Разместили личную информацию на сайте

Правила размещения информации на Сайте

Разместили личную информацию на сайте

1. Пользователь сети Интернет (далее — Пользователь) вправе самостоятельно или с помощью Администратора сайта www.edu-all.

ru (далее — Сайта) размещать рекламно-информационные материалы и иную информацию по тематике Сайта в соответствии с рубриками и разделами, а также получать доступ к информации на условиях, определенных администратором Сайта.

2. Публикуя информацию на сайте, Пользователь соглашается со следующим:

  • перед публикацией вся информация проходит обязательную проверку в течение 24 часов после размещения и может быть не опубликована в случае не соответствия требованиям действующего законодательства — о средствах массовой информации; об информации, информационных технологиях и защите информации; о рекламе; об интеллектуальной собственности; о защите детей от информации, причиняющей вред их здоровью и развитию и др., а также в случае нарушения прав третьих лиц и угрозе информационной безопасности сайта;
  • опубликованная информация распространяется в сети Интернет без каких-либо ограничений для просмотра любым пользователем сети Интернет, за исключением контактных данных, защищенных для просмотра;
  • информация о Пользователе может быть предоставлена по официальному запросу органов государственной власти в случаях, установленных законодательством.
      3. Размещая Информацию на Сайте, Пользователь гарантирует, что обладает всеми необходимыми правами для размещения Информации на Сайте. Если у Пользователя нет надлежащих прав для размещения на Сайте какой-либо Информации, то Пользователь обязуется не размещать такую Информацию.4. Пользователь обязуется не размещать на Сайте и не направлять куда-либо через/посредством Сайта следующую Информацию:
        • клеветническую, оскорбительную, порочащую/унижающую честь и/или достоинство третьих лиц, содержащую угрозы;
        • нарушающую права и охраняемые законом интересы третьих лиц;
        • нарушающую права граждан на частную жизнь, в том числе несовершеннолетних лиц и/или причиняет им вред в любой форме;
        • пропагандирующую дискриминацию людей по расовому, этническому, половому, религиозному признакам, социальному статусу, сексуальной ориентации или иным признакам;
        • способствующую и/или призывающую к изменению конституционного строя, развязыванию войны, религиозной, расовой или межнациональной розни, содержащую попытки разжигания вражды или призывы к насилию, ущемляющую права меньшинств;
        • содержащую порнографические материалы или иные оскорбляющие нравственность материалы;
        • содержащую экстремистские материалы;
        • оскорбляющую религиозные чувства граждан;
        • информацию «заказного» характера, т.е. информацию, созданную в чьих-либо интересах, несоответствующих целям создания Сайта;
          • не размещать на Сайте и не направлять куда-либо через/посредством Сайта иную Информацию, не соответствующую законодательству РФ /или настоящему Соглашению;
          • не распространять на Сайте и/или через Сайт компьютерные вирусы или другие компьютерные коды, файлы или программы, предназначенные для нарушения, модификации, блокирования уничтожения либо ограничения функциональности любого компьютерного или телекоммуникационного оборудования или программ для осуществления несанкционированного доступа, а также серийные номера к коммерческим программным продуктам и программы для их генерации, логины, пароли и прочие средства для получения несанкционированного доступа к Сайту, а также к платным ресурсам в сети Интернет;
          • не нарушать нормальную работу Сайта или содействовать другим лицам в нарушении нормальной работы Сайта;
          • не распространять и/или не использовать какие-либо компьютерные программы, роботы или другие автоматические алгоритмы и методы, направленные на сбор, незаконную передачу, копирование, блокирование, модификацию, уничтожение Информации и Базы данных, а также направленные на обход ограничений, установленных Администрацией Сайта в настройках Сайта;
          • не размещать или иным способом не использовать на Сайте Информацию, охраняемую законодательством об интеллектуальной собственности (в том числе, но не ограничиваясь, которая затрагивает какой-либо патент, товарный знак, авторские и/или смежные с ними права), и иную охраняемую законом Информацию без соответствующих на то прав и разрешений от правообладателя такой Информации. В случае возникновения спорной ситуации бремя доказывания того, что размещаемая Пользователем Информация не нарушает чьих-либо прав, лежит на таком Пользователе;
          • не размещать и не распространять на Сайте рекламу без получения на это предварительного согласия Администрации Сайта;
          • не осуществлять сбор, хранение, распространение и иные действия по обработке Персональной информации других Пользователей;
          • не размещать на Сайте ссылки на другие Интернет-ресурсы, содержание которых противоречит требованиям законодательства РФ и/или настоящему Соглашению;
          • не распространять на Сайте и/или через Сайт Спам, «письма счастья», системы интернет заработка, схемы «пирамид», многоуровнего маркетинга, e-mail-бизнесов;
          • не создавать более одного Профиля;
          • при регистрации на Сайте не указывать о себе ложную Персональную информацию, не регистрироваться и не совершать действия на Сайте от имени другого реально существующего или существовавшего лица, не указывать персональную информацию третьих лиц, не применять любые формы и способы незаконного представительства третьих лиц;
          • не совершать посредством Сайта действия, направленные на вымогательство или получение денег, независимо от предлога, от других Пользователей и/или третьих лиц;
          • не пропагандировать употребление и не склонять к употреблению наркотических и психотропных веществ, не вовлекать в занятие проституцией посредством Сайта;
          • не содействовать в совершении и/или не совершать с использованием Сайта иные противоправные, противозаконные действия, противоречащие требованиям законодательства РФ и/или настоящего Соглашения.
              5. За публикацию своих субъективных мнений и оценочных суждений ответственность несет пользователь, который их опубликовал. 6. Администрация Сайта не проверяет и не имеет технической и фактической возможности проверять всю Информацию, размещаемую Пользователем на Сайте, на предмет ее соответствия требованиям законодательства РФ и положениям настоящего Соглашения, поскольку подобная проверка сделает невозможным функционирование Сайта. Однако Администрация Сайта может это делать в любое время по своему усмотрению в случае возникновения соответствующих сомнений. 7. Администрация Сайта может по своему усмотрению отказать в размещении, удалить и/или отредактировать любую Информацию, которую Пользователь собирается разместить/разместил на Сайте. 8. Ссылка на любой сайт, продукт, услугу, любую информацию коммерческого или некоммерческого характера, размещенная на Сайте Пользователем или на правах рекламы, не является одобрением или рекомендацией данных продуктов (услуг) со стороны Администрации Сайта.

Источник: //www.edu-all.ru/page/pravila-razmescheniya-informacii-na-sayte

152-ФЗ, или Персональные данные на сайте

Разместили личную информацию на сайте

Михаил Хохолков, ИНТЕЛЛЕКТ-С: «Минимум, что нужно сделать владельцу сайта, — разместить на сайте политику обработки персональных данных».

Хохолков Михаил Владимирович
Ведущий юрист

1 июля 2017 года вступили в силу изменения в статью 13.11 Кодекса об административных правонарушениях (КоАП РФ), регулирующую ответственность за соблюдение законодательства о персональных данных.

Ранее предусматривался один состав правонарушения — нарушение законодательства о персональных данных. Сейчас этот перечень развернут в 7 пунктов. Увеличивается и размер штрафов. Дела об административных правонарушениях в области персональных данных будут рассматривать территориальные отделения Роскомнадзора.

Сам же Закон «О персональных данных» действует уже 10 лет, кардинально не меняясь. Поэтому непонятна паника, которую раздувают некоторые СМИ. Тем не менее, для владельцев любых сайтов, собирающих данные пользователей, я выделил следующие важные моменты. 

Политика обработки персональных данных на сайте

Пункт 3 статьи 13.

11 КоАП РФ: невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных — влечет предупреждение или наложение административного штрафа:

  • на граждан в размере от 700 до 1 500 рублей;
  • на должностных лиц — от 3 000 до 6 000 рублей;
  • на индивидуальных предпринимателей — от 5 000 до 10 000 рублей;
  • на юридических лиц — от 15 000 до 30 000 рублей. 

Минимум, что нужно сделать сейчас, — разместить на сайте политику обработки персональных данных.

Особых требований к месту размещения законодатель не устанавливает, однако рекомендую ссылку на политику установить на главной странице, а также продублировать ее в местах размещения форм для сбора персональных данных. Политика обработки персональных данных должна быть доступной для любого пользователя.

Чек-лист для разработки политики обработки персональных данных (ПД) на сайте

Что нужно проверить:

  • любые формы отправки сообщений по типу «задать вопрос» и поля, обязательные для заполнения. Их нужно будет указать в политике обработки ПД в разделе «Объём ПД»;
  • регистрация пользователя / личный кабинет / авторизация через соцсети. Проверить поля, обязательные для заполнения. Указать их в политике обработки ПД в разделе «Объём ПД»;
  • форма заказа обратного звонка — какие поля в ней обязательны для заполнения. Эти данные нужно будет указывать в политике обработки ПД в разделах «Объем ПД» и «Цели ПД»;
  • рассылка. Если есть форма подписки на рассылку, то необходимо размещать согласие на обработку ПД и согласие на получение рассылки (всё можно делать в одном документе). На рассылку нужно также сослаться в разделе «Цели ПД»;
  • отзывы посетителей / клиентов / партнёров с ПД (благодарственные письма и т.д). Если пользователь пишет отзыв сам, то нужно размещать согласие на обработку ПД. Если выкладываются сканы благодарственных писем, то нужно предварительно обсудить с партнёром возможность получения такого согласия;
  • возможность отправки резюме. В этом случае необходимо согласие на обработку ПД в целях трудоустройства.

База данных сайта с персональными данными пользователей должна находится на территории России.

Если политика обработки ПД (документ может называться «политика конфиденциальности» или аналогично) уже есть на сайте, проверьте по чек-листу цели сбора и объёмы ПД. Лишней информации там быть не должно быть.

Принцип «лучше укажем больше данных, вдруг пригодится» неприемлем. Важно помнить, что объём собираемых данных должен соответствовать цели обработки.

Универсальных критериев такого соответствия не существует, поэтому нужно руководствоваться принципами разумности и достаточности.

Примеры:

  • для заказа авиабилетов нужны паспортные данные, для доставки пиццы — нет;
  • для доставки заказа курьером интернет-магазина нужен адрес доставки, для самовывоза — нет;
  • для бронирования билета в кино — вообще ничего не нужно, если не оплачивается онлайн.

Если на сайте нет никаких форм обратной связи, нет возможности заказать обратный звонок и т.п. — персональные данные не обрабатываются, следовательно, политику обработки ПД размещать не нужно.

Цель и объем сбора персональных данных

Излишний объем данных, собираемых у пользователя, может быть самостоятельным нарушением. Пункт 1 статьи 13.

11 КоАП: обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, — влечет предупреждение или наложение административного штрафа: 

  • на граждан в размере от 1 000 до 3 000 рублей;
  • на должностных лиц — от 5 000 до 10 000 рублей;
  • на юридических лиц — от 30 000 до 50 000 рублей. 

Таким образом, собираемые персональные данные должны соответствовать цели их обработки и не быть излишними. 

Поэтому в политике обработки персональных данных должна быть указана цель обработки и объем.

Пример

Самый частый случай сбора данных на сайте — заказ обратного звонка.

В этом случае достаточно просить указать пользователя лишь номер телефона. Если же для обратного звонка вы просите указать электронную почту, ФИО, адрес, место работы, должность, то такие данные считаются излишними, не соответствующими целям обработки, и, следовательно, их сбор является нарушением.

Без крайней необходимости не осуществляйте сбор паспортных данных. Чаще всего они не нужны. Для выполнения заказа, например, в интернет-магазине, достаточно указать телефон и адрес доставки.

Определившись с целями и объемом обработки персональных, составьте свою политику обработки, разместите на сайт. 

Кстати говоря. Я направлял такой запрос в Роскомнадзор:

Необходимо ли размещение политики обработки персональных данных на сайте доставки товаров, если для оформления заказа пользователь указывает только номер телефона? Оператор сайта звонит покупателю по указанному номеру, уточняет детали заказа и адрес доставки. В дальнейшем (после доставки заказа) номер телефона, имя и фамилия покупателя, адрес доставки не сохраняется и не обрабатывается владельцем сайта. 

И вот какой ответ получил: 

По информации, содержащейся в обращении, дать правовую оценку по существу поставленного вопроса не представляется возможным. 

По сути, это означает, что не любой случай сбора персональных данных влечет за собой необходимость размещения политики обработки этих данных, что не отменяет необходимости изучения этого вопроса для каждого сайта индивидуально.

Согласие на обработку персональных данных

Когда необходима письменная форма согласия на обработку ПД

Письменная форма — это документ в печатном виде с оригинальной (не сканированной, не факсимильной) подписью субъекта.

Письменная форма не будет соблюдена, если она получена по электронной почте в виде отсканированного документа.

Согласие в форме электронного документа может быть подписано электронной подписью в соответствии с ФЗ «Об электронной подписи». Требования письменной формы установлены пунктом 4 статьи 9 ФЗ «О персональных данных».

Письменная форма согласия на обработку персональных данных необходима только в случаях, прямо предусмотренных законом. Всего таких случаев пять, и они описаны в статьях 8, 10, 11, 12 и 16 ФЗ «О персональных данных»:

  • Статья 8 касается случаев создания общедоступных источников информации (справочников, адресных книг и т.п.). В эти справочники вы можете включать сведения о лицах, предварительно получив от них письменное согласие на обработку персональных данных.
  • Статья 10 — специальные категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
  • Статья 11 говорит об обработке биометрических персональных данных: фото- и видеоизображения, отпечатков пальцев, ДНК. Фото и видео признаются обработкой персональных данных в том случае, если они используются для установления личности. Съёмка с обычной камеры наблюдения в офисе, в супермаркете или на улице обработкой персональных данных не является.
  • Статья 12 касается трансграничной передачи персональных данных.
  • Статья 16 запрещает принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы — только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами.

Есть случаи, когда персональные данные могут быть обработаны без согласия субъекта — это пункты 2-11 части 1 статьи 6, часть 2 статьи 10 ФЗ «О персональных данных».

Во всех иных случаях (т.е. когда нет требования получать согласие в письменной форме или когда согласие не требуется) согласие может быть получено в любой форме, позволяющей подтвердить получение такого согласия. Подтверждать наличие такого согласия должен оператор обработки персональных данных.

Гиперссылку на согласие на обработку персональных данных рекомендуем устанавливать рядом с кнопками «отправить», «далее», «подписаться на рассылку» и подобными, сопровождая текстом:«Нажимая на кнопку ОТПРАВИТЬ, я подтверждаю, что ознакомился с политикой обработки персональных данных и даю согласие на обработку персональных данных», где текст, выделенный курсивом, — это гиперссылки на соответствующие документы.

Уведомление в Роскомнадзор

В определенных случаях необходимо подать уведомление в Роскомнадзор по месту регистрации (юр. лица, предпринимателя или гражданина — администратора сайта) для включения в реестр обработки персональных данных. Если такое уведомление не предоставить, то возможно привлечение к ответственности по статье 19.7 КоАП — предупреждение или наложение административного штрафа

  • на граждан в размере от 100 до 300 рублей;
  • на должностных лиц — от 300 до 500 рублей;
  • на юридических лиц — от 3 000 до 5 000 рублей. 

Форма и содержание уведомления, порядок его заполнения есть на сайте Роскомнадзора. Правда, представители Роскомнадзора пока никого за это не штрафуют — и не факт, что будут штрафовать.

В пункте 2 ст. 22 ФЗ «О персональных данных» перечислены случаи, когда уведомление в Роскомнадзор подавать не требуется. Всего таких случаев девять.

Самый распространенный — персональные данные получены в связи с заключением договора, если при том персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных.

Эти данные должны использоваться исключительно для исполнения указанного договора и заключения договора с субъектом персональных данных.

Заключение

Если на сайте не размещена политика обработки персональных данных, то его владелец не выполняет требования Закона «О персональных данных».

Указанные выше рекомендации относятся ко владельцам любых сайтов, которые так или иначе поддерживают обратную связь со своими посетителями.

Дополнительные требования могут быть предъявлены к интернет-магазинам, сервисам по подбору персонала, сервисам бронирования билетов, приема платежей, сетевых изданий (СМИ) и т.п. Про использование персональных данных в СМИ я напишу отдельно.

Поэтому прошу внимательно отнестись к подготовке документов, не используя «типовых форм политики обработки персональных данных», поскольку их не существует. За помощью обращайтесь к юристам, специализирующимся в этой отрасли.

Постскриптум

А вы знали, что дополнительные требования к информации, размещаемой на любых сайтах установлены и Федеральным законом «Об информации»?

Источник: //www.intellectpro.ru/press/works/personal_nye_dannye_na_sayte/

Какую информацию разместить на сайте? Что писать на сайте своей компании?

Разместили личную информацию на сайте

Перед тем, как приступить к созданию сайта, необходимо продумать, какую информацию на нём разместить. И недостаток и излишек информации может пагубно сказаться на качестве сайта. Отнеситесь к информационной карте сайта очень серьёзно. С её разработки стоит начать, чтобы правильно реализовать все последующие этапы

Список информации для размещения на сайте потребуется:

  • для разработки структуры сайта (иерархии страниц)
  • для составления технического задания на создание сайта
  • его потребует исполнитель при создании страниц и наполнении контентом

Проще всего начать с наброска структуры страниц. У большинства сайтов она схожая. Просто выпишите на бумагу краткое содержание сайта по типу оглавления. Представьте себе меню будущего сайта и перечислите все его пункты и подпункты. Ниже мы приводим стандартный шаблон иерархии сайта и описание базовых информационных блоков для каждой страницы.

Как составить структуру сайта и какую информацию разместить

страница сайта должна максимально коротко, но достаточно информативно рассказать о вашей деятельности. Начните с основных видов деятельности, расскажите, кому подходят ваши товары или услуги.

Обязательно заявите на Главной о своём УТП (уникальном торговом предложении). Далее, перечислите, какие дополнительные услуги или сервисы вы предоставляете своим клиентам, на каких условиях работаете и как с вами можно связаться.

— это краткое вводное содержание всего сайта.

Категории
Страницы категорий товаров или услуг должны описывать ваши продукты. При большом количестве дробите товары на подгруппы. Важно размещать товары в логичной последовательности, структурированно и максимально удобно для просмотра. Публикуйте на сайте всю информацию, которая может быть интересна и важна для вашей целевой аудитории.

Разместите фотографии товаров в хорошем качестве. Ни в коем случае не публикуйте неудачные или нерезкие фотографии, это оттолкнёт ваших клиентов. Дайте подробное описание функциональных параметров. Расскажите о выгодах, которые получает покупатель, приобретая вашу продукцию. Не оставляйте неотвеченными вопросы, которые могут возникнуть у покупателя о товарах или услугах.

Расскажите о них настолько ясно, чтобы покупателям не пришлось занимать время менеджера своими расспросами или, ещё хуже, идти на сайт конкурента для поиска недостающей информации. Если у вас много категорий и их иерархия сложна, разбейте их на подкатегории, систематизировав товары или услуги по группам.

В случае, когда товары или услуги сложные, полезным будет перечислить специалистов, которые над ними работают. Это расскажет потребителям о высоком качестве ваших продуктов.Тарифы и ценыЕсли ваш сайт продающий, на нём обязательно должны быть цены. Открытая публикация цен повышает доверие покупателей.

Никому не нравятся уловки, когда для уточнения цены нужно оставить контакты или обратиться к менеджеру. Посетитель сайта сразу может определить к какому ценовому сегменту относятся предлагаемые вами продукты. Это сокращает количество «холостых» обращений от людей не входящих в вашу целевую аудиторию.

Дополнительная информацияДоведите до сведения покупателей данные обо всех предоставляемых услугах и сервисах, таких как доставка, рассрочка, монтаж, гарантийное обслуживание, ремонт и так далее. Если в вашей сфере сложный бизнес-маршрут, опишите все этапы совершения сделки. Дайте развёрнутые разъяснения, чтобы у людей не возникало путаницы.Эта страница имиджевая.

Она не всегда имеет ценность для клиентов. Часто её игнорируют. Если вам нечего рассказать о себе, рекомендуем не высасывать текст из пальца, а просто отказаться от такой страницы. Если же вам есть, чем похвастаться, обязательно пишите о своих заслугах, победах, возможностях и компетенциях.

СотрудникиПубликовать информацию и фотографии сотрудников следует только в том случае, когда они являются ключевым аспектом взаимодействия и лично вживую общаются с клиентами. Наиболее актуально показывать сотрудников в сфере развлечений и бьюти услуг, где клиенты часто судят о качестве или компетенции мастеров по имиджу.

Если же у вас обычный офис и продажи осуществляются удалённо, нет никакого смысла выводить на сайт информацию о персонале, так как это не имеет никакого значения для потребителей.Полезные статьиОчень полезным для продвижения и приятным для пользователей является раздел с полезными статьями.

Это увеличивает вес сайта с точки зрения поисковых систем и повышает лояльность покупателей, так как вы предлагаете им бесплатную пользу в виде информации. SEO-оптимизированный текст может стать источником перехода на сайт из поиска по запросу в тематике статьи.

Поисковые системы приветствуют «живые» сайты, у которых прирастают страницы, и поощряют их повышением позиций в поисковой выдаче.Чаще всего это просто кнопки с переходом в ваше сообщество или к вашей страницы. Иногда на сайте размещается лента новостей из соцсетей или лента публикаций инстаграма.

В этом случае важно следить за соответствием стилистики сайта и публикаций, они должны выглядеть гармонично. Важно понимать, что соцсети должны быть регулярно наполняемыми и с хорошо выстроенной обратной связью.

Если сообщество или страница не живут, если информация на них публикуется крайне редко, нет смысла уводить трафик с сайта на пассивное представительство в социальных сетях. Если вашим пабликом никто активно и профессионально не занимается, рекомендуем не тратить на него время, так как заказов это не принесёт, а время и ресурсы тратит. Сосредоточьтесь лучше на сайте.

Формы сбора данных / обратной связиЭто палка о двух концах. С одной стороны, эти формы позволяют собрать данные о клиентах, чтобы не упустить их и своевременно напоминать о себе. С другой стороны, это часто раздражает посетителей сайта. Особенно, когда формы всплывают или появляются в момент просмотра сайта, перекрывая полезную информацию.

Посетитель думает: «Я ещё ничего не купил, а уже должен что-то заполнить». Это часто возмущает и является причиной ухода с сайта. Не переборщите с заполняемыми формами. Размещайте их исключительно там, где это действительно логично и необходимо. Или же дайте мотивацию для заполнения формы. Например, если человек заполняет форму, он получает какой-либо бонус.

В остальных случая форм обратной связи следует избегать, тем более, что законодательство требует соблюдения целого ряда правил при сборе данных посетителей.Опубликуйте на этой странице максимально возможное количество способов связи, включая социальные сети и мессенджеры.

Не мучайте клиентов заполнением форм обратной связи, сайты часто покидаются именно на этапе заполнения таких форм. Сделайте контакты кликабельными: когда по клику на адрес электронной почты открывается создание письма, а по клику на номер телефона начинается звонок. Связаться с вами должно быть легко и быстро. Сейчас интернетом правят мессенджеры, так дайте возможность клиентам общаться с вами в них. Это максимально удобно, тк не требует заполнения лишних полей, и для этого не нужно оставаться на сайте. Человек напишет и получит ответ именно там, где ему это проще всего.Теперь вы знаете, что нужно писать и размещать на сайте. Подготовьте эту информацию прежде, чем обратитесь к разработчикам сайта, чтобы при заключении договора они могли сразу приступить к выполнению работ, не теряя времени даром. Сбор информации для сайта полезен ещё и тем, что освежает информацию о предлагаемых вами товарах или услугах в вашей памяти)

Если несмотря на соблюдение всего выше перечисленного ваш сайт не приносит прибыли, читайте статью «Почему мой сайт не продаёт»

Желаем процветания вашему делу и хороших сайтов!

Читайте наши статьи на //4people.su/blog

Источник: //zen.yandex.ru/media/id/5af4422a9e29a26bab21669e/5cc052febd3a1a00b22c69c2

Как владельцам сайтов работать с персональными данными, чтобы избежать штрафа

Разместили личную информацию на сайте

С 1 июля 2017 г. возбуждать дела об административных правонарушениях будут органы Роскомнадзора, а не прокуратура, как это делается сегодня. Уже сейчас понятно, что данные дела будут возбуждаться проще и быстрее, так как это будет делать сам орган, выявивший правонарушение.

В настоящее время за нарушение закона №152 ФЗ «О защите персональных данных» (сколько бы таких нарушений за 1 раз не было выявлено) можно привлечь только 1 раз. Начиная с 1 июля 2017 г. Роскомнадзор за один «визит» может составить сколько угодно протоколов об административном правонарушении по каждому нарушению. О размере возможно штрафа в таком случае можно только догадываться.

Расположение хостинга сайта

В соответствии с ФЗ № 152, все интернет-ресурсы, на которых хранятся и обрабатываются персональные данные, должны быть расположены на территории Российской Федерации.

С учётом того, что контролирующие органы считают персональными данными также и данные о поведении пользователя на сайте, то это касается практически любого интернет-ресурса.

За нарушение этого требования Роскомнадзор их блокирует.

Под расположением хостинга подразумевается физическое местонахождение ЦОДа, на котором размещен ваш сайт. То есть, если хостинг-провайдер зарегистрирован в России, а его ЦОДы расположены, к примеру, в Эстонии, вы нарушаете закон и попадаете под блокировку сайта.

Что нужно сделать на сайте, чтобы избежать штрафов

Мы составили список работ, которые стоит сделать на своём сайте прямо сейчас. Это тот необходимый минимум, который позволит вам избежать проблем в случае проверок Роскомнадзора.

1.    Добавить текст согласия на обработку персональных данных

Под каждой формой ввода данных на сайте (регистрация, заявки на услугу, обратный звонок) разместить текст «Нажимая на кнопку «Название кнопки», я даю согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на документ. Примеры документов вы можете посмотреть на федеральных сайтах, например, ozon.ru и tinkoff.ru. 

Вместо согласия можно использовать единую публичную оферту, но в ней будет нужно прописать, в каких целях, какие данные обрабатываются, то есть указать всё, согласно ч.4 ст.9 152-ФЗ. В этом случае обязательно хранить логи, чтобы, в случае чего, доказать Роскомнадзору, что тот или иной пользователь действительно заходил на сайт и оставлял там свои персональные данные.

2.    Составить документ «Политика в отношении обработки персональных данных»

Этот документ нужно разместить на сайте в свободном доступе. В данном документе должны быть описаны процедуры сбора, обработки и хранения персональных данных пользователей сайта. Хорошо проработанный документ о политике в отношении обработки персональных данных есть на ikea.com. При этом с данным документом регистрирующийся не должен соглашаться при заполнении формы.

3.    Узнать, где находится хостинг сайта

Узнать у хостинг-провайдера, где физически находится ЦОД, в котором расположен ваш сайт и, в случае, если он расположен не на территории РФ, перенести сайт на другой хостинг. Сделать это вы можете, отправив запрос в техническую поддержку сайта.

4.    Указать email для обращений пользователей по персональным данным

Укажите email, куда физическое лицо может обратиться за тем, чтобы его персональные данные были удалены, заблокированы и вообще, куда он может задать вопрос по персональным данным. Email можно указать в документах, описанных выше.

Важно, чтобы указанный email был рабочим, информация на нем регулярно проверялась, чтобы не пропустить запрос пользователя на удаление персональных данных с сайта.

5.    Подать уведомление об обработке персональных данных в Роскомнадзор

Вам или агентству-разработчику сайта необходимо подать уведомление об обработке персональных данных в Роскомнадзор, для этого нужно перейти по ссылке и помимо всего прочего указать там адреса местонахождения баз персональных данных и перечень персональных данных, которые в них содержатся.

6.    Заключить соглашение о безопасности персональных данных с разработчиком сайта

В случае если агентство-разработчик сайта имеет доступ к персональным данным из заявок или базы данных сайта (например, сайт находится на технической поддержке), вам необходимо заключить соглашение с агентством об обеспечении безопасности персональных данных. В соглашении должно быть указано, какие персональные данные агентство может обрабатывать, в каких целях и какие действия с ними выполнять. Также там должны быть требования по защите персональных данных.

7.    Поставить на сайте дисклеймер

До 1 июля 2017 года поставить на сайте дисклеймер, который будет уведомлять посетителей сайта, что его персональные данные обрабатываются на сайте в целях его функционирования и, если он не согласен, то должен покинуть сайт. Примеры дисклеймеров вы можете посмотреть на сайтах marykay.ru и bmw.ru. В противном случае это будет являться согласием на обработку его персональных данных.

Мы оказываем эту услугу как нашим клиентам в рамках технического обслуживания, так и сторонним сайтам

Источник: //makeagency.ru/blog/kak-vladeltsam-saytov-rabotat-s-personalnymi-dannymi-chtoby-izbezhat-shtrafa

Как избежать штрафов в связи с поправками к закону о персональных данных

Разместили личную информацию на сайте

Почти все владельцы сайтов обрабатывают персональные данные — например, собирают почтовые адреса для рассылки.

1 июля 2017 года вступают в силу изменения в законе о персональных данных, из-за которых в разы вырастут штрафы. Максим Лагутин, эксперт по персональным данным в компании Б-152, рассказывает, на кого это повлияет и как избежать штрафов.

Максим Лагутин

Эксперт по защите персональных данных,
основатель консалтинговой компании Б-152 Сейчас по статье 13.11 есть только одно нарушение со штрафом 10 000 рублей для юрлиц. После 1 июля их станет семь и общий штраф может составить до 295 000 рублей.Почему сейчас? Все штрафы, которые вступают в силу с 1 июля, являются наиболее частыми нарушениями, которые Роскомнадзор выявлял в течение последних пяти лет. Ужесточение нашего законодательства связано с ужесточением законодательства в Евросоюзе.Например, если в форме обратной связи нет ссылки на соглашение на обработку персональных данных, компания должна будет заплатить 50 000 рублей. Если на сайте нет политики конфиденциальности, ИП оштрафуют на 10 000 рублей, компанию — на 30 000 рублей.

Операторов персональных данных. Оператор — любая организация, ИП и физическое лицо, которые обрабатывают персональные данные, например, собирает электронные адреса для рассылки.

Определение из закона 152-ФЗ «О персональных данных»:

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Любые данные о человеке, по которым его можно опознать. Точного перечисления в законе нет, но, например, если логин пользователя нам ни о чем не говорит, то электронная почта — это уже персональные данные.

Определение из закона 152-ФЗ «О персональных данных»:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Неважно, используете ли вы эту информацию по отдельности или в сочетании — если вы как-то получаете ее от пользователей, вы — оператор персональных данных.

  • Email
  • Телефон
  • Имя, фамилия, отчество (и по отдельности)
  • Адрес
  • Дата рождения
  • Фотография
  • Ссылка на персональный сайт и профиль в соцсетях

Трактовка расплывчатая, но исходя из позиции судов и Роскомнадзора даже cookie, данные об IP-адресе, местоположении без указания фамилии и имени являются персональными данными. В деле LinkedIn (который заблокировали за использование cookie, сведений о поведении пользователя на странице и сведений о местонахождении) и провайдера Скартел позиция судов и Роскомнадзора подтверждается.

Если на вашем сайте есть любая форма сбора данных — обратной связи, подписки на рассылку, регистрации или личный кабинет, это считается обработкой персональных данных.

Хранение и сбор тоже попадают под определение обработки. Даже если вы собираете данные и через пару минут удаляете, это будет считаться обработкой персональных данных.

Определение из закона 152-ФЗ «О персональных данных»:

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Вам нужно сделать так, чтобы сайт соответствовал требованиям 152-ФЗ. Эти требования применимы для всех — физических лиц и компаний. Убедитесь, что вы соблюдаете следующие условия:

Хостинг и база данных с персональными данными должна располагаться на территории России. Об этом прямо говорят данные проверок Роскомнадзора (снова LinkedIn) и закон № 242-ФЗ, который обязывает записывать, хранить, обновлять и извлекать персональные данные граждан РФ с использованием баз данных на территории России с 1 сентября 2015 года.

Это касается иностранных компаний с юрлицом в России и без него, а также российских компаний, которые пользуются иностранными хостинг-провайдерами, дата-центрами и облачными платформами. Все осложняется тем, что требования Роскомнадзора до конца не ясны, приходится догадываться самим. Подробнее о локализации данных рассказывается в статье.

Если вы не понимаете, где хранить данные и что делать, обратитесь с запросом в Роскомнадзор или Минкомсвязи. И возможно у вашего хостинг-провайдера есть готовые решения на такой случай.

Под каждой формой сбора данных, включая сбор email, разместить текст «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных». В тексте должна быть ссылка на документ — Пользовательское соглашение, договор или согласие на обработку персональных данных. Текст самого документа можно разместить на отдельной странице.

В Тильде в каждом блоке с формой сбора данных есть поле, в котором можно разместить текст о согласии на обработку данных и ссылку на соглашение и таким образом выполнить требование закона.

Какая информация должна быть в соглашении об обработке персональных данных

Согласно ч.4 ст.

 9 закона 152-ФЗ «О персональных данных» в соглашении обязательно должна быть следующая информация:

  • наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

Также нужно указать информацию о том, как физическое лицо может отозвать свое согласие на обработку персональных данных (ч.2 ст. 9 152-ФЗ «О персональных данных»).

Разместить на сайте в общем доступе (например, в подвале сайта) ссылку на документ — политику организации в отношении обработки персональных данных на сайте.

Показывать всем новым пользователям сайта предупреждение с текстом о том, что вы собираете метаданные пользователя (cookie, данные об IP-адресе и местоположении) для функционирования сайта и, если он не хочет, чтобы эти его данные обрабатывались, то должен покинуть сайт.

На Тильде блок с предупреждением находится в категории «Другое» под номером Т657

Подать уведомление, чтобы внести организацию в реестр операторов персональных данных Роскомнадзора — можно сделать через сайт.

Уведомление можно не подавать, если вы:

  • обрабатываете только данные работников и только для исполнения требований трудового законодательства (без передачи данных в банки, например, оформления зарплатного проекта)
  • обрабатываете данные, заключая договор с каждым клиентом и работником, и не передаете данные третьим лицам
  • обрабатываете персональные данные только на бумажных носителях.

Другие исключения, когда уведомление в Роскомнадзор можно не подавать, содержатся во втором пункте статьи 22 закона 152-ФЗ.

Подтверждать статус оператора в Роскомнадзоре не нужно. Вы или ваша компания итак уже является оператором, если имеет доступ к персональным данным.

Выше мы назвали главные требования, которые Роскомнадзор предъявляет ко всем сайтам — неважно, физическое вы лицо или юридическое. Ниже еще несколько групп требований, которые должны дополнительно выполнять юридические лица.

Что нужно еще сделать компаниям:

Назначить ответственных лиц и разработать пакет внутренних документов, регламентирующих процессы обработки и защиты персональных данных.

Правильно отрегулировать взаимодействие с физическими лицами, государственными органами и контрагентами. Это значит, вам нужно:

  1. Подписать с сотрудниками обязательства о неразглашении персональных данных, согласие на обработку персональных данных и под роспись ознакомить их с внутренними документами по персональным данным.
  2. Со всеми другими физическими лицами подписывать согласие на обработку персональных данных или добавлять пункты об обработке персональных данных в договоры, которые вы заключаете.
  3. Заключать поручения на обработку персональных данных, если вы передаете кому-то данные физических лиц (например, рекламным агентствам).
  4. Отвечать на запросы физических лиц по поводу обработки их персональных данных — не игнорировать, как часто делают.

Защитить персональные данные техническими и организационными мерами — антивирусными системами, средствами межсетевого экранирования, разграничить права доступа. Все это прописано в приказе ФСТЭК № 21. В зависимости от требований проверять компанию могут разные инстанции: Роскомнадзор, ФСТЭК и ФСБ России. Самые редкие случаи проверки для частных организаций — проверка технической защиты персональных данных, это делает ФСБ в малом количестве.

ФСТЭК

Федеральная служба по техническому и экспортному контролю

Основной риск представляет Роскомнадзор, проводящий тысячи проверок в год.

Если раньше сумма штрафов для юридических лиц не превышала 10 000 рублей, то с 1 июля она спокойно может доходить до 300 000 рублей. Если нарушений несколько, штрафов тоже будет несколько.

Например, если вам напишет пользователь и попросит уточнить или удалить его персональные данные с вашего сайта, а вы не предоставите эту информацию, то штраф для физических лиц будет до 2000 рублей, для ИП — до 20 000 рублей, для компаний — до 45 000 рублей. Все штрафы можно посмотреть в поправках к закону.

Как правило, вначале Роскомнадзор присылает «письмо счастья», в котором указывает выявленные нарушения на сайте, связанные с неправомерной обработкой персональных данных. Хотя в случае с астраханскими сайтами, которых оштрафовали за форму обратной связи на сайте, проверку просто начали по алфавиту.

Пример «письма счастья»:

Еще Роскомнадзор может запросить большой список документов. Если проверка выявит нарушения, то Роскомнадзор может заблокировать сайт, наложить штрафы и в редких случаях приостановить деятельность компании. Не ждите «письмо счастья». Начните выполнять все основные требования, чтобы избежать плачевных последствий и штрафов.

Максим Лагутин
Иллюстрации, дизайн и верстка: Юлия Засс

Если материал вам понравился, расскажите о нем друзьям. Спасибо!

Источник: //tilda.education/articles-personal-data-law

ЗаконностьЗдесь