Обработка персональных данных: как обезопасить сайт от штрафа по 152-ФЗ

Доб­рое утро, ува­жа­е­мые чита­те­ли iklife.ru.

Сего­дня я рас­ска­жу вам, что такое обра­бот­ка пер­со­наль­ных дан­ных и как ее пра­виль­но реа­ли­зо­вать на сай­те. Он регу­ли­ру­ет­ся Зако­ном № 152-ФЗ, кото­рый послед­ний раз обнов­лял­ся в июле 2017 года. Сам закон под­ра­зу­ме­ва­ет, что за непра­во­мер­ное исполь­зо­ва­ние пер­со­наль­ных дан­ных посе­ти­те­лей мож­но наказать.

В основ­ном это штра­фы, раз­мер кото­рых зави­сит от того, явля­е­тесь ли вы граж­да­ни­ном, юри­ди­че­ским лицом или долж­ност­ным лицом. Каж­дый из этих видов име­ет свой штраф.

В этой ста­тье мы подроб­но раз­бе­рем этот ФЗ, пого­во­рим о поли­ти­ке кон­фи­ден­ци­аль­но­сти, а так­же о том, как избе­жать санк­ций за исполь­зо­ва­ние и обра­ще­ние с пер­со­наль­ны­ми дан­ны­ми поль­зо­ва­те­лей. Давай­те начнем!

Как я строю свой дом на юге Пере­хо­ди на канал и подписывайся 

Федеральный закон № 152 “О персональных данных”

Из назва­ния это­го зако­на мож­но понять, что он преду­смат­ри­ва­ет защи­ту лич­ной пер­со­наль­ной инфор­ма­ции обыч­ных посе­ти­те­лей. Дру­ги­ми сло­ва­ми, этот закон регу­ли­ру­ет инфор­ма­цию, кото­рую тот или иной ресурс име­ет пра­во получать.

Напри­мер, неко­то­рые ресур­сы с помо­щью опре­де­лен­ных скрип­тов мог­ли ана­ли­зи­ро­вать кон­так­ты поль­зо­ва­те­лей, что­бы потом отправ­лять им рекламу.

Есте­ствен­но, такие мани­пу­ля­ции обыч­ным людям не осо­бо нра­вят­ся. Они не хотят, что­бы неко­то­рые рекла­мо­да­те­ли име­ли доступ к их лич­ным стра­ни­цам ВКон­так­те, элек­трон­ной почте или номе­рам мобиль­ных теле­фо­нов. Послед­нее осо­бен­но болез­нен­но, пото­му что звон­ки из вся­ких реклам­ных агентств дей­стви­тель­но начи­на­ют дово­дить людей до пси­хо­за. Им при­хо­дит­ся менять номе­ра теле­фо­нов толь­ко для того, что­бы назой­ли­вые колл-цен­тры про­дол­жа­ли пока­зы­вать свою рекламу.

Но я имел дело с самым серьез­ным слу­ча­ем. На прак­ти­ке это слу­ча­ет­ся очень ред­ко, чаще сай­ты соби­ра­ют дру­гую инфор­ма­цию, не име­ю­щую ниче­го обще­го с кон­крет­ны­ми контактами.

В любом слу­чае под пер­со­наль­ны­ми дан­ны­ми пони­ма­ет­ся абсо­лют­но любая инфор­ма­ция, кото­рая отно­сит­ся к кон­крет­но­му лицу. Это может быть ФИО, дата рож­де­ния, адрес элек­трон­ной почты, номер теле­фо­на, инфор­ма­ция о рабо­те, соци­аль­ном ста­ту­се, обра­зо­ва­нии, месте житель­ства, интер­нет-про­вай­де­ре и т.д.

То есть за любую инфор­ма­цию, кото­рую ваш ресурс полу­ча­ет от посе­ти­те­лей, вас могут оштра­фо­вать. Даже исполь­зо­ва­ние фай­лов cookie без уве­дом­ле­ния поль­зо­ва­те­лей нака­зы­ва­ет­ся штрафом.

Люди, про­дви­га­ю­щие ваши ресур­сы, так­же нахо­дят­ся в груп­пе рис­ка. Как пра­ви­ло, они соби­ра­ют базы поль­зо­ва­те­лей, что­бы в даль­ней­шем при­сы­лать им акции, пред­ло­же­ния и любую дру­гую информацию.

То же самое каса­ет­ся и интер­нет-мага­зи­нов: они спе­ци­аль­но регу­ли­ру­ют­ся, пото­му что поль­зо­ва­те­ли вво­дят мно­го раз­ных лич­ных дан­ных при оформ­ле­нии зака­зов. Мно­гие дела­ют это неосо­знан­но – не до кон­ца пони­ма­ют, какие послед­ствия могут быть у них при вво­де абсо­лют­но любой инфор­ма­ции в Интернете.

Вот поче­му во всех этих слу­ча­ях у вас долж­на быть поли­ти­ка кон­фи­ден­ци­аль­но­сти, доку­мент, кото­рый сооб­ща­ет посе­ти­те­лям, на что они име­ют пра­во, когда вы обра­ба­ты­ва­е­те их лич­ные дан­ные. Читая эту инфор­ма­цию, поль­зо­ва­тель дол­жен дать свое раз­ре­ше­ние на исполь­зо­ва­ние сво­ей лич­ной инфор­ма­ции. Обыч­но это дела­ет­ся с помо­щью галоч­ки, кото­рую необ­хо­ди­мо поста­вить под все­ми поля­ми для вво­да такой информации.

Если посе­ти­тель дает согла­сие на обра­бот­ку сво­их пер­со­наль­ных дан­ных и под­твер­жда­ет свое согла­сие с помо­щью флаж­ка, с вас авто­ма­ти­че­ски сни­ма­ют­ся все рис­ки. То есть теперь все дей­ствия будут регу­ли­ро­вать­ся вашей поли­ти­кой кон­фи­ден­ци­аль­но­сти, в кото­рой чет­ко опи­са­ны ваши пра­ва и обя­зан­но­сти. Там же подроб­но опи­са­ны пра­ва и обя­зан­но­сти поль­зо­ва­те­лей, посе­ща­ю­щих ваш ресурс.

Если посе­ти­тель не дает согла­сия на обра­бот­ку дан­ных, он дол­жен игно­ри­ро­вать фор­мы и не запол­нять их. Если на вашем ресур­се исполь­зу­ют­ся фай­лы cookie, вы долж­ны уве­до­мить об этом посе­ти­те­лей с помо­щью инфор­ма­ци­он­но­го бло­ка; он дол­жен быть виден на всех стра­ни­цах сай­та, что­бы поль­зо­ва­тель точ­но его видел.

Посе­ти­тель нажи­ма­ет кноп­ку, тем самым пока­зы­вая свое согла­сие на исполь­зо­ва­ние фай­лов cookie. Если вы не соглас­ны с этим, вы долж­ны немед­лен­но поки­нуть ресурс. В боль­шин­стве слу­ча­ев такие уве­дом­ле­ния так­же содер­жат инфор­ма­цию об этом.

Сто­ит отме­тить, что боль­шин­ство поль­зо­ва­те­лей не чита­ют поли­ти­ку кон­фи­ден­ци­аль­но­сти и не ста­вят галоч­ки на авто­ма­те. Им пле­вать на ваши лич­ные дан­ные, поэто­му они про­сто обра­ща­ют­ся ко всем галоч­кам, кото­рые видят рядом с фор­мой с инфор­ма­ци­ей в интер­нет-мага­зи­нах, фору­мах или про­стых ресур­сах. Одна­ко такое неве­же­ство не гаран­ти­ру­ет, что в какой-то момент ваш ресурс не попа­дет в поле зре­ния кон­тро­ли­ру­ю­щих органов.

В РФ это Рос­ком­над­зор. Имен­но он кон­тро­ли­ру­ет такие вопро­сы и при­ни­ма­ет реше­ния в отно­ше­нии физи­че­ских, юри­ди­че­ских лиц и долж­ност­ных лиц. Подроб­нее об этой орга­ни­за­ции мож­но про­чи­тать на пор­та­ле Роскомнадзора.

Как я уже гово­рил ранее, если вы не буде­те соблю­дать закон Рос­сий­ской Феде­ра­ции, вы буде­те нака­за­ны. Раз­мер опре­де­ля­ет­ся мно­же­ством фак­то­ров. Мак­си­маль­ное нака­за­ние на дан­ный момент — штраф в раз­ме­ре 75 000 руб­лей. Но если вы про­стой граж­да­нин, то штраф может соста­вить все­го 3000–5000 рублей.

Теперь, что­бы вам было понят­нее, я раз­бе­ру при­ве­ден­ную выше инфор­ма­цию в тезисах:

• пер­со­наль­ные дан­ные — любая инфор­ма­ция о посе­ти­те­ле: имя, место житель­ства, исполь­зу­е­мый бра­у­зер и т д;
• сбор инфор­ма­ции о поль­зо­ва­те­лях без их уве­дом­ле­ния стро­го запрещен;
• самый про­стой спо­соб уве­до­мить посе­ти­те­лей о сбо­ре и обра­бот­ке пер­со­наль­ных дан­ных — создать поли­ти­ку кон­фи­ден­ци­аль­но­сти. В нем долж­ны быть отра­же­ны все вопро­сы, кото­рые отно­сят­ся к дан­ной теме;
• исполь­зо­ва­ние фай­лов cookie так­же явля­ет­ся сбо­ром лич­ной информации;
• вы долж­ны уве­до­мить всех сво­их поль­зо­ва­те­лей о том, что сайт исполь­зу­ет фай­лы cookie. Они смо­гут при­нять это, нажав на соот­вет­ству­ю­щую кнопку;
• если посе­ти­тель про­тив исполь­зо­ва­ния вами фай­лов cookie, он дол­жен немед­лен­но поки­нуть сайт.

Наде­юсь, теперь вы луч­ше пони­ма­е­те этот Феде­раль­ный закон. В общем, здесь нет ниче­го слож­но­го. Доста­точ­но создать поли­ти­ку кон­фи­ден­ци­аль­но­сти и сде­лать уве­дом­ле­ние об исполь­зо­ва­нии фай­лов cookie, если они, конеч­но, дей­стви­тель­но используются.

Политика конфиденциальности и уведомление о cookies

Теперь я решил побли­же озна­ко­мить­ся с поли­ти­кой кон­фи­ден­ци­аль­но­сти и уве­дом­ле­ни­ем о фай­лах cookie. В прин­ци­пе здесь нет ника­кой сложности.

Поли­ти­ку мож­но напи­сать с помо­щью гото­во­го тек­ста: ско­пи­руй­те обра­зец из интер­не­та и немно­го дора­бо­тай­те. В прин­ци­пе, все вер­сии это­го доку­мен­та име­ют схо­жие момен­ты. Целью поли­ти­ки кон­фи­ден­ци­аль­но­сти явля­ет­ся инфор­ми­ро­ва­ние поль­зо­ва­те­лей о том, как будут соби­рать­ся их лич­ные дан­ные и для каких целей они будут использоваться.

Этот доку­мент так­же дол­жен содер­жать подроб­ную инфор­ма­цию о фай­лах cookie. Необ­хо­ди­мо крат­ко, но чет­ко объ­яс­нить посе­ти­те­лям, что это такое и какую инфор­ма­цию содер­жит. Для этих целей в Интер­не­те так­же есть гото­вые шаб­ло­ны. Конеч­но, вы може­те пере­пи­сать этот доку­мент, но суть долж­на остать­ся прежней.

Итак, доку­мент с поли­ти­кой кон­фи­ден­ци­аль­но­сти дол­жен содер­жать инфор­ма­цию о:

• какие лич­ные дан­ные соби­ра­ют­ся и как это делается;
• в каких целях будет исполь­зо­ва­на лич­ная инфор­ма­ция, не нане­сет ли это вред само­му посетителю;
• что такое фай­лы cookie, какую инфор­ма­цию они хра­нят, как она будет исполь­зо­вать­ся кон­крет­но в вашем про­ек­те и для чего;
• будут ли пере­да­ны пер­со­наль­ные дан­ные тре­тьим лицам. Если да, то какие и для каких целей;
• как дол­го лич­ная инфор­ма­ция будет хра­нить­ся на серверах;
• в каких слу­ча­ях пер­со­наль­ные дан­ные точ­но не будут исполь­зо­ва­ны — пре­ду­пре­жде­ние поль­зо­ва­те­лям, кото­рые бес­по­ко­ят­ся о сво­ей конфиденциальности;
• ваши кон­так­ты и дан­ные о том, что поли­ти­ка кон­фи­ден­ци­аль­но­сти может быть изме­не­на в любое время;
• неко­то­рые сто­рон­ние аспек­ты, кото­рые име­ют непо­сред­ствен­ное отно­ше­ние к ваше­му проекту.

Ссыл­ка на доку­мент поли­ти­ки кон­фи­ден­ци­аль­но­сти может быть раз­ме­ще­на в ниж­нем колон­ти­ту­ле; обыч­но у всех так. Так­же эта ссыл­ка часто раз­ме­ща­ет­ся рядом с флаж­ком и тек­стом, запра­ши­ва­ю­щим у посе­ти­те­ля раз­ре­ше­ние на обра­бот­ку дан­ных. Такие флаж­ки раз­ме­ща­ют­ся воз­ле фор­мы зака­за или любой дру­гой фор­мы, соби­ра­ю­щей лич­ную инфор­ма­цию от посетителя.

Если ваш сайт исполь­зу­ет фай­лы cookie, по зако­ну вы обя­за­ны опуб­ли­ко­вать уве­дом­ле­ние об этом. Оно долж­но быть рас­по­ло­же­но на всех стра­ни­цах сай­та, реа­ли­зо­вать такое опо­ве­ще­ние жела­тель­но с помо­щью поло­сы снизу/сверху или всплы­ва­ю­ще­го бан­не­ра сбо­ку. Что­бы поль­зо­ва­тель обя­за­тель­но уви­дел это уве­дом­ле­ние и смог нажать кноп­ку «ОК”.

Текст таких уве­дом­ле­ний прост, нуж­но лишь сооб­щить, что сайт исполь­зу­ет фай­лы cookie, кото­рые соби­ра­ют опре­де­лен­ные пер­со­наль­ные дан­ные. Самое глав­ное, что­бы уве­дом­ле­ние мак­си­маль­но пол­но и понят­но пере­да­ва­ло суть: посе­ти­тель дол­жен знать, на что он соглашается.

Примеры документов с политикой конфиденциальности

Вы може­те посмот­реть при­ме­ры на этих сай­тах, что­бы понять суть ком­пи­ли­ру­е­мо­го доку­мен­та. Вез­де одно и то же, толь­ко опи­са­но дру­ги­ми словами.

• iklife.ru
• Сбер­банк
• Тинь­кофф Банк

Как сделать это на WordPress

Посколь­ку боль­шин­ство веб-масте­ров исполь­зу­ют эту плат­фор­му, я рас­ска­жу о том, как сде­лать поли­ти­ку кон­фи­ден­ци­аль­но­сти и уве­дом­ле­ние о фай­лах cookie на ее при­ме­ре. Быва­лые посе­ти­те­ли уже могут дога­дать­ся, что реа­ли­зо­вать это в ВП доста­точ­но просто.

Доку­мент поли­ти­ки кон­фи­ден­ци­аль­но­сти мож­но офор­мить на одной стра­ни­це. Так­же послед­ние вер­сии WordPress авто­ма­ти­че­ски созда­ют стра­ни­цу с этим содер­жи­мым. Вам оста­нет­ся толь­ко отре­дак­ти­ро­вать его, вве­сти свои дан­ные и допол­нить инфор­ма­цию неко­то­ры­ми нюансами.

Если доку­мент не созда­ет­ся авто­ма­ти­че­ски, вы може­те лег­ко сде­лать это с помо­щью стан­дарт­ных функ­ций WordPress. Про­сто зай­ди­те в «Настрой­ки» — «Кон­фи­ден­ци­аль­ность» и нажми­те кноп­ку «Создать новую страницу”.

Если стра­ни­ца уже созда­на, здесь ее мож­но выбрать как актуальную.

Уве­дом­ле­ние об исполь­зо­ва­нии фай­лов cookie мож­но сде­лать как с помо­щью пла­ги­нов, так и с помо­щью поль­зо­ва­тель­ско­го JS-кода, кото­рый добав­ля­ет­ся в ста­ти­че­ские фай­лы ваше­го шаб­ло­на. Вто­рой вари­ант рас­смат­ри­вать нет смыс­ла — там все сугу­бо инди­ви­ду­аль­но, а вот о пла­ги­нах мож­но пого­во­рить подробнее.

Если вы перей­де­те в ката­лог WordPress и вве­де­те сло­во «cookies» в поле поис­ка, вам будет пред­став­ле­но мно­же­ство вари­ан­тов, кото­рые могут удо­вле­тво­рить все ваши требования.

Все они име­ют свои плю­сы и мину­сы. Я бы выбрал пер­вый вари­ант: GDPR Cookie Consent, пото­му что этот пла­гин име­ет обшир­ный функ­ци­о­нал для настрой­ки уведомлений.

Вы може­те настро­ить цвет кно­пок, раз­мер и текст уве­дом­ле­ния, место его раз­ме­ще­ния и мно­гое дру­гое. Внеш­ний вид уве­дом­ле­ния мож­но настро­ить по сво­е­му вку­су: адап­ти­ро­вать его к дизай­ну сай­та будет про­ще простого.

Здесь так­же есть допол­ни­тель­ные опции. Напри­мер, уве­дом­ле­ние авто­ма­ти­че­ски закро­ет­ся, если посе­ти­тель нач­нет про­кру­чи­вать стра­ни­цу. По зако­ну это будет озна­чать, что вы согла­си­лись с тек­стом это­го видже­та и при­ня­ли его усло­вия. Так­же мож­но уста­но­вить тай­мер — через какое-то вре­мя уве­дом­ле­ние закроется.

В общем, воз­мож­но­стей очень мно­го, реко­мен­дую зай­ти в ката­лог WordPress, най­ти этот пла­гин и само­сто­я­тель­но про­чи­тать его описание.

Заключение

Феде­раль­ный закон № 152 регу­ли­ру­ет стан­дар­ты обра­бот­ки и исполь­зо­ва­ния пер­со­наль­ных дан­ных. Что­бы избе­жать про­блем, вы долж­ны чест­но гово­рить об этом и уве­дом­лять поль­зо­ва­те­лей о том, что их лич­ные дан­ные будут исполь­зо­вать­ся в опре­де­лен­ных целях. Это осо­бен­но акту­аль­но для сай­тов, кото­рые соби­ра­ют кон­такт­ную инфор­ма­цию. Это лен­дин­ги с услу­га­ми, интер­нет-мага­зи­на­ми или порталами.

На про­стых инфор­ма­ци­он­ных сай­тах так­же необ­хо­ди­ма поли­ти­ка кон­фи­ден­ци­аль­но­сти и уве­дом­ле­ние о фай­лах cookie. Не забы­вай­те об этом, ведь все­гда есть веро­ят­ность, что вас най­дут и оштра­фу­ют. Мак­си­маль­ная сум­ма кото­рой, напом­ню, состав­ля­ет 75 000 рублей.

Кста­ти, если вы рабо­та­е­те над соб­ствен­ным инфор­ма­ци­он­ным про­ек­том, обра­щаю ваше вни­ма­ние на курс Васи­лия Бли­но­ва для веб-масте­ров. В ней автор рас­ска­зы­ва­ет о том, как создать свой сайт и зара­ба­ты­вать на этом хоро­шие деньги.

Мате­ри­ал пред­став­лен в удоб­ной фор­ме на совре­мен­ной плат­фор­ме. Все обу­че­ние про­во­дит­ся шаг за шагом с домаш­ни­ми зада­ни­я­ми и сове­та­ми экс­пер­тов и дру­гих сту­ден­тов. Перей­ди­те по ссыл­ке выше и заре­ги­стри­руй­тесь. Не забудь­те при­нять поли­ти­ку конфиденциальности.