С 1 июля 2017 года жестко регламентирован порядок сбора и обработки персональных данных. Теперь любая форма обратной связи, подписки, регистрации на сайте делают владельца сайта Оператором персональных данных.
В связи с вступлением в полную силу ФЗ 152 «О персональных данных» все лица, осуществляющие обработку персональных данных, должны быть готовы к проверкам надзорных органов. Под обработкой в данном случае понимается практически все – вплоть до получения адреса электронной почты для рассылки предложений и новостей.
Первое, что нужно сделать – это привести в порядок сайт.
Можно удалить все формы обратной связи. Но, так как получение ip адреса пользователя или хранение cookies попадает под юрисдикцию данного закона, это одновременно самый доступный и наименее действенный способ.
Рекомендуемые мероприятия на сайте по 152 ФЗ:
- разместить на сайте в открытом доступе документ «Политика конфиденциальности», в котором будет содержаться вся необходимая информация (цели обработки персональных данных, состав собираемых данных, порядок передачи их третьим лицам и пр.)
- на всех формах обратной связи разместить текст согласия пользователя на обработку персональных данных.
Даже при реализации этих мероприятий возможны вариации, ведь подробной и исчерпывающей инструкцией закон о персональных данных не оснастили.
ФЗ 152 гласит, что «Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным» и «Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных … возлагается на оператора». Эти формулировки следует понимать буквально. Как минимум до того момента пока не будет выработана практика применения этого закона. А значит, ссылка на политику и верификация постановки галочки согласия в формах обратной связи будет более «конкретным, информированным и сознательным» действием, чем просто формулировка «нажимая кнопку, я даю согласие…»
На момент вступления в силу поправок в ФЗ-152 дальше прочих в этом вопросе пошёл 1С-Битрикс. После обновления эта CMS позволяет автоматически сформировать соглашение, содержащее состав собираемых формой данных, цели их обработки, лицо совершающее обработку для каждой формы на сайте. В таком случае пользователь фактически подписывает своей электронной подписью (галочкой) электронный документ.
Также на сайте должны быть указаны контактные данные, по которым пользователь может обратиться с целью получения информации по соблюдению данного закона (к примеру, направить просьбу об актуализации или удалению своих персональных данных из баз Оператора).
Но все перечисленное лишь видимая часть айсберга.
В исполнение ФЗ 152 должны быть также составлены и утверждены порядка 40 внутренних документов (положения, инструкции, журналы, акты и приказы), обеспечены все необходимых технические и технологические условия обработки персональных данных (защита хранимых данных, обеспечение сохранности посредством системы бэкапов и пр.), а Оператор должен пройти регистрацию в Роскомнадзоре.
Как сейчас выглядит ситуация?
Сотни тысяч сайтов собирают и обрабатывают персональные данные. Как же будет проверяться соблюдение закона? Вопрос логичный, резонный и точного ответа на него пока нет. Надзорные органы могут выбрать свой порядок проведения проверок, и могут его менять. Может быть «письма счастья» начнут приходить в алфавитном порядке, а может и в каком-то другом. Вопрос должен ставиться иначе.
Все поставленные условия выполнимы, хоть и некоторые из них сложны или требуют дополнительных затрат. Но эти затраты незначительны по сравнению с возможность получить совокупный штраф до 300 000 рублей.
Для получения консультации по решению данного вопроса для своего сайта обращайтесь к специалистам Capybara digital.