Проверка соответствия сайта компании актуальным нормам по сбору персональных данных и обязательным реквизитам после последних изменений в законодательстве

<h2 id="_1">Сбор персональных данных на сайте и требования законодательства</h2> <h3 id="_2">Анализ текущей ситуации</h3> <p>Вы осуществляете сбор персональных данных (ФИО, телефон, email) через формы заказа на сайте, используете файлы cookie и размещаете на сайте ограниченные сведения о компании. Согласно законодательству, ваша компания является <strong>оператором персональных данных</strong>, а сбор информации через сайт с помощью средств автоматизации — это <strong>обработка персональных данных</strong>.</p> <blockquote> <p>"Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)." (Источник: Федеральный закон "О персональных данных", статья 3)</p> <p>"Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение..." (Источник: Федеральный закон "О персональных данных", статья 3)</p> <p>"Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных..." (Источник: Федеральный закон "О персональных данных", статья 3)</p> </blockquote> <h3 id="_3">Обязательные требования законодательства</h3> <h4 id="1">1. Обязательная информация об операторе для субъектов ПДн</h4> <p>Текущих сведений (наименование, юридический адрес, контактный телефон) <strong>недостаточно</strong>. При сборе персональных данных оператор обязан предоставить субъекту по его просьбе установленный законом объем информации. Более того, при сборе данных не от самого субъекта (что применимо к cookie) действуют более строгие правила.</p> <blockquote> <p>"При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона." (Источник: Федеральный закон "О персональных данных", статья 18)</p> <p>"Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:<br /> 1) наименование либо фамилию, имя, отчество и адрес оператора или его представителя;<br /> 2) цель обработки персональных данных и ее правовое основание;<br /> 2.1) перечень персональных данных;<br /> 3) предполагаемые пользователи персональных данных;<br /> 4) установленные настоящим Федеральным законом права субъекта персональных данных;<br /> 5) источник получения персональных данных." (Источник: Федеральный закон "О персональных данных", статья 18)</p> </blockquote> <h4 id="2">2. Политика в отношении обработки персональных данных</h4> <p>Наличие этого документа и его публикация на сайте <strong>обязательны</strong>.</p> <blockquote> <p>"Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети "Интернет", с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных..." (Источник: Федеральный закон "О персональных данных", статья 18.1)</p> </blockquote> <p>Закон также требует, чтобы политика включала конкретные положения:</p> <blockquote> <p>"издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований..." (Источник: Федеральный закон "О персональных данных", статья 18.1)</p> </blockquote> <h4 id="3-cookie">3. Использование файлов cookie</h4> <p>Если файлы cookie позволяют идентифицировать физическое лицо (например, связывая уникальный идентификатор с историей посещений и данными из формы), то их обработка приравнивается к обработке персональных данных. В этом случае на оператора распространяются все общие требования закона, включая необходимость получения согласия на обработку.</p> <p>Принципы обработки, включая законность и справедливость, ограничение целями сбора и необходимость получения согласия, являются общими для всей обработки ПДн.</p> <blockquote> <p>"Обработка персональных данных должна осуществляться на законной и справедливой основе." (Источник: Федеральный закон "О персональных данных", статья 5)</p> <p>"Обработка персональных данных допускается в следующих случаях: 1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных..." (Источник: Федеральный закон "О персональных данных", статья 6)</p> </blockquote> <h4 id="4">4. Требования к безопасности хранения и обработки</h4> <p>Оператор обязан принимать комплексные меры по обеспечению безопасности персональных данных.</p> <blockquote> <p>"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных." (Источник: Федеральный закон "О персональных данных", статья 19)</p> </blockquote> <p>Ключевые меры включают:<br /> * Определение угроз безопасности.<br /> * Применение организационных и технических мер.<br /> * Учет машинных носителей.<br /> * Обнаружение фактов несанкционированного доступа.<br /> * Установление правил доступа и учет всех действий с ПДн.</p> <p>Важное требование, актуальное для сайта:</p> <blockquote> <p>"Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации..." (Источник: КоАП РФ, статья 13.11)</p> </blockquote> <p>Это означает, что базы данных с персональными данными граждан РФ должны физически находиться на территории России.</p> <h4 id="5">5. Ответственность и размеры штрафов</h4> <p>Штрафы действительно значительные и зависят от конкретного нарушения.</p> <p><strong>Примеры санкций по КоАП РФ (статья 13.11):</strong><br /> * <strong>Обработка ПДн без согласия</strong> (если оно требуется): для юридических лиц — от 300 000 до 700 000 рублей.<br /> * <strong>Отсутствие политики обработки ПДн</strong> в общем доступе: для юридических лиц — от 30 000 до 60 000 рублей.<br /> * <strong>Необеспечение хранения ПДн граждан РФ на территории России</strong>: для юридических лиц — <strong>от 1 000 000 до 6 000 000 рублей</strong>. При повторном нарушении — до 18 000 000 рублей.<br /> * За неправомерную передачу данных в зависимости от масштаба (числа субъектов) штрафы для юрлиц могут достигать <strong>от 15 до 20 миллионов рублей</strong>, а при повторных нарушениях — рассчитываться в процентах от выручки (1-3%), но не менее 20-25 млн рублей.</p> <blockquote> <p>"Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные более ста тысяч субъектов персональных данных и (или) более одного миллиона идентификаторов... - влекут наложение административного штрафа на... юридических лиц - от десяти миллионов до пятнадцати миллионов рублей." (Источник: КоАП РФ, статья 13.11)</p> </blockquote> <h3 id="_4">Выводы и конкретные рекомендации</h3> <ol> <li> <p><strong>Срочно разработайте и опубликуйте на сайте Политику в отношении обработки персональных данных.</strong> В ней должны быть четко прописаны все требования ст. 18.1 ФЗ «О персональных данных»: цели, состав данных, сроки хранения, порядок уничтожения, сведения о безопасности и т.д.</p> </li> <li> <p><strong>Обеспечьте получение явного и информированного согласия</strong> на обработку ПДн от пользователей перед сбором данных через формы. Согласие должно соответствовать требованиям ст. 9 ФЗ «О персональных данных» (быть конкретным, информированным, сознательным). Для файлов cookie, позволяющих идентифицировать пользователя, также необходимо получать согласие, обычно через «плашку» (всплывающее окно) на сайте.</p> </li> <li> <p><strong>Назначьте ответственного за организацию обработки ПДн</strong> (требование ст. 22.1 ФЗ «О персональных данных»). Его контактные данные (или как минимум должность и email для связи по вопросам ПДн) рекомендуется указать в Политике конфиденциальности.</p> </li> <li> <p><strong>Проверьте и приведите в соответствие меры безопасности.</strong> Оцените, где и как хранятся данные из форм. Убедитесь, что базы данных с ПДн граждан РФ находятся на территории России. Реализуйте организационные (приказы, инструкции для сотрудников) и технические меры (настройки доступа, шифрование, защита от атак) в соответствии со ст. 19 ФЗ «О персональных данных» и требованиями регуляторов.</p> </li> <li> <p><strong>Подайте уведомление в Роскомнадзор</strong> об обработке ПДн, если не подпадаете под исключения (ст. 22 ФЗ «О персональных данных»). Обработка данных через сайт с использованием средств автоматизации, как правило, требует такого уведомления. В предоставленном контексте нет информации, освобождающей вас от этой обязанности.</p> </li> <li> <p><strong>Рекомендуется обратиться к адвокату или специализированной организации</strong> для проведения аудита текущего состояния дел, разработки полного пакета документов (политика, формы согласий, локальные акты) и помощи в организации процесса обработки ПДн в полном соответствии с законом. Это позволит минимизировать риски крупных штрафов и претензий со стороны контролирующих органов.</p> </li> </ol> <p><em>Этот ответ подготовлен с помощью ИИ и может содержать неточности.</em></p>