ваших условий работы с персональными данными.

Скачать образец политики конфиденциальности

Скачать образец №1

Скачать образец №2

Скачать образец №3

Вы можете разместить образец в любом месте на вашем сайте. Обычно документ публикуют на отдельной странице. Главное предоставить открытый доступ к этому документу посетителям вашего сайта. Затем разместите ссылку на страницу с этим документов везде, где вы запрашиваете персональные данные: на странице регистрации, на странице обратной связи. Обязательно добавьте флажок, который лучше по умолчанию не делать выбранным. Пользователь должен сам выбрать флажок.

На сайтах это реализовано по разному. Вы можете реализовать так, как вам будет проще или удобнее.

Примеры согласия на обработку персональных данных на сайте

Стоит также знать чего не стоит делать, если вы оператор персональных данных:

  1. Нельзя собирать больше персональных данных, чем нужно.
  2. Нельзя хранить персональные данные на иностранных серверах.
  3. Прежде чем начать собирать персональные данные, об этом нужно уведомить Роскомнадзор в бумажной или электронной форме.

Кому не нужно уведомлять Роскомнадзор подробно можно почитать в статье "Кому не нужно уведомлять Роскомнадзор об обработке персональных данных".

Если вы сделаете все правильно, то избежите штрафа 75 000 рублей, который действует с 1 июля 2017 года.

Как подать уведомление в Роскомнадзор

Нужно заполнить онлайн форму на сайте Роскомнадзора и затем скачать ее готовый вариант, распечатать, подписать, поставить печать (если она есть) и отправить по почте в Роскомнадзор. По ссылке выбираете ваш регион чтобы узнать адрес для отправки.

Второй вариант: заполнить уведомление по интернету через Портал госуслуг. Уведомление подается только 1 раз. Если вы изменяете Политику конфиденциальности на вашем сайте, об этом тоже нужно оповещать Роскомнадзор в течение 10 дней. Лучше сразу продумать документ, и не вносить правки в него.

Обязательно удостоверьтесь, что ваше уведомление Роскомнадзор получил и принял. У вас будет номер уведомления и секретный ключ. С их помощью можно проверить состояние уведомления на сайте Роскомнадзора.

Уведомление нужно подавать до начала приема персональных данных. И ничего страшного если вы принимаете данные уже много лет. Если вы подадите уведомление с опозданием в несколько лет, ничего страшного, вы не получите штраф.

Важно: даже если уведомление подаётся с опозданием, в качестве даты начала обработки персональных данных лучше указать дату государственной регистрации вашей компании или ИП.

Темы:
Оформить заказ!
?