Как правильно собирать персональные данные пользователей на сайте
Подписка на рассылку, заполнение ФИО и номера телефона для оплаты или звонка менеджера — пользователи ежедневно оставляют персональные данные на сайтах компаний. В статье расскажем, как правильно их собирать и обрабатывать, чтобы не нарушить закон.
Данные выручают владельцев бизнеса и маркетологов — на их основе можно лучше узнать свою целевую аудиторию, точнее настроить рекламу и предлагать персонализированные предложения каждому сегменту. Но для обработки и хранения информации о клиентах нужно соблюдать ряд требований. Порядок сбора персональных данных содержится в законе №152-ФЗ «О персональных данных».
Что считается персональными данными
Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Определение из закона 152-ФЗ «О персональных данных»
В законе нет точного списка сведений, которые можно считать персональными данными, — к ним относится любая информация, которая позволяет идентифицировать личность. К ней нельзя отнести предпочтения в еде или фильмах, а вот ИНН и сведения о месте работы будут считаться персональными данными.
Согласно закону «О персональных данных», компания или человек, который собирает эти сведения, — оператор персональных данных. Даже если вы сразу удаляете информацию после ее получения, вы все равно несете ответственность за сбор, обработку и уничтожение персональных данных.
Собирают персональные данные двумя способами — напрямую и автоматически. К первому случаю относятся данные, которые пользователь оставляет сам. Например, когда заполняет форму на регистрацию или заявку на звонок. К ним можно отнести:
- ФИО (а вот имя отдельно не считается персональными данными),
- email,
- адрес регистрации/проживания,
- номер телефона,
- фотография,
- сведения о родственниках,
- сведения о состоянии здоровья,
- размер дохода,
- ссылка на социальные сети.
К данным, которые собирают автоматически, можно отнести IP-адрес и сведения о местоположении. Их компании получают с помощью cookie, текстовых файлов с информацией о посещении ресурса и действиях на сайте. Если компания нарушит требования о куки-файлах, Роскомнадзор может потребовать блокировки ресурса. Так уже было с LinkedIn в 2016 — сайт заблокирован на территории РФ за незаконное использование и хранение куки.
Что нужно для сбора персональных данных
Чтобы правильно собирать и обрабатывать данные и не переступать закон, нужно подготовить несколько документов, а также выполнить требования Роскомнадзора. Разберем по шагам, что нужно для сбора данных.
Шаг 1. Установить SSL-сертификат
В 2022 году объем утечек данных пользователей вырос в 40 раз по сравнению с 2021 — в открытом доступе появилась личная информация 100 млн человек. SSL-сертификат поможет минимизировать риски.
Защищенный протокол передачи данных создает зашифрованное соединение и гарантирует безопасность обмена информацией. Сертификат не позволит мошенникам перехватить трафик и использовать данные незаконно, предотвращая утечку. Если вы планируете собирать ФИО пользователей, данные банковских карт и другую персональную информацию, установка SSL-сертификата — необходимый этап. Базовый SSL в REG.RU вы можете получить бесплатно на 6 месяцев.
Шаг 2. Подготовить документы
Чтобы собирать персональные данные на сайте, нужно подготовить пакет документов. Вот самые основные:
- Политика конфиденциальности. В этом документе содержатся сведения об организации, которая собирает данные, целях сбора, методах обработки и передачи. В политике необходимо указать оператора, юридический или фактический адрес компании/физического лица, список собираемых данных, сроки обработки и то, как данные уничтожают. При этом, хостинг и база данных должны располагаться на территории РФ — правило действует даже для зарубежных компаний. Если вы планируете передавать данные третьим лицам, это тоже необходимо указать в политике.
- Положение о защите данных. В этом документе нужно рассказать о рисках и о мерах защиты, которые вы предприняли, чтобы предотвратить утечку данных. Все меры по защите данных есть в приказе № 21 Федеральной службы по техническому и экспортному контролю.
- Согласие на обработку персональных данных. Уведомление о согласии на обработку данных пользователям нужно будет показывать каждый раз, когда они заполняют формы на сайте. Каждый посетитель сайта должен сам принять решение о передаче личной информации. Срок действия согласия может быть неограничен.
- Уведомление о сборе cookie. Вы наверняка видели подобные уведомления на сайтах — всплывающий баннер с кнопкой или надписью «Продолжая использовать сайт, вы даете согласие на обработку данных». На баннере обязательно должна быть ссылка на политику конфиденциальности.
- Обязательство о неразглашении данных. Этот документ не нужно публиковать на сайте, но его необходимо подписать сотрудникам компании. Это обязывает их не разглашать информацию, полученную о клиентах во время работы.
- Приказ о назначении ответственного за хранение и обработку персональных данных. Это тоже внутренний документ. Ответственным можно назначить юриста или сотрудника службы безопасности — здесь нет конкретных требований.
Шаг 3. Подать уведомление в Роскомнадзор
Этот шаг обязательный не для всех компаний. Если вы обрабатываете только данные сотрудников или только на бумаге, шаг можно пропустить. Другие исключения подробно описаны в статье 22 153-ФЗ.
Подать уведомление можно на бумажном носителе по почте, через Госулуги или онлайн через форму на сайте Роскомназора. Если ответ не пришел в течение 10 рабочих дней после подачи уведомления, можно собирать данные. Ответ приходит, только если сбор и обработка будут запрещены или ограничены.
После подачи уведомления организацию или физическое лицо внесут в реестр операторов персональных данных.
Шаг 4. Опубликовать политику и формы на сайте
Политика конфиденциальности должна находиться на каждой странице сайта — для удобства ссылку на нее размещают в подвале.
Кроме того, каждая форма для сбора данных, будь то email или ФИО, должна содержать ссылку на соглашение и уведомление о согласии на обработку данных. Если вы используете cookie, об этом также нужно уведомить пользователей — удобнее всего разместить баннер, который автоматически появляется на сайте.
Шаг 5. Не забывайте актуализировать информацию
Закон о персональных данных постоянно обновляется и дополняется, поэтому время от времени нужно будет актуализировать информацию и переписывать некоторые документы. Обо всех изменения необходимо уведомлять Роскомнадзор не позднее 15-го числа, следующего за месяцем, в котором произошли изменения. Иначе организации может грозить штраф.
Уничтожение персональных данных
С 1 марта 2023 года вступили в силу изменения в законе об уничтожении персональных данных.
Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе и на материальных носителях.
Почему удаляют персональные данные:
- если пользователь отзывает согласие на обработку данных;
- если пользователь или Роскомнадзор требует уничтожить данные, потому что они неточные, устарели или были получены незаконно;
- если данные больше не требуются.
В случае уничтожения компаниям необходимо составлять акт о ликвидации личной информации пользователей и хранить его в течение 3 лет. Акт должен содержать:
- наименование системы, данные из которой удалили;
- причину и способ ликвидации данных.
Акт поможет доказать, что данные уничтожили вовремя, и убережет от судебных разбирательств.
⌘⌘⌘
Если у вас есть сайт с формами сбора персональных данных, вы автоматически становитесь оператором и должны соблюдать правила по сбору и обработке личной информации. За неисполнение требований компания может получить штраф до 6 млн рублей, а за повторное нарушение — до 18 млн. Даже если вы собираете лишь email для рассылок, не пренебрегайте правилами.
А создать сайт и не упустить важных моментов проще с шаблонами REG.Site. В готовых решениях для интернет-магазинов уже предусмотрено место для политики конфиденциальности и других важных документов.
