Закон о защите персональных данных: к чему обязывает владельцев сайтов

Соблюдать законодательство – важно, но вопросы размещения персональных данных, а уж тем более их защита, для многих кажутся непроходимым лесом. Поэтому ситуации с нарушением правил периодически возникают.

С момента появления в Гугл YMYL страниц, важность выполнения условий ФЗ обрело особый смысл. Теперь фактор защиты персональных данных опосредованно участвует в процессе ранжированияНабор формул, в соответствии с которыми осуществляется формирование выдачи и ранжирование веб-страниц. Основная задача алгоритма ПС - продемонстрироватьПерейти к словарю терминов отдельных записей. В конкретном случае, под YMYL страницами подразумеваются документы, содержащие формы оплаты товаров, как минимум. Фактически каждый интернет-магазин имеет такие записи. Не вникая в суть YMYL, можно утверждать: каждый проект имеет процент страниц, где соответствие оформления законодательным нормам равносильно решению вопроса: быть или не быть сайту в поисковой выдаче. Подразумевается несколько моментов:

• должна обеспечиваться защита данных, передаваемых проекту пользователями;
• информация, предоставляемая владельцами сайтов, соответствует действительности (так своеобразно проверяется достоверность);
• достаточно полно освещаются процессы сбора, обработки и хранения данных на страницах проекта.

Также владельцы сайтов должны осознавать, что государство установило нормы по штрафам для каждого пункта, описанного окончательной редакцией закона. Поэтому, если проект набирает 2-3 нарушения, сумма задолженности может оказаться просто неподъемной. Чтобы избежать подобных наказаний, стоит изучить положения федерального закона и не допускать ошибок, которые ведут к нарушениям.

О чем и для кого разработан 152-ФЗ от 2017

Изначально закон описывает сферу применения, а также цели, которых государство пытается достичь, его введением. Документ регулирует процессы, где фигурируют персональные данные как элемент идентификации личности, ее связи с объектами или событиями. Участниками выступают федеральные органы, юридические и физические лица. Цель регламентации отношений – защита прав граждан, в том числе его свобод, которые могут быть нарушены при сборе, обработке или хранении. Документ содержит ряд понятий, не позволяющих трактовать его неоднозначно.

Если говорить о конкретном пользователе (физическом лице), то любая информация, связанная с ним прямо или косвенно – это персональные данные. Под этим подразумевается целый список подробностей о посетителе сайта:

• анкетные данные с первых двух страниц паспорта;
• контакты: электронные, физические, юридические;
• социальное положение;
• образование, профессия, прочее.

Куки файлы, собирающие сведения о местонахождении пользователя, IP-адрес и аналитику о действиях человека в сети, выполняют функции сбора персональных данных.

Согласно 152-ФЗ, все проекты, накапливающие базуКэш поисковика (в переводе с английского "тайник") - весь перечень данных, содержащихся в данный момент в поисковой системе. Информация, считанная,…Перейти к словарю терминов данных, подписки должны знакомить пользователей с политикой конфиденциальности. Соответствующий документ находится в свободном доступе. Обычно перейти к месту размещения возможно по ссылке, находящейся внизу открытой страницы сайта («подвале»). Дополнительно напоминание о необходимости ознакомиться с политикой конфиденциальности высвечивается на формах, предназначенных к заполнению. Каждый пользователь дает добровольное согласие на сбор, обработку и хранение личной информации. Материалы о перечисленных процессах публикуются в документе о политике конфиденциальности.

Важно, что факт невнимательности пользователей трактуется против них же.

Приблизительный список, требующихся сведений, приведен ниже:

• способы и цели получения ПД;
• кто и как может использовать;
• условия хранения;
• возможность передачи данных третьим лицам (в том числе, варианты с кражей информации мошенническими способами);
• наименования компаний, которые сотрудничают с инициатором сбора данных, условия предоставления информации им (банки, службы доставки, прочее);
• длительность хранения, какими протоколами обеспечивается защита;
• условия отзыва ПД (прекращение подписки, выход из числа клиентов, иное);
• действия, запрещенные с персональной информацией;
• контактные данные компании, получающей согласие на сбор ПД;
• предупреждение о возможном внесении изменений в политику конфиденциальности.

Пользователи также должны заботиться о собственной конфиденциальности. Например, устанавливать антивирусные программы.

Среди контактов фирмы обычно добавляют электронный адрес, по которому пользователь может отказаться от своего согласия. Последнее время компании практикуют автоматическое отключение подписок. Пользователю достаточно перейти по активной ссылке, где необходимо выбрать соответствующую кнопку «отказа». Иногда владельцы проекта интересуются причинами такого решения. Человек вправе отказаться от заполнения каких-либо новых форм.

Как сделать документ о Политике конфиденциальности видимым?

Если пользователь хочет найти какую-то запись специально, то длительная ручная проверка страницы может дать положительный результат. Но не всегда. Аналогично, автоматическое сканирование содержимого сайта не всегда приводит к удовлетворительному итогу. Наличие Политики конфиденциальности – один из элементов ранжирования. Поэтому, обеспечение доступности к нужным записям проекта в интересах его владельца. Важно, чтобы поисковый краулерПоисковый робот (бот, веб-паук, краулер) - программное обеспечение, часть поисковой машины, используемая для перебора веб-страниц для их занесения (вместе с…Перейти к словарю терминов или другой инспектирующий орган быстро находил документ. Значит, размещение должно быть видимым и доступным, легко определяющимся при сканировании или визуальном просмотре.

Ниже несколько скриншотов о том, как можно заявить документ на странице.

Дополнительно, сообщать о наличии «Политики конфиденциальности» проще с главной страницы. На скриншоте показан пример, как еще может выглядеть сообщение о хранении данных.

Обязательные пункты

Независимо от формы, которую заполняет пользователь на сайте, в каждой должен содержаться вопрос о добровольном согласии на предоставление данных и их обработку. Для кого-то кажется, что это излишняя перестраховка. Однако реально сегодня используется метод двойного подтверждения согласия. Первый – это окошко для «галочки» на сайте, второй – переход по ссылке из письма, полученного по электронной почте. В последнем случае необязательно, но рекомендуется добавлять пункты, напоминающие пользователю о том, почему он получил конкретное письмо и о возможности отписаться.

Вот какую регистрационную форму необходимо заполнить будущим покупателям в Bonprix. После подтверждения согласия на почту пользователю уходит письмо, содержащее дополнительные требования: перейти по ссылке, чтобы менеджеры компании знали о твердых намерениях конкретного клиента.

Дисклеймеры или всплывающие предупреждения

Благодаря тому, что сайты имеют индексИндексация - процедура добавления данных о веб-ресурсе в общую поисковую базу. Индексирование осуществляет робот поисковика. Работы по SEO делятся на проработку…Перейти к словарю терминов поисковых систем или по личным убеждениям владельцев проектов, ресурсы по умолчанию ведут сбор данных о следующем:

• географияГеография веб-ресурса - это регион, принадлежность сайта определенному географическому объекту - городу, области и т.д.   Географическая…Перейти к словарю терминов пользователя;
• посещенные страницы;
• длительность пребывания, прочее.

Фактический сбор информации выполняют кукиКуки (от английского слова cookie's) - незначительный фрагмент данных, создаваемый страницей или сервером для сохранения сведений о посещении веб-сайта. Они…Перейти к словарю терминов -файлы. Стоит отметить, что размещать на сайте дисклеймер (предупреждающее сообщение) вовсе необязательно. К тому же нет достоверных данных о влиянии этого инструмента на продвижение ресурса. Но юристы все-таки рекомендуют добавлять всплывающие предупреждения. Оптимизаторы, напротив, раздают советы по параметрам, которыми их стоит наделить.

1. Дисклеймер не должен пугать посетителей.
2. Информация представляется в позитивном ключе (описание целей использования – только для улучшения обслуживания).
3. Быстрое удаление инструмента принудительным закрытием (нажатие на крестик) или кликКлик — переход на сайт. Чем больше кликов, тем больше пользователей переходят по ссылке на сайт.   Точное количество кликов можно определить 2…Перейти к словарю терминов Click Through Rate или CTR (перевод, что можно перевести, как кликабельность) - это соотношение между общим числом показов и кликов (переходов) по баннеру или рекламному…Перейти к словарю терминов на любом поле вне ограниченной зоны.
4. Возможность перехода для ознакомления с подробностями.
5. Организация показов для новых пользователей.

Вот как реализовали дисклеймер в компании H&M:

Этот инструмент используют не только интернет-магазины. Предупреждающие оповещения свойственны финансовым структурам, онлайн-казино, сайтам лотереям, прочим.

Какие пункты по 152-Ф3 необходимо соблюдать приоритетно

Согласно закону владелец сайта должен предоставлять следующую информацию о себе:

1. Физическая регистрация хостинга.

Если следовать новым нормам, хостинг располагается на территории РФ. Хранение баз данных за рубежом не допускается для целого ряда видов деятельности.

2. Требуется регистрация в Роскомнадзоре в качестве оператора, выполняющего действия с персональными данными.

Для выполнения этой процедуры следует перейти на сайт Роскомнадзора и заполнить форму, любезно предоставленную представителями закона. Заранее готовят необходимый пакет документов, узнать подробнее можно на том же сайте. Узнавайте о возможности 100% защиты для наших клиентов. Подобная услуга идет по специальному тарифу. Владельцы сайтов получают инструктаж о прохождении регистрации в РКН, в том числе чек-лист достаточной документации.

В рамках этого описания закона напомним о важности упоминания сбора биометрических и персональных данных. Например, в банках стала популярной услуга идентификации по голосу, отпечаткам пальцев. Подобные данные не всегда можно получить через сайт. Поэтому в итоге требуется не только письменное согласие клиента, полученное через ссылку на странице.

Передача прав на обработку данных третьим лицам (подрядчикам)

Закон предусматривает возможность делегирования полномочий оператора другим лицам (специализированным компаниям). Пользователь дает согласие на подобный способ передачи персональных данных. Перечисленное имеет силу, если конкретная ситуация не противоречить другим статьям законодательства. Компания, замещающая оператора, обязуется выполнять требования, прописанные в 152-ФЗ (п.3, статья 6).

Отношения с посредником подразумевают наличие договора, где прописаны следующие пункты:

• определены возможные действия с персональными данными;
• опубликованы цели сбора конфиденциальной информации;
• установлены методы, посредством которых обеспечивается защита (шифрование, место хранения, номер лицензии, наименование организации выдавшей ее).

Оператор (то есть владелец сайта) отвечает перед субъектом за действия, производимые с персональными данными. В случае наличия факта посредничества, провайдер отчитывается перед оператором. Факт передачи полномочий на обработку данных необходимо зафиксировать в специальном договоре со всеми подробностями. При отсутствии специального документа операторЗапрос — слово или символ, вводимое в строке выдачи.Используется расширенный поиск:1) Оператор  «+» (или кавычки) перед требуемым словом ищет запросы с…Перейти к словарю терминов (он же владелец сайта) считается нарушителем обсуждаемого закона. Информация подтверждается Постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

В обычной жизни между оператором и поставщиком услуги подписывается поручительство, где предусматривается и защита персональных данных.

Какой уровень защищенности установить?

Безопасность сайта не должна обеспечиваться сверх усилиями или нецелесообразно дорого. Но все же существует 4 УЗ (уровня защищенности). Первые два серьезнее последних, но это не значит, что обычному интернет-магазину требуется установка УЗ-1 или 2. Многое зависит от типа персональных данных и их количества. Так, если сайт собирает в день 100К записей новых клиентов, ему потребуется второй уровень защищенности и выше. Аналогично можно сказать о ресурсах, где идет сбор биометрических данных. В большинстве случаев для простых информационных или продающих проектов достаточно установить УЗ-3 или 4.

Каждый уровень имеет собственное содержаниеContent - контент или содержимое - собирательный термин, под который подходит все данные на информационных ресурсах - тексты, графика, видео. Разновидности…Перейти к словарю терминов , то есть совокупность элементов, обеспечивающих безопасность персональных данных. Первые четыре пункта совпадают для всех УЗ:

• обеспечение безопасности помещений;
• сохранность носителей баз персональных данных;
• составление списка лиц, получающих доступ к конфиденциальной информации;
• применение средств необходимых для нейтрализации возможных угроз (инструменты, в том числе ПО должны отвечать требованиям законов РФ).

Здесь надо отметить, что необходимость прохождения ФСТЭК России всеми средствами обеспечения безопасности слишком преувеличены. Можно даже сказать, что иногда выбор, павший на сертифицированную продукцию, обязывает оператора (владельца сайта) к соблюдению больших условностей. Например, устанавливать УЗ соответствующее сертификату. Если установить антивирус для крупной компании, то даже маленькому проекту придется создавать собственное подразделение по обеспечению защиты данных. Но, как уже отмечалось, такая подгонка УЗ к инструментарию обходится нецелесообразно дорого.

Наличие в компании сотрудника, ответственного за безопасность хранения, корректность обработки ПД – требование для УЗ-3 и выше.

Ведение электронного журнала сообщений вводится для последних двух уровней. Определяется круг лиц, которые смогут работать с данными из этого документа. К слову сказать, допускаются только:

• менеджеры высшего звена, если это где-то специально оговорено в документации фирмы;
• руководство или уполномоченные ним лица.

Для УЗ-1 потребуется создание специального отдела на базе компании, не исключено, что обязанности перекладывается на подразделение фирмы с близким по сути предназначением. Регистрация в журнале безопасности происходит автоматически, как и смена статуса сотрудников в отношении возможности его просматривать.

Понятно, что на деле интернет-магазин, в штате которого работает от силы 10-20 человек, вряд ли нуждается в УЗ выше 3.

О специальном шифровании

Криптография часто всплывает, как средство защиты, когда говорят об обеспечении безопасности персональным данным. Однако такая мера защиты рекомендуется к использованию только в тех случаях, когда оператор не может выполнить обязанности иными методами. Но тогда у владельца сайта не остается выбора: придется использовать СКЗИ (сертифицированные криптографические средства защиты информации), прошедшие верификацию в ФСБ.