Как правильно собрать и обработать персональные данные на сайте, не нарушая закон?

Практический каждый, кто регистрировался на сайтах, заполнял формы, по которым позже приходят различные рассылки, комментировал статьи. Все это в какой-то степени относится к сбору данных. В статье будет рассмотрено, как правильно пользоваться персональными данными согласно законодательству, чтобы потом не платить штрафы.

Если информация собирается у граждан России, то процесс совершается согласно Федеральному закону № 152-ФЗ «О персональных данных».

Что означает «персональные данные»?

Закон № 152-ФЗ трактует, что персональные данные – это сведения, относящиеся прямо или косвенно к определенному или определяемому физическому лицу.

К персональным данным (далее в тексте ПД) относят Ф. И. О., дату рождения, телефонные сведения, адрес, ИНН, ссылки на личные страницы в соцсетях и иную информацию.

Специалисты, связанные с ПД в соответствии с законом, занимаются сбором, систематизацией, обработкой и хранение, передачей, распространением данных, а позже их блокированием и уничтожением.

Для сбора личной информации в первую очередь подписывается документ «Соглашение о неразглашении персональных данных». Сотрудник, занимающийся сбором информации, является оператором ПД. Специалист, занимающийся сбором информации, несет полную ответственность в соответствии с законодательством, такое лицо может быть как физическим, так и компанией.

Вы можете выступать оператором, если на вашем сайте имеется возможность:

• создать «Личный кабинет»;
• распространение адресных рассылок;
• заполнение заявки на обратную связь;
• онлайн-чат с оператор центра;
• возможность комментировать статьи.

Важно помнить: есть сведения, которые не относятся к ПД. Допустим, вы получили информацию в виде имени пользователя, этого недостаточно для идентификации личности пользователя. А вот имя и e-mail пользователя дадут сведения о нем. Номер личного телефона или ИНН относятся к персональным данным, так как при доступе к определенным ресурсам, они могут раскрыть многое о личности.

Как правильно обрабатывать персональные данные, получаемые через сайт?

Во время сбора ПД о клиенте у многих возникают вопросы, каким образом использовать персональную информацию, чтобы не заработать штрафные санкции. Следует:

• Произвести установку SSL-сертификата, который необходим для создания защищенного канала, по которому будут передаваться сведения. По вопросу выбора сертификата и его тонкой настройке можно обратиться к держателю хостинга. Также имеется возможность получения бесплатного SSL-сертификата.
• Оформить политику конфиденциальности, с размещением ее на вашем ресурсе.
• При сборе ПД следует брать разрешение всех пользователей.
• Известить сотрудников Роскомнадзора о том, что вы будете выступать оператором ПД.

Все этапы обязательны к применению.

SSL-сертификат

Выступает средством организации защищенного канала между сайтом и клиентом. Преимущество SSL-сертификата – это зашифрованное соединение, которое защищает трафик, не давая перехватить его и использовать информацию в мошеннических целях.

Всем web-сервисам необходимо внедрить SSL, где имеется формы для ввода реквизитов карт для оплаты, логин и пароль от аккаунтов, а также иные формы ввода личных и персональных данных.

Политика конфиденциальности

Составляя политику конфиденциальности, важно акцентировать внимание пользователей на основных принципах обработки ПД. Она должна содержать следующую информацию:

Наименование оператора, который берет на себя обязательства по обработке. Если сайт принадлежит ИП или ФЛ, то указываются Ф. И. О.; в случае принадлежности сайта организациям – название ЮЛ и ИНН.

Место нахождения оператора: юридический адрес (для компаний), фактический (для физлиц)

Перечень собираемой информации должен быть полным и подробным.

Цель сбора данных. Собирайте те сведения, которые реально необходимы, и важно указать, с какой целью вы собираете сведения от гостей сайта.

Время обработки данных. Хранить ПД можно ограниченное время. После того как информация будет использована в тех целях, в которых она была собрана, ее необходимо уничтожить.

Привлечение третьих лиц к обработке сведений. Если вы приводите новых клиентов в другую фирму, то она выступает третьим лицом, а в будущем выступит оператором по обработке ПД.

Контактная информация оператора. В политике конфиденциальности обязательно должен присутствовать контактный номер телефона, по которому в случае необходимости посетители могут изменять или удалять сведения.

Меры связанные с обеспечением безопасности данных. Оповестить посетителя сайта о том, что вся конфиденциальная информация с его персональными данными размещается на серверах, расположенных на территории РФ и полностью защищенных от атак.

Каждый, кто посещает сайт, должен иметь свободный доступ к политике конфиденциальности, лучше ее расположить на стартовой странице сайта.

Согласие на обработку персональных данных.

Закон «О персональных данных» гласит, что гражданин сам принимает решение о предоставлении личных ПД. При сборе сведений на сайте следует сделать диалоговое окно, в котором пользователь дает добровольное согласие на их обработку, после того как он проинформирован о политике конфиденциальности. Галочки каждый клиент проставляет сам.

Уведомление Роскомнадзора

https://pd.rkn.gov.ru/operators-registry/notification/form/

Российское законодательство предписывает при сборе данных уведомлять Роскомнадзор. Есть случаи, когда Роскомнадзор уведомлять нет необходимости, если, допустим, клиент разместил известные сведения, открытые широкому кругу лиц.

Итоги по статье

1. Персональные сведения относятся к информации, раскрывающей личность гражданина.
2. Если вы занимаетесь сбором информации о личности, то следует подключить SSL-сертификат, отправить уведомление в Роскомнадзор, создать политику конфиденциальности.
3. У каждого клиента необходимо взять согласие на обработку персональной информации.
4. Хранить сведения возможно только на серверах внутри РФ.