Как владельцам сайтов работать с персональными данными, чтобы избежать штрафов Роскомнадзора

Что относится к персональным данным

Персональные данные — любые сведения, которые относятся к человеку и по которым его можно идентифицировать. Конкретного перечня данных в законе № 152-ФЗ нет. Но его можно определить по судебной и правоприменительной практике. Например, суды и Роскомнадзор обычно относят к персональным данным ФИО, номер телефона, адрес, электронную почту, аккаунты в соцсетях и куки. Казалось бы, чтобы идентифицировать человека, нужна целая россыпь данных. Ведь нельзя определить его только по имени или по адресу электронной почты. Однако суды придерживаются иного мнения. Например, Тамбовский областной суд считает: если человек сообщил имя и e-mail для рекламной рассылки, компания должна получить согласие на обработку.

Кто считается оператором персональных данных

Оператор персональных данных — это физлицо, ИП, юрлицо или госорган, который собирает и обрабатывает информацию о пользователях.

Сайт считается оператором, если он получает и обрабатывает:

• формы обратной связи или подписки;
• формы для регистрации в личном кабинете;
• куки — текстовые файлы с учетными данными;
• данные для «Яндекс.Метрики» или Google Analytics.

Но закон № 152-ФЗ не применяется, если сайт собирает и обрабатывает:

• данные в семейных или личных целях. Это правило относится только к физическим лицам. Например, если супружеская пара собирает номера сотовых, чтобы пригласить гостей на годовщину свадьбы;
• данные, отнесенные к гостайне законом РФ № 5485-1 и Указом Президента № 1203. Например, данные о сотрудниках правоохранительных органов;
• документы Архивного фонда Российской Федерации.

Что нужно сделать на сайте, чтобы не нарушать закон № 152-ФЗ

Если вы собираете и обрабатываете личные данные посетителей, важно знать требования закона № 152-ФЗ и соблюдать все рекомендации Роскомнадзора. Вот какие правила нужно соблюдать в первую очередь.

Зарегистрируйтесь в качестве оператора персональных данных Можно подать бумажное уведомление по почте в ближайшее территориальное отделение Роскомнадзора или электронную заявку через портал ведомства, если есть усиленная электронная подпись. Вас добавят в Реестр операторов, тем самым подтвердив ваше право работать с персональными данными.

В некоторых случаях Роскомнадзор уведомлять не нужно. Например, если собираете информацию о собственных сотрудниках или запрашиваете только ФИО без дополнительных данных.

Составьте политику конфиденциальности и выложите ссылку на сайт Политика конфиденциальности — это документ, в котором прописаны способы, пределы, цели сбора и обработки личных сведений. Идеи для составления можно подсмотреть в рекомендациях Роскомнадзора. Если не хотите тратить время, составьте документ на «Тильде».

Составьте согласие на обработку данных и добавьте его на сайт Согласие составляется в произвольной форме, но с учетом требований закона № 152-ФЗ. Обычно в нем указывают:

• реквизиты компании или ИП;
• срок, в течение которого действует согласие;
• перечень собираемых данных и цели их обработки;
• данные сотрудников, которые занимаются обработкой данных;
• перечень действий с данными, например сбор, обработка и хранение.