Закон о защите персональных данных: к чему обязывает владельцев сайтов

Защита персональных данных периодически упоминается среди прочих мероприятий, относящихся к оптимизации сайтов. Некоторые воспринимают этот факт как вероятную установку антивирусных программ. Другие думают о переадресации обязанностей, связанных со сбором информации. Но сейчас речь пойдет о 152-ФЗ от 2017 («О персональных данных»).
 

Читать позже

Соблюдать законодательство – важно, но вопросы размещения персональных данных, а уж тем более их защита, для многих кажутся непроходимым лесом. Поэтому ситуации с нарушением правил периодически возникают.

С момента появления в Гугл YMYL страниц, важность выполнения условий ФЗ обрело особый смысл. Теперь фактор защиты персональных данных опосредованно участвует в процессе ранжирования отдельных записей. В конкретном случае, под YMYL страницами подразумеваются документы, содержащие формы оплаты товаров, как минимум. Фактически каждый интернет-магазин имеет такие записи. Не вникая в суть YMYL, можно утверждать: каждый проект имеет процент страниц, где соответствие оформления законодательным нормам равносильно решению вопроса: быть или не быть сайту в поисковой выдаче. Подразумевается несколько моментов:

  • должна обеспечиваться защита данных, передаваемых проекту пользователями;
  • информация, предоставляемая владельцами сайтов, соответствует действительности (так своеобразно проверяется достоверность);
  • достаточно полно освещаются процессы сбора, обработки и хранения данных на страницах проекта.

Также владельцы сайтов должны осознавать, что государство установило нормы по штрафам для каждого пункта, описанного окончательной редакцией закона. Поэтому, если проект набирает 2-3 нарушения, сумма задолженности может оказаться просто неподъемной. Чтобы избежать подобных наказаний, стоит изучить положения федерального закона и не допускать ошибок, которые ведут к нарушениям.

О чем и для кого разработан 152-ФЗ от 2017

Изначально закон описывает сферу применения, а также цели, которых государство пытается достичь, его введением. Документ регулирует процессы, где фигурируют персональные данные как элемент идентификации личности, ее связи с объектами или событиями. Участниками выступают федеральные органы, юридические и физические лица. Цель регламентации отношений – защита прав граждан, в том числе его свобод, которые могут быть нарушены при сборе, обработке или хранении. Документ содержит ряд понятий, не позволяющих трактовать его неоднозначно.

Если говорить о конкретном пользователе (физическом лице), то любая информация, связанная с ним прямо или косвенно – это персональные данные. Под этим подразумевается целый список подробностей о посетителе сайта:

  • анкетные данные с первых двух страниц паспорта;
  • контакты: электронные, физические, юридические;
  • социальное положение;
  • образование, профессия, прочее.

Куки файлы, собирающие сведения о местонахождении пользователя, IP-адрес и аналитику о действиях человека в сети, выполняют функции сбора персональных данных.

Согласно 152-ФЗ, все проекты, накапливающие базу данных, подписки должны знакомить пользователей с политикой конфиденциальности. Соответствующий документ находится в свободном доступе. Обычно перейти к месту размещения возможно по ссылке, находящейся внизу открытой страницы сайта («подвале»). Дополнительно напоминание о необходимости ознакомиться с политикой конфиденциальности высвечивается на формах, предназначенных к заполнению. Каждый пользователь дает добровольное согласие на сбор, обработку и хранение личной информации. Материалы о перечисленных процессах публикуются в документе о политике конфиденциальности.

Важно, что факт невнимательности пользователей трактуется против них же.

Приблизительный список, требующихся сведений, приведен ниже:

  • способы и цели получения ПД;
  • кто и как может использовать;
  • условия хранения;
  • возможность передачи данных третьим лицам (в том числе, варианты с кражей информации мошенническими способами);
  • наименования компаний, которые сотрудничают с инициатором сбора данных, условия предоставления информации им (банки, службы доставки, прочее);
  • длительность хранения, какими протоколами обеспечивается защита;
  • условия отзыва ПД (прекращение подписки, выход из числа клиентов, иное);
  • действия, запрещенные с персональной информацией;
  • контактные данные компании, получающей согласие на сбор ПД;
  • предупреждение о возможном внесении изменений в политику конфиденциальности.

Пользователи также должны заботиться о собственной конфиденциальности. Например, устанавливать антивирусные программы.

Среди контактов фирмы обычно добавляют электронный адрес, по которому пользователь может отказаться от своего согласия. Последнее время компании практикуют автоматическое отключение подписок. Пользователю достаточно перейти по активной ссылке, где необходимо выбрать соответствующую кнопку «отказа». Иногда владельцы проекта интересуются причинами такого решения. Человек вправе отказаться от заполнения каких-либо новых форм.

Как сделать документ о Политике конфиденциальности видимым?

Если пользователь хочет найти какую-то запись специально, то длительная ручная проверка страницы может дать положительный результат. Но не всегда. Аналогично, автоматическое сканирование содержимого сайта не всегда приводит к удовлетворительному итогу. Наличие Политики конфиденциальности – один из элементов ранжирования. Поэтому, обеспечение доступности к нужным записям проекта в интересах его владельца. Важно, чтобы поисковый краулер или другой инспектирующий орган быстро находил документ. Значит, размещение должно быть видимым и доступным, легко определяющимся при сканировании или визуальном просмотре.

Ниже несколько скриншотов о том, как можно заявить документ на странице.

Дополнительно, сообщать о наличии «Политики конфиденциальности» проще с главной страницы. На скриншоте показан пример, как еще может выглядеть сообщение о хранении данных.


Обязательные пункты

Независимо от формы, которую заполняет пользователь на сайте, в каждой должен содержаться вопрос о добровольном согласии на предоставление данных и их обработку. Для кого-то кажется, что это излишняя перестраховка. Однако реально сегодня используется метод двойного подтверждения согласия. Первый – это окошко для «галочки» на сайте, второй – переход по ссылке из письма, полученного по электронной почте. В последнем случае необязательно, но рекомендуется добавлять пункты, напоминающие пользователю о том, почему он получил конкретное письмо и о возможности отписаться.

Вот какую регистрационную форму необходимо заполнить будущим покупателям в Bonprix. После подтверждения согласия на почту пользователю уходит письмо, содержащее дополнительные требования: перейти по ссылке, чтобы менеджеры компании знали о твердых намерениях конкретного клиента.

Дисклеймеры или всплывающие предупреждения

Благодаря тому, что сайты имеют индекс поисковых систем или по личным убеждениям владельцев проектов, ресурсы по умолчанию ведут сбор данных о следующем:

  • география пользователя;
  • посещенные страницы;
  • длительность пребывания, прочее.

Фактический сбор информации выполняют куки-файлы. Стоит отметить, что размещать на сайте дисклеймер (предупреждающее сообщение) вовсе необязательно. К тому же нет достоверных данных о влиянии этого инструмента на продвижение ресурса. Но юристы все-таки рекомендуют добавлять всплывающие предупреждения. Оптимизаторы, напротив, раздают советы по параметрам, которыми их стоит наделить.

  1. Дисклеймер не должен пугать посетителей.
  2. Информация представляется в позитивном ключе (описание целей использования – только для улучшения обслуживания).
  3. Быстрое удаление инструмента принудительным закрытием (нажатие на крестик) или клик на любом поле вне ограниченной зоны.
  4. Возможность перехода для ознакомления с подробностями.
  5. Организация показов для новых пользователей.

Вот как реализовали дисклеймер в компании H&M:

Этот инструмент используют не только интернет-магазины. Предупреждающие оповещения свойственны финансовым структурам, онлайн-казино, сайтам лотереям, прочим.

Какие пункты по 152-Ф3 необходимо соблюдать приоритетно

Согласно закону владелец сайта должен предоставлять следующую информацию о себе:

  1. Физическая регистрация хостинга.

Если следовать новым нормам, хостинг располагается на территории РФ. Хранение баз данных за рубежом не допускается для целого ряда видов деятельности.

  1. Требуется регистрация в Роскомнадзоре в качестве оператора, выполняющего действия с персональными данными.

Для выполнения этой процедуры следует перейти на сайт Роскомнадзора и заполнить форму, любезно предоставленную представителями закона. Заранее готовят необходимый пакет документов, узнать подробнее можно на том же сайте. Узнавайте о возможности 100% защиты для наших клиентов. Подобная услуга идет по специальному тарифу. Владельцы сайтов получают инструктаж о прохождении регистрации в РКН, в том числе чек-лист достаточной документации.

В рамках этого описания закона напомним о важности упоминания сбора биометрических и персональных данных. Например, в банках стала популярной услуга идентификации по голосу, отпечаткам пальцев. Подобные данные не всегда можно получить через сайт. Поэтому в итоге требуется не только письменное согласие клиента, полученное через ссылку на странице.

Передача прав на обработку данных третьим лицам (подрядчикам)

Закон предусматривает возможность делегирования полномочий оператора другим лицам (специализированным компаниям). Пользователь дает согласие на подобный способ передачи персональных данных. Перечисленное имеет силу, если конкретная ситуация не противоречить другим статьям законодательства. Компания, замещающая оператора, обязуется выполнять требования, прописанные в 152-ФЗ (п.3, статья 6).

Отношения с посредником подразумевают наличие договора, где прописаны следующие пункты:

  • определены возможные действия с персональными данными;
  • опубликованы цели сбора конфиденциальной информации;
  • установлены методы, посредством которых обеспечивается защита (шифрование, место хранения, номер лицензии, наименование организации выдавшей ее).

Оператор (то есть владелец сайта) отвечает перед субъектом за действия, производимые с персональными данными. В случае наличия факта посредничества, провайдер отчитывается перед оператором. Факт передачи полномочий на обработку данных необходимо зафиксировать в специальном договоре со всеми подробностями. При отсутствии специального документа оператор (он же владелец сайта) считается нарушителем обсуждаемого закона. Информация подтверждается Постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

В обычной жизни между оператором и поставщиком услуги подписывается поручительство, где предусматривается и защита персональных данных.

Какой уровень защищенности установить?

Безопасность сайта не должна обеспечиваться сверх усилиями или нецелесообразно дорого. Но все же существует 4 УЗ (уровня защищенности). Первые два серьезнее последних, но это не значит, что обычному интернет-магазину требуется установка УЗ-1 или 2. Многое зависит от типа персональных данных и их количества. Так, если сайт собирает в день 100К записей новых клиентов, ему потребуется второй уровень защищенности и выше. Аналогично можно сказать о ресурсах, где идет сбор биометрических данных. В большинстве случаев для простых информационных или продающих проектов достаточно установить УЗ-3 или 4.

Каждый уровень имеет собственное содержание, то есть совокупность элементов, обеспечивающих безопасность персональных данных. Первые четыре пункта совпадают для всех УЗ:

  • обеспечение безопасности помещений;
  • сохранность носителей баз персональных данных;
  • составление списка лиц, получающих доступ к конфиденциальной информации;
  • применение средств необходимых для нейтрализации возможных угроз (инструменты, в том числе ПО должны отвечать требованиям законов РФ).

Здесь надо отметить, что необходимость прохождения ФСТЭК России всеми средствами обеспечения безопасности слишком преувеличены. Можно даже сказать, что иногда выбор, павший на сертифицированную продукцию, обязывает оператора (владельца сайта) к соблюдению больших условностей. Например, устанавливать УЗ соответствующее сертификату. Если установить антивирус для крупной компании, то даже маленькому проекту придется создавать собственное подразделение по обеспечению защиты данных. Но, как уже отмечалось, такая подгонка УЗ к инструментарию обходится нецелесообразно дорого.

Наличие в компании сотрудника, ответственного за безопасность хранения, корректность обработки ПД – требование для УЗ-3 и выше.

Ведение электронного журнала сообщений вводится для последних двух уровней. Определяется круг лиц, которые смогут работать с данными из этого документа. К слову сказать, допускаются только:

  • менеджеры высшего звена, если это где-то специально оговорено в документации фирмы;
  • руководство или уполномоченные ним лица.

Для УЗ-1 потребуется создание специального отдела на базе компании, не исключено, что обязанности перекладывается на подразделение фирмы с близким по сути предназначением. Регистрация в журнале безопасности происходит автоматически, как и смена статуса сотрудников в отношении возможности его просматривать.

Понятно, что на деле интернет-магазин, в штате которого работает от силы 10-20 человек, вряд ли нуждается в УЗ выше 3.

О специальном шифровании

Криптография часто всплывает, как средство защиты, когда говорят об обеспечении безопасности персональным данным. Однако такая мера защиты рекомендуется к использованию только в тех случаях, когда оператор не может выполнить обязанности иными методами. Но тогда у владельца сайта не остается выбора: придется использовать СКЗИ (сертифицированные криптографические средства защиты информации), прошедшие верификацию в ФСБ.
 

Оцените статью: 5.0 (3)
Следующая статья: Новые правила ранжирования первоисточников и оригинального контента
Предыдущая статья: 6 сервисов для анализа сайтов конкурентов и улучшения собственных проектов
Написать статью для вас?
Отправьте заявку на статью: если проблема окажется актуальной и массовой – мы опишем ее решение и разместим статью на сайте.
Хочу статью
При заказе
продвижения
Скидка на
разработку
сайта
Заказать
Приведи
друга
получи
скидку
Подробнее
Специальное
предложение
против
вируса
Получить кп
Комментарии
Пока нет комментариев
Написать комментарий
captcha

Новые исследования

2020-01-21 00:00:00

Колдунщики и специальные элементы: польза или «польза» для сайта

Главная задача оптимизации сайта – занять лучшее место на первой странице поиска из всех возможных. Причем в конкретном случае мы не имеем в виду ТОП-1 или ТОП-10.
Читать 129

2019-12-15 00:00:00

Google отбирает трафик у сайтов: подтверждения и как сохранить посещаемость

Поисковая система Гугл регулярно вносит изменения в работу собственных алгоритмов. Еще на майской конференции  Google I/O 2019 анонсировали изменения для мобильных версий сайтов, которые предположительно приведут к монополизации трафика этой компанией. Но, как говорится, чем дальше в лес, тем больше дров. Оптимизаторы на многочисленных публичных мероприятиях высказывают опасения, находящие подтверждения, по поводу концентрации трафика на поисковой выдаче. Поскольку угроза для работы сайтов кажется вполне реальной, стоит разобраться в вопросах допустимости монополизации трафика, а также возможностях противостоять этому факту.

Читать 129
Больше исследований

Интервью и мнения SEO-гуру

Для глубокого погружения в профессию оптимизатора, мы настоятельно рекомендуем совмещать чтение с просмотром видео.

Евгений Аралов: главные прогнозы на 2020 (сервисы и методы)

Далеко не каждый специалист может быстро и качественно продвинуть сайт в непростой тематике. Например, букмекерская площадка для ставок в спорте, где SEO чуть ли не ед...

Анализ SEO для СМИ: ведущий эксперт отрасли Галина Бакушева

Для одних Галина Бакушева ассоциируется с каналом Телеграм «Сеошница», для других, она создатель собственного ТВ на фейсбук. Однако такая популярность не г...

Ксения Пескова: качественный продукт приятно рассматривать даже краулерам

Всего два года потребовалось, чтобы стажер SiteClinic, Ксения Пескова, стала не просто тимлидом компании, но и трастовым экспертом в области SEO. Все началось почти ср...

Кирилл Рамирас: лучшие рекомендации по ведению блога для ИМ

Кирилл Рамирас интересен владельцам бизнеса в сети своими успешными проектами, опытом работы в SEO с 2007 года. Регулярное обновление публикаций на Altblog.ru &nd...

Алексей Алексеич: рост и боль в продвижении 2020 - какие прогнозы сбылись?

Сам о себе говорит, что он точно не Андрей, любит котов и смотрит «Битву Престолов». Если серьезно, эксперту 25 лет и с 2011 года основательно занимается с...

Андрей Буйлов: проблемы seo клиента не волнуют!

Андрей Буйлов – известный в сети эксперт по SEO продвижению сайтов. Свою карьеру начинал в конце 90-х. Тогда будущий спикер разнообразных конференций, семинаров ...

Все интервью
Нам доверяют крупные международные компании