Что изменилось в обработке персональных данных?

С изменением в Федеральном законе от 27.07.2006 № 152-ФЗ ужесточились требования к соблюдению приватности и хранению персональных данных пользователя на сайте. За нарушения предусмотрены штрафы в двукратном размере, по сравнению с тем, что было раньше. Так, в зависимости от «провинности» для юр.лиц сумма штрафа может составить от 30 до 100 тысяч рублей, а при повторном нарушении — от 100 до 500 тысяч. Подробнее — здесь.

Изменения непосредственно касаются политики конфиденциальности, пользовательского соглашения и политики обработки файлов cookies. Советуем объединить эти документы в один с подразделами.

Общепринятого стандарта, как называть данные документы, нет. Так пользовательское соглашение, приведенное выше, может называться как политикой конфиденциальности, так и политикой обработки персональных данных.

Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:

Молчание или бездействие пользователя ни при каких обстоятельствах нельзя расценивать как согласие на обработку персональных данных.

Согласие на обработку персональных данных, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень информации по каждой категории, указанной в согласии на обработку.

Что, в числе прочего, относится к персональным данным физического лица:

• ФИО;
• дата рождения;
• адрес;
• телефон;
• электронный адрес;
• фотография;
• ссылка на персональный сайт;
• ссылка на профиль в социальных сетях.

За основу для разработки политики конфиденциальности можно использовать публичный конструктор. Однако, после его использования, все равно придется поработать над текстом, так как полученный результат не в полной мере удовлетворяет требованиям закона. Подробнее читайте в статье про ужесточение требований.

Также мы подготовили пошаговые инструкции.

Инструкция для директора организации / индивидуального предпринимателя

1. Проверьте, есть ли вы в реестре по ИНН, так как часто при регистрации организации оформляется и регистрация в качестве обработчика персональных данных.
2. Вам лично нужно подписать опубликованный документ «Политика конфиденциальности».
3. Вам необходимо отправить уведомление в Роскомнадзор для регистрации в качестве обработчика персональных данных. Указывайте дату государственной регистрации как дату начала обработки ПД.

Для регистрации в качестве обработчика персональных данных:

Заполните форму, распечатайте ее и отправьте в территориальный орган; вы можете заполнить ее с помощью электронной подписи и плагина, либо через учетную запись, привязанную к порталу Госуслуг (вам как директору будет удобнее, поскольку это ваша личная учетная запись).

Если вы составляете документ на бумажном носителе, добавьте ещё несколько пунктов:

• паспортные данные субъекта персональных данных;
• паспортные данные представителя субъекта (например, по доверенности);
• подпись субъекта (и его представителя).

Хранение, удаление персональных данных:

• Нужно защитить персональные данные с помощью процедур (правил и регламентов, разграничить права доступа) и технически: антивирусными системами, средствами межсетевого экранирования в соответствии с Приказом № 21 от 18 февраля 2013 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Эти требования особенно важны для компаний, относящихся к критической информационной инфраструктуры, например, к медицинским учреждениям.

Привлеките к этой задаче IT-службу или, если ее нет, системного администратора компании.

• Удаление персональных данных происходит по требованию пользователя: процедура удаления учетной записи и других данных должна быть описана, а пользователь должен получить уведомление об удалении.

Инструкция для контент-менеджера, редактора, программиста сайта

1. Добавьте соответствующий код в подвал сайта (тег