152-ФЗ: полное руководство 2018 г. по обработке и защите персональных данных

Федеральный закон 152-ФЗ “О персональных данных” существует с 2006 года, но только 1 июля 2017 г. про него вспомнили все — тогда начали действовать поправки к статье 13.11 КоАП РФ. Штрафы за незаконную обработку персональных данных существенно выросли, а Роскомнадзор получил полную свободу действий по отношению к нарушителям.

Рассказываем, как сделать все правильно и обезопасить свой бизнес.

В чем суть 152-ФЗ

Любое юридическое лицо, ИП или некоммерческая организация является оператором персональных данных, которые условно делятся на 3 категории:

• информация о сотрудниках,
• информация о клиентах,
• данные о пользователях сайта.

На любого оператора распространяются требования закона к обработке и защите персональных данных:

• получать, хранить и использовать данные можно только с согласия владельцев,
• использовать их можно только в целях, указанных во взаимном соглашении,
• хранить данные необходимо на территории РФ (это касается всех видов носителей — в частности, хостинга сайта),
• требуется удалять или обезличивать данные по окончании использования.

Карать за незаконную обработку персональных данных может Роскомнадзор, Федеральная служба по техническому и экспортному контролю и даже Трудовая инспекция.

Не ответили вовремя на запрос пользователя удалить его из базы рассылки? Штраф 40 тыс. руб. Храните резюме сотрудников в открытом доступе — 50 тыс. руб. Не уведомляете пользователей сайта о сборе их персональных данных — 75 тыс. руб.

UPDATE 2019 г.: в июне принят законопроект, в соответствии с которым штрафы по той же статье 13.11 КоАП РФ могут достигать уже 18 млн руб.

Как соблюсти требования закона

1. Сначала приведите сайт в соответствие с требованиями 152-ФЗ — скорее всего аудит начнут именно с него и в первую очередь придут к тем, у кого на сайте нет ни слова про персональные данные.
2. Затем начинайте вносить изменения в документооборот компании — это может занять не один месяц.
3. Не используйте данные ваших пользователей для рекламы без их согласия. Это касается и онлайн-пользователей, и покупателей оффлайн-магазинов, которые оставляют свои координаты, получая карты лояльности. Уставшие от назойливых рассылок граждане теперь могут подать на вас жалобу и быть услышанными.
4. Если среди ваших сотрудников, клиентов или целевой аудитории есть жители европейских стран, с 26 мая 2018 г. вам также нужно выполнять требования Регламента GDPR.

План действий: сайт

Шаг 1. Разработать и утвердить «Политику конфиденциальности» компании

Владельцам сайтов необходимо разработать и утвердить приказом собственный документ, где будут прописаны права и обязанности оператора в отношении сбора и обработки персональных данных пользователей.

В соответствии с рекомендациями Роскомнадзора в Политике конфиденциальности для сайта нужно прописать:

• Общие положения по обработке и защите персональных данных. Включают назначение документа, расшифровку ключевых понятий (персональные данные, обработка, оператор, субъект), права и обязанности сторон.
• Цели сбора. Сбор данных должен проводиться только в рамках определенных целей — приема обращений, корректной работы сайта, конкретных маркетинговых активностей и т.д.
• Правовые основания. Сюда относятся уставные документы компании, согласие пользователей на обработку данных и другие документы, согласно которым владелец сайта собирает и использует данные субъекта. Обратите внимание: Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» не является основанием сбора данных, так как он лишь регулирует отношения сторон и требования к операторам.
• Объем и содержание подлежащих сбору данных. Категории обрабатываемых сведений о субъекте должны в обязательном порядке соответствовать указанным в документе целям и не могут быть избыточными. Например, если вы не сформулировали, зачем вам скан паспорта пользователя, за сбор таких данных вас могут оштрафовать.
• Условия обработки. Здесь нужно перечислить операции, которые вы совершаете с данными пользователей, а также методы и сроки их обработки.
• Условия передачи данных третьих лицам. Если у вас есть необходимость в передаче конфиденциальных данных третьим лицам, нужно обозначить категории третьих лиц, цели, условия, методы и объемы передачи данных, разрешенные способы использования и требования к их защите.

Если вы вносите изменения в условия Политики в отношении персональных данных, нужно не только уведомить пользователей об изменениях, но и обязательно сохранить на сайте старые редакции Политики, на основании которых сбор данных производился ранее.

Шаг 2. Получить согласие пользователей с Политикой конфиденциальности

Разработанный документ нужно разместить на сайте (обычно в футере) и получать согласие с ним пользователей в момент отправки данных. Это относится ко всем формам, собирающим информацию: заявки, обратного звонка, подписки на рассылку и т.д.

Нажимая на кнопку целевого действия (оставить заявку / купить / подписаться), пользователь должен по умолчанию или с помощью галочки согласиться на обработку данных. В текст «Я даю согласие на обработку персональных данных в соответствии с Политикой конфиденциальности сайта» нужно вставить ссылку на Политику. Иногда делают отдельный документ «Согласие на обработку персональных данных», короче и понятнее для пользователей, но строгих требований закона по этому вопросу нет.

Один из вариантов оформления согласия

Шаг 3. Разместить уведомление о сборе cookies

Существует 4 категории cookies, которые собираются на современных сайтах и также могут являться персональными данными по закону:

• Обязательные. Используются для работы пользователей с сайтом и позволяют им регистрироваться, совершать быстрые покупки и получать доступ к защищенным областям.
• Эксплуатационные. Сведения о поведении на сайте — посещенные страницы, время на сайте, полученные сообщения об ошибках и т.д. Такие данные анонимны и собираются для анализа трафика и улучшения работы сайта.
• Функциональные. Позволяют запомнить выбранные пользователем параметры (имя, геоположение, язык и т.п.) и настроить сайт под него.
• Маркетинговые. Сведения о профиле пользователя (пол, возраст) и его интересах (на основе поисковых запросов и посещенных сайтов). Эти данные часто передаются третьим лицам (рекламным сетям) и позволяют показывать ему наиболее релевантную рекламу.

На сайте необходимо разместить уведомление, в соответствии с которым пользователь автоматически соглашается со сбором определенных видов cookies. В противном случае он должен покинуть сайт.

Шаг 4. Предоставить пользователям возможность отозвать свои персональные данные

Обычно сбор данных прекращается, когда достигнуты цели их использования, но иногда причиной может стать запрос самого субъекта ПД.

Чтобы не нарушать закон, нужно:

1. Разместить в информационных рассылках заметные кнопки отписки. Проверить корректность их работы.
2. Разместить на сайте e-mail для запросов, связанных с персональными данными.
3. Оперативно реагировать на запросы пользователей предоставить информацию о его ПД или удалить их.

Шаг 5. Проверить расположение баз данных

Узнайте у своего хостинг-провайдера точный адрес сервера вплоть до здания. Если сервер находится за пределами РФ, рекомендуется перенести сайт — иначе придется составлять Регламент по трансграничной передаче данных, да и у РКН будет больше вопросов.

Помните LinkedIn? Именно за хранение данных вне РФ его и заблокировали еще в 2016 г.

Шаг 6. Подать заявление в Роскомнадзор

Владелец сайта должен уведомить РКН о том, что он является оператором персональных данных. Для этого понадобится точный адрес сервера, который вы узнали на предыдущем шаге.

Обратите внимание: даже если вы подаете заявление в 2018 г., датой начала обработки персональных данных следует считать дату регистрации вашей компании.

После отправки электронного заявления не забудьте его распечатать, подписать у руководителя компании и отправить печатную версию по адресу Роскомнадзора — это обязательное требование. Спустя пару недель стоит проверить, добавили ли вас в Реестр операторов ПД.

В каких случаях НЕ нужно подавать заявление:

• если вы обрабатываете персональные данные без средств автоматизации (компьютера),
• если вы обрабатываете только внутренние персональные данные (сотрудников, клиентов или партнеров на основании договорных отношений),
• если все данные ваших пользователей находятся в публичном доступе (например, комментарии к записям),
• если вы собираете только ФИО пользователей,
• общественным, религиозным и государственным структурам.

План действий: документооборот

Шаг 1. Назначить лиц, ответственных за ПД

Необходимо назначить сотрудника, ответственного за обработку персональных данных в компании — речь идет о данных сотрудников, клиентов и партнеров. Это может быть бухгалтер или кто-то из руководства.

Шаг 2. Составить внутренние правила обращения с ПД

Нужно составить Правила обработки персональных данных в компании и в письменной форме ознакомить с ними сотрудников. В документе, в том числе, нужно отразить уровни доступа к конфиденциальным данным, согласно с должностными инструкциями. Все сотрудники должны подписать Обязательство о неразглашении персональных данных.

Правила обработки персональных данных должны быть прописаны отдельным разделом и в договорах с клиентами и партнерами компании. Также это можно сделать в форме Соглашения, которое подписывается в дополнение к существующему договору.

Не обязательно, но желательно

1. Защитить информационные системы

Если конфиденциальные данные пользователей задействованы в информационных системах (к примеру, в 1С, CRM и т.д.), нужно убедиться в высоком уровне их технической защищенности, составить специальный акт, а при наличии угроз — техническое задание на проект системы защиты с использование продукта, рекомендованного ФСТЭК. Процедура долгая и достаточно дорогая.

В первую очередь, это актуально для корпораций, больших интернет-магазинов, государственных и общественных учреждений. Особенно осторожными нужно быть владельцам компаний, которые собирают и обрабатывают данные более чем 100 000 субъектов, касающиеся политических взглядов, состояния здоровья, интимной жизни, расовой или национальной принадлежности, а также религиозных убеждений.

Риск проверки этого требования ФСТЭК и ФСБ РФ у малого и среднего бизнеса крайне мал. Бюджетный вариант для подстраховки — организовать хранение баз данных в облаке с помощью специального сервиса.

2. Перейти на защищенный протокол HTTPS

Установка протокола HTTPS для шифрования данных и их безопасной передачи не является требованием 152-ФЗ, но очень рекомендуется. Если вы до сих пор этого не сделали, то рекомендуем запланировать переход до конца 2018 года.

Для чего это нужно, если кратко: протокол исключает перехват информации сторонним сервисом и ее использование мошенниками, существенно повышая доверие и пользователей, и поисковых систем.