Изменения в 152-ФЗ о персональных данных. Что нужно знать
Если на сайте вы просите пользователей ввести данные о себе – составьте политику конфиденциальности и сообщите в Роскомнадзор. Иначе – штраф.
С 1 июля вступили в силу поправки к закону о нарушениях в работе с персональными данными. За нарушение правил сбора, хранения и обработки данных предусмотрен штраф до 75 000 рублей. Контролировать исполнение закона будет Роскомнадзор, так что лучше выполнить все предписания своевременно.
Кого затронут изменения?
Под действие закона попадают физические лица и организации, которые работают с персональными данными. Это могут быть данные посетителей, клиентов, сотрудников или соискателей вакансии в вашей компании.
По традиции закон не дает четкого перечня того, что можно считать персональными данными:
«Под персональными данными можно понимать любую информацию, прямо или косвенно относящуюся к определенному физическому лицу…»
Подразумевается, что персональные данные – это те, по которым можно вычислить конкретного человека. Если на сайте вы спрашиваете только никнейм и ничего больше – вам можно ни о чем не беспокоиться. В остальных случаях вы, скорее всего, подпадаете под определение оператора персональных данных.
К персональным данным относятся:
- фамилия, имя, отчество
- адрес
- электронная почта
- телефон
- дата или место рождения
- ссылка на соцсети
- профессия
Если вы не готовы отставать свою правоту в суде, лучше перестраховаться и все спорные варианты считать персональными данными. Вряд ли вы докажете Роскомнадзору, что отчество бабушки пользователя к таковым не относится.
А что насчет кук и гео?
Строгого запрета в законе нет, куки, гео и IPсами по себе не идентифицируют пользователя, но в привязке к другой информации о пользователе (имя, телефон, почта) становятся персональными данными, так что получение согласия на обработку кук и определение местоположения будет не лишним.
Кстати, по закону вы не можете собирать избыточные персональные данные. Нельзя запрашивать номер паспорта, если вы доставляете пиццу.
Ок, я оператор, что делать?
1. Составьте и разместите на сайте политику конфиденциальности.
2. На каждой форме сделайте чекбокс: «даю согласие на обработку персональных данных».
3. Поставьте ссылку на текст соглашения об обработке персональных данных рядом с каждой формой сбора данных и в подвале.
4. Сообщите в Роскомнадзор, что вы являетесь оператором персональных данных. Вот здесь есть бесплатный сервис который поможет подготовить документы.
А можно не сообщать?
Можно, но тогда вам придется убрать с сайта все формы, которые запрашивают данные посетителей.
Как уведомить Роскомнадзор?
Отправить уведомление можно на сайте Роскомнадзора. Нужно заполнить там соответствующую форму. Сначала отправляете в электронном виде, потом — почтой. Не стоит бояться «выйти из тени»: Роскомнадзор не накажет вас за то, что вы нарушали закон в прошлом.
Сервисы Аллоки
Мы уже добавили согласие на обработку персональных данных в виджет обратной связи, там все обновилось автоматически. При желании, в настройках виджета вы сможете сделать ссылку на собственный текст согласия.