Персональные данные на сайте 2023. Как работать по 152-ФЗ и не получать штрафы

Если на сайте вашей компании можно оставить свои контакты для обратной связи, приобрести товар или услугу, подписаться на рассылку, значит, вы обрабатываете персональные данные пользователей и вам нужно следовать нормам 152-ФЗ. Разберем, как работать с личной информацией клиентов, чтобы не нарушать законодательство.
1,2 тыс. 302
Персональные данные на сайте 2023. Как работать по 152-ФЗ и не получать штрафы
Иллюстрация: Вера Ревина/Клерк.ру

Что относится к персональным данным (ПДн)

ПДн считается любая информация, которая прямо или косвенно относится к физлицу — такая, по которой можно идентифицировать человека. В законе не дается список данных, которые можно однозначно считать персональными, из-за чего периодически случаются судебные разбирательства.

Чаще всего к ПДн причисляют:

  • ФИО;

  • сведения о дате и месте рождения;

  • адреса проживания и регистрации;

  • образование, доход, профессия (должность);

  • паспортные данные, ИНН, СНИЛС;

  • семейное, социальное или имущественное положение.

Постановлением Правительства от 13.09.019 № 1197 перечень данных, относящихся к персональным, был дополнен:

  • абонентский номер телефона (подвижной радиотелефонной связи)

  • адрес электронной почты.

  • Иные идентификаторы, которые присваивает информационная система

ФЗ «О персональных данных» выделяет следующие категории персональных данных:

  • общедоступные персональные данные;

  • специальные категории;

  • биометрические данные.

Общедоступные персональные данные — это те данные, на которые не распространяются требования соблюдения конфиденциальности. К примеру, это могут быть справочники или социальные сети. Данные обычно предоставляют сами пользователи, когда оставляют заявку или совершают заказ.

Биометрические персональные данные — физиологические и биологические особенности человека на основании которых можно установить его личность (сетчатка глаза, отпечатки пальцев, фото— видео-записи и т.д.), обрабатываются только с письменного согласия.

Без письменного согласия биометрика осуществляется только в следующих целях:

  • осуществления правосудия и привлечения к ответственности;

  • розыск, в том числе международный;

  • дактилоскопия (опознание трупа);

  • миграционное законодательство;

  • антикоррупционные и антитеррористические меры;

  • принудительное исполнение решений и приговоров судов.

Что является специальной категорией персональных данных

В данную группу входят:

  • сведения, касающиеся состояния здоровья;

  • гендерная и расовая принадлежность;

  • сведения интимного характера, включая сексуальную ориентацию и все, что касается половой жизни;

  • мировоззрение (философские воззрения) из частной жизни человека;

  • религиозные убеждения;

  • политические взгляды и т.д.

Для обработки специальных категорий персональных данных требуется выполнение одного из условий:

  • получение письменного согласия установленного законом образца;

  • использование сведений, опубликованных в общедоступных источниках самим гражданином;

  • вступление в силу международных договоренностей;

  • выполнение действий в рамках судебного производства или по решению суда;

  • возникновение риска для жизни и здоровья субъекта либо окружающих людей;

  • обработка информации в рамках деятельности общественной либо религиозной организации.

Кроме того, информация собирается автоматически при помощи cookies — специальных файлов, отправленных веб-сервером и сохраненных на компьютере пользователя. Они содержат сведения о его действиях, например, добавленные в корзину товары или логин и пароль от личного кабинета.

Чтобы проводить действия с ПДн — собирать, хранить, записывать, передавать, изменять или удалять — нужно зарегистрироваться в Роскомнадзоре в качестве оператора ПДн.

Получите бесплатно запись вебинара «Как организовать информационную безопасность в компании»

Не становитесь жертвой кибератак и не позволяйте злоумышленникам получить доступ к вашим конфиденциальным данным

Узнайте как безопасно выстроить ключевые бизнес-процессы и как настроить систему информационной безопасности

Заполните форму ниже и мы пришлем запись вебинара на ваш e-mail:

Принимаю оферту и даю согласие по перс.данным

Категория иных персональных данных

Четкого определения, какие сведения могут быть отнесены в эту группу, в нормативно-правовой документации нет. Указано только, что речь идет о ПДн, не относящихся к предыдущим категориям. То есть оператору, чтобы идентифицировать информацию как «иную», придется убедиться в том, что она не является биометрической, общедоступной или специальной.

Категории субъектов персональных данных

В процессе установления уровня защищенности, что требуется каждому оператору ПДн, необходимо проанализировать не только особенности обрабатываемой личной информации, но и определиться с категориями субъектов ПДн.

В широком представлении под субъектами подразумеваются граждане, которых можно идентифицировать, используя те или иные виды касающихся их сведений.

Но если говорить о расчете итогового показателя, который отображает способность ИС нейтрализовать угрозы, то здесь постановление Правительства № 1119 устанавливает 2 категории:

  • лица, которые не являются штатными или внештатными сотрудниками организации;

  • лица, связанные с компанией трудовыми правоотношениями.

В дополнение к этому при расчете уровня защищенности нужно будет определиться с количеством граждан, чьи ПДн обрабатываются — меньше или больше 100 000 субъектов.

После этого останется установить типы актуальных угроз, и можно приступать к разработке организационно-технических мероприятий, направленных на защиту от неправомерных действий с персональными данными.

Регистрация в Роскомнадзоре (РКН)

До отправки уведомления в РКН нужно собрать пакет документов — их шаблоны есть на сайте ведомства:

  • Политика по обработке ПДн.

  • Внутреннее положение об обработке ПДн.

  • Приказ о назначении ответственного.

  • Приказ о работе с ПДн.

  • Регламент доступа к ПДн.

  • Согласие на обработку ПДн. Передавать вам данные о себе или нет — выбор пользователя, поэтому нужно спросить его согласие. Достаточно сделать чек-бокс, с помощью которого пользователь уведомляет о согласии и ознакомлении с политикой конфиденциальности.

  • Обязательство о неразглашении ПДн, которое подписывают работающие с ними сотрудники.

Когда документы готовы, уведомите РКН о сборе ПДн, заполнив форму на официальном сайте, а оригинал заявления передайте в территориальное отделение РКН. При отправке заявления через Госуслуги или подписании его КЭП отправлять бумажный экземпляр не нужно.

Отправлять заявление не потребуется, если:

  • данные включены в государственные информационные системы ПДн для защиты безопасности государства и общественного порядка;

  • ПДн обрабатываются без средств автоматизации;

  • данные обрабатываются для транспортной безопасности.

Если вы перестали обрабатывать ПДн или у вас изменились условия обработки информации — например, адрес или структура сбора данных, уведомите РКН до 15 числа следующего месяца с помощью уведомления по форме № 2 к приказу 180.

Кроме того, сообщить в ведомство нужно о том, что вы отправляете данные за границу: например, работаете с фрилансерами из другой страны или пользуетесь зарубежными сервисами аналитики (как Google Analytics). РКН делит страны на те, которые обеспечивают надежную защиту ПДн — Беларусь, Казахстан, страны Конвенции № 108 и из приказа Роскомнадзора № 128, и государства с ненадежной защитой. Во втором случае отправьте уведомление и подождите 10 дней. Если не придет ответ — это означает, что нет запрета и ограничения на передачу данных.

Статус уведомления обновляется на сайте РКН. Если планируете обмениваться информацией с государствами, надежно защищающими данные, 10 дней можно не ждать.

Что делать, если сайт взломали злоумышленники и украли ПДн? Заявите об этом в РКН в течение 24 часов после утечки информации, а в течение 72 часов предоставьте результаты расследования.

Что нужно добавить на сайт

Чтобы защитить информацию пользователей, установите на сайт .SSL–сертификат. Он формирует зашифрованное соединение, которое не позволяет мошенникам перехватывать информацию пользователей. Это особенно важно, если покупатели заполняют на сайте реквизиты своих банковских карт, ФИО и адреса.

Опубликуйте согласие на обработку ПДн и политику конфиденциальности. В ней нужно указать:

  • ИНН и наименование организации или ФИО, если данные обрабатывает физлицо;

  • адрес регистрации или местонахождения компании, контакты;

  • список собираемых личных сведений;

  • сроки и порядок обработки ПДн;

  • третьи лица, привлекаемые к обработке ПДн;

  • как обеспечивается безопасность информации.

Владелец сайта размещает политику конфиденциальности на всех страницах, собирающих личные сведения.

Кроме политики, разместите уведомление о cookies — обычно это всплывающее окно с предупреждением или баннер с кнопкой согласия на сбор личных данных.

Какое наказание будет, если нарушить 152-ФЗ

Закон устанавливает административные штрафы за нарушение порядка обработки ПДн — их размер зависит от статуса нарушителя, степени тяжести нарушения и совершается ли оно впервые.

Для физлица размер штрафа — от 2 до 100 тысяч рублей, для ИП — от 5 тысяч до 18 миллионов рублей, для должностного лица — от 6 до 800 тысяч рублей, для юрлица — от 30 тысяч до 18 миллионов рублей. Соблюдение 152-ФЗ контролирует РКН.

Если вам нужна помощь в организации работы с личными сведениями пользователей, помощь в подготовке документов или консультация — обращайтесь в «ДАС групп». Вы можете заказать комплексные консалтинговые услуги для вашего бизнеса: https://t.me/das_group_company.

DAS group | консалтинг для бизнеса

Выстраиваем и совершенствуем бизнес-процессы, задавая вектор улучшений и снижая риски

Реклама: ООО «ДАС ГРУП», ИНН 5405083068, erid: LjN8KNYD1

Начать дискуссию

⚡️Итоги дня: депутаты хотят цирк без животных, Роналду оштрафовали за неприличный жест, а основатель Wildberries на первом месте в Forbes

Подготовили обзор главных событий дня. Всё самое интересное, что писали и обсуждали в сети, в одной подборке.

Курсы повышения
квалификации

20
Официальное удостоверение с занесением в госреестр Рособрнадзора

На продление программы материнского капитала выделят еще 600 млрд рублей

Татьяна Голикова с Минтрудом подсчитала, что на выплату материнского капитала будут нужны дополнительные 600 млрд рублей.

Брокер ВТБ начнет проводить сделки с ценными бумагами в выходные дни

В первую очередь в нерабочие дни инвесторы смогут управлять БПИФ денежного рынка «Ликвидность».

Лучшие спикеры, новый каждый день
Бесплатно с Трудовые отношения

Отпуск за свой счет: кому положен, когда его нужно согласовать с работодателем

Разберем, кто имеет право на неоплачиваемый отпуск, когда его нужно согласовать с работодателем, почему нельзя массово отправить работников в отпуска без содержания и за что суды взыскивают с работодателей внушительные суммы в качестве компенсаций за нарушение трудовых прав граждан. 

Отпуск за свой счет: кому положен, когда его нужно согласовать с работодателем

Алкогольным компаниям с уставным капиталом меньше 100 млн рублей перестанут выдавать лицензии

Чтобы получить лицензию на производство алкоголя, у компании должен быть уставный капитал не меньше 100 млн рублей. В этом капитале доля акционеров, зарегистрированных в офшорах, не должна превышать 25%.

За 6 лет появится минимум 100 индустриальных технопарков-кластеров

Такое поручение дал правительству В. Путин в ходе обращения к Федеральному Собранию 29 февраля.

Опытом делятся эксперты-практики, без воды
Бесплатно с Исполнительное производство

Что делать бухгалтеру с исполнительным листом на сотрудника. Мини-курс

Регламент по работе с исполнительными листами очень строгий, и любые отклонения от него недопустимы. Поэтому при получении исполнительного документа повторите наш мини-курс.

Что делать бухгалтеру с исполнительным листом на сотрудника. Мини-курс

Кому можно сдавать упрощенную отчетность и кто должен проходить обязательный аудит

Пора готовиться к составлению годовой бухгалтерской отчетности. Нужно проверить, может ли ваша компания вести упрощенный учет и попадет ли бизнес под аудит.

🌺 Как заполнить декларацию по УСН, заявление на возврат денег с ЕНС и трудовой договор с дистанционщиком: разъяснения экспертов

Ежедневно наши эксперты готовят для вас статьи-разборы и мини-курсы о законопроектах, новых правилах, разъясняют действующие нормы НК и ТК, на примерах показывают, как заполнить декларацию, провести операцию в 1С и прикладывают образцы, бланки и другие полезные документы. Сегодня собрали топ таких разборов за неделю.

Налоговики не будут определять точные критерии дробления бизнеса

ФНС считает, что достаточно сложившейся правоприменительной практики по делам с искусственным дроблением, а в законе определять «дробленку» излишне и даже вредно.

РСВ

Вышли новые контрольные соотношения для РСВ

Налоговики сверят, сходится ли сумма взносов с суммой начислений, умноженной на тариф. По каждому работнику проверят превышение базы.

НДС

Четыре неоднозначные ситуации с исчислением и уплатой НДС

Налог на добавленную стоимость — один из самых проблемных в практике налогоплательщиков. Есть ситуации, которые вызывают вопросы даже у опытных бухгалтеров.

Иллюстрация: vwalakte/freepik
Миникурсы, текстовые и видеоинструкции для бухгалтеров

Бухгалтеров шокируют на собеседованиях, а из профессии они уходят из-за высоких рисков и нервотрепки. 💃«Ночной бухгалтер» №1633

Бухгалтер и без того непростая профессия, но когда тебя не берут на работу из-з духов или знака зодиака, а собеседование проводит некомпетентный главбух, поневоле задумаешься — а тем ли я занимаюсь? На уход из профессии влияют и высокие риски (наравне с директором), и конфликты с руководством. Слушаем «глас народа» и про профновости, конечно, не забываем.

Иллюстрация: Вера Ревина / Клерк.ру

Для обрабатывающей промышленности увеличат базу расчета амортизации

Такое предложение сделал В. Путин 29 февраля в ходе выступления перед Федеральным собранием.

Бесплатно с ФСБУ Аренда

Как заполнить годовую отчетность-2023 при лизинге по шагам. Разница между налоговым и бухгалтерским учетами

Малое предприятие на общем налоговом режиме приобрело автомобиль в лизинг. Разберем по шагам, как при упрощенном учете лизинга (без дисконтирования) правильно заполнить отчетность.

Как заполнить годовую отчетность-2023 при лизинге по шагам. Разница между налоговым и бухгалтерским учетами

Что такое well-being и как эта система помогает бизнесу

Мы живем в мире с неопределенным будущим: от нагнетания глобальной катастрофы до радикального продления жизни. В этой парадигме well-being рассматривается как благополучие человека, общества и планеты в целом. Поэтому наше общее будущее зависит от вклада каждого человека и каждой компании в well-being.

Иллюстрация: Вера Ревина/Клерк.ру
1
27

Уведомлять о ведении бизнеса станет проще: создаётся единый реестр

Правительство утвердило постановление об упрощённом порядке подачи уведомлений о предпринимательской деятельности

Взносы на травматизм платят до 15 числа в СФР и не включают в уведомление по ЕНП

В уведомление по ЕНП идут налоги и взносы с авансовой системой уплаты, которые администрирует ФНС. КБК этих налогов начинается на 182.

Путин: вложения бизнеса в науку должны вырасти не менее чем в 2 раза

Такую задачу обозначил президент в ходе обращения к Федеральному собранию 29 февраля.

Интересные материалы

Цифра дня. Про стандартный вычет

Налоговый вычет на второго и каждого последующего ребенка будет увеличен в два раза.

Цифра дня. Про стандартный вычет
162