Новая редакция закона о персональных данных: чек-лист для вебмастера

Экспертный материал
Алексей Залецкий | Эксперт в области информационной безопасности

Новые поправки к закону 152-ФЗ, вступившие в силу 01.09.2022 и 01.03.2023 ужесточили требования к трансграничной передаче персональных данных (далее — ПДн), то есть в зону юрисдикции иностранных государств. Эти требования касаются операторов ПДн, которые используют личную информацию пользователей, полученную при регистрации или через формы обратной связи сайтов.

Ситуация осложняется тем, что в законе не указаны конкретные ПДн, за утечку которых можно получить крупный штраф (до нескольких миллионов рублей). Однако, поскольку под ПДн понимают любую информацию, по которой можно тем или иным способом идентифицировать человека, понятно, что речь идет, например, о:

• ФИО и дате рождения,

• номерах телефонов,

• адресах электронной почты,

• аккаунтах в мессенджерах и социальных сетях,

• изображениях (фото).

То есть почти любые данные, которые обычно собираются большинством интернет-магазинов. В том числе к ПДн относятся данные пользователей, которые собираются автоматически с использованием cookies. В файлах куки чаще всего хранится информация о геолокации человека, его IP-адресе и совершенных на сайте действиях. А заявления владельцев сайтов о том, что они не занимаются обработкой данных, а лишь хранят и собирают их, с точки зрения закона не убедительны. Дело в том, что сбор и хранение ПДн юридически тоже считается их обработкой. При этом время хранения до удаления (год или минута) значения не имеет.

Как не получить штраф за нарушение закона о ПДн

Рассмотрим, какие действия следует предпринять вебмастеру, чтобы обезопасить себя от обоснованных претензий со стороны закона.

Шаг 1. Создание политики обработки ПДн

Документ должен быть размещен на отдельной странице сайта, а ссылка на него добавлена в футер. Футер или «подвал» — это нижняя часть, доступная на всех страницах ресурса. А поскольку по закону необходимо ставить ссылку на политику обработки ПДн на каждой странице, на которой эти данные собираются, размещенная в футере ссылка позволит охватить сразу все страницы.

В самом документе должны быть описаны виды собираемых данных, особенности хранения и обработки, цели сбора ПДн, а также указаны субъекты, которым разрешено передавать ПДн пользователей. В политике необходимо указать:

• ресурс, собирающий ПДн;

• организацию или конкретное лицо, получающее согласие пользователя на обработку ПДн;

• цели обработки ПДн: например, рассылка, предоставление доступа к премиальному контенту или сбор cookies;

• третьи лица, которым могут передаваться данные для обработки.

Кроме того, для каждой цели должно быть указано следующее:

• категории субъектов ПДн, передающих данные (пользователи, сотрудники организации, соискатели и т.д.);

• виды получаемых ПДн;

• способ обработки и срок хранения ПДн;

• алгоритм удаления ПДн.

Стоит отметить, что отсутствие на сайте политики обработки ПДн в случае их сбора может привести к штрафу в размере до 60 т. р.

Шаг 2. Размещение предупреждения о сборе ПДн под каждой формой

Лучше всего сделать это в виде чекбокса, в котором пользователь при согласии с политикой обработки ПДн будет ставить галочку. И не забудьте разместить там же ссылку на оферту. В случае отсутствия оферты необходимо создать страницу с согласием на обработку ПДн и сделать ссылку на нее в тексте предупреждения. На странице согласия должно быть указано следующее:

• название или фамилия-имя-отчество оператора, который получает согласие (а при поручении обработки ПДн стороннему оператору должны быть указаны его данные);

• цели обработки ПДн;

• список ПДн, согласие на обработку которых дает посетитель сайта;

• какие операции совершаются с ПДн и как они обрабатываются;

• сроки действия согласия и способы его отзыва.

В случае отсутствия оферты или согласия на обработку ПДн можно получить штраф до 100 т. р., а за повторное нарушение — уже до 300 т. р.

Шаг 3. Уведомление новых пользователей о сборе ПДн

Это можно реализовать в виде баннера, по которому новый пользователь должен кликнуть, выбрав один из вариантов: принять политику обработки ПДн или отклонить ее и покинуть сайт. Не забудьте разместить на баннере ссылку на документ.

Шаг 4. Подача уведомления в Роскомнадзор для внесения в реестр операторов ПДн

Вебмастер обязан уведомить контролирующий орган о том, что он занимается обработкой ПДн. С формой такого уведомления можно ознакомиться здесь. Если вы уже подавали уведомление, придется это сделать повторно, так как в октябре 2022 года была утверждена новая форма документа. Но уведомление можно не подавать, если:

• обрабатываемые ПДн включены в государственные ИСПДн (ИС — информационные системы);

• обработка ПДн производится в целях обеспечения транспортной безопасности;

• при обработке ПДн не используются средства автоматизации, а сами данные хранятся на физических носителях, а не в облаке.

Шаг 5. Разработка корпоративных норм для ответов на запросы пользователей

По новому законодательству максимальный срок ответа на запрос пользователя о целях и способах обработки и хранения ПДн составляет 10 дней. Поэтому следует разработать внутреннюю документацию, где будет прописан механизм ответа, так как несоблюдение этого срока может повлечь за собой штраф до 80 т. р.

Особое внимание на этот документ следует обратить владельцам интернет-магазинов, поскольку с 01.09.2022 покупатели имеют право не предоставлять ПДн для оформления заказов без заключения договора с компанией. В этом случае оператору придется обосновать, с какой целью обрабатываются ПДн, и определить список ПДн, необходимых для оформления договора купли-продажи. Эта информация также должна быть прописана в оферте. При этом все ПДн, которые не используются для заключения договора, из оферты должны быть исключены.

Рекомендации для тех, кто выполняет трансграничную передачу ПДн

Если собираемые ПДн передаются в зону юрисдикции иностранных государств, то есть осуществляется их трансграничная передача, вы обязаны уведомить об этом Роскомнадзор. Стандартная практика здесь заключается в том, что в случае согласия Роскомнадзор ответа не присылает. Поэтому если в течение 10 дней после подачи уведомления вы не получили ответа, можете приступать к передаче данных.

Также рекомендуется ознакомиться со списком доверенных стран, которые обеспечивают надежную защиту ПДн, так как в случае утечки данных вина ляжет на российского оператора. До недавнего времени к доверенным странам относились государства, подписавшие Евроконвенцию.

Рекомендации для тех, кто поручает обработку ПДн другим операторам

Если собираемые данные обрабатываются сторонней компанией, должно быть составлено поручение. В поручении укажите:

• виды собираемых ПДн;

• совершаемые операции с ними;

• цели обработки ПДн;

• как компания соблюдает безопасность и конфиденциальность ПДн и обязанности предоставления такой информации;

• обязанности обеспечения операций с ПДн с использованием баз данных на территории России;

• требования к защите ПДн, указанные в ст. 18 и ст. 19 152-ФЗ.

В случае отсутствия поручения на обработку ПДн можно получить штраф до 100 т. р., а за повторное нарушение — до 300 т. р.

Дополнительные требования для юрлиц

Юридические лица должны выполнить еще несколько законодательных требований:

1. Разработать внутреннюю документацию, где будут описаны процессы обработки и защиты ПДн.

2. Назначить сотрудников, ответственных за обработку ПДн.

3. Все работники, оформленные по договору, должны подписать согласие на обработку ПДн, и необходимо ознакомить их с внутренними документами по ПДн.

4. В случае обнаружения утечки ПДн необходимо уведомить об этом Роскомнадзор в течение суток. В уведомлении должны быть указаны предполагаемые причины утечки и составлена предварительная оценка ущерба. Также в течение трех суток необходимо расследовать инцидент и уведомить регулятора о результатах. Добавим, что за утечки ПДн планируется введение оборотных штрафов в размере до 3%.

5. Обеспечить защиту ПДн всеми возможными способами: техническими и оргмерами. Сюда входит антивирусное ПО, межсетевые экраны, разграничение прав доступа и т.п.. Более подробно об этом написано в приказе ФСТЭК.

Алгоритм действий

В завершение приведем чек-лист, который поможет вам ничего не упустить, минимизировав тем самым риски получения штрафов со стороны регулирующих органов.

1. Составьте список собираемых ПДн.

2. Разработайте и добавьте на сайт политику обработки ПДн, которая должна соответствовать 152-ФЗ.

3. Добавьте ссылку на политику в футер.

4. Разместить под всеми формами сбора чекбоксы с согласием и не забудьте указать в тексте ссылку на соответствующий документ.

5. Уведомьте пользователей о том, что вы собираете ПДн через cookies.

6. Подайте уведомление в Роскомнадзор для внесения в реестр операторов ПДн.

7. Разработайте корпоративные нормы для ответов на запросы пользователей и подготовьте сотрудников.

8. Владельцам интернет-магазинов: исключите из сбора лишние ПДн, которые покупатели не обязаны предоставлять при оформлении покупки.

9. Осуществляющим трансграничную передачу ПДн: подайте уведомление об этом в Роскомнадзор.

10. Юрлицам: разработайте внутреннюю документацию по обработке и защите ПДн, возьмите у сотрудников согласие на обработку ПДн и примите все возможные защитные меры.

Над материалом работал: Роман Андреев