Как привести сайт в порядок по закону о персональных данных

В последние несколько лет вопрос о персональных данных (ПД) стал очень актуален.

Что относится к ПД:

• ФИО;
• место, дата рождения, место постоянной или временной регистрации;
• фотография или видеозапись человека, которые могут его идентифицировать;
• сведения о детях, родственниках, семейном положении;
• сведения о зарплате;
• оценка навыков, личностных качеств;
• индивидуальные личные данные, в том числе раса, национальность, политические или религиозные взгляды, философские убеждения; 
• состояние здоровья;
• информация о судимостях или их отсутствии;
• номер телефона, адрес электронной почты, иные идентификаторы в социальных сетях или мессенджерах;
• паспортные данные, СНИЛС, ИНН;
• биометрические данные.

Некоторые из этих данных, сами по себе, без связки с другими данными, персональными являться не будут. Например, номер телефона сам по себе не является ПД, но вместе с указанием ФИО владельца — является.

Адрес электронной почты в формате ivanov_ivan_1977@mail.ru тоже относится к ПД, как и ФИО с привязкой к ИНН, номеру телефона или месту регистрации.

Классификация

Общедоступные — те, на доступ к которым дано согласие субъекта ПД, а не те, которые можно найти в интернете.

Специальные — информация о расе, национальности и религии, политических и философских взглядах, здоровье, подробностях личной жизни, судимостях.

Биометрические — информация о физиологических и биологических особенностях человека, то есть отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.

Иные — к ним относится все остальные данные: электронная почта или геолокация, информация о принадлежности к определённой социальной группе, стаж работы и прочее.

Важные понятия

Оператор ПД — лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПД, а также определяющее цели их обработки, состав ПД, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка ПД — любое действие (операция) или совокупность действий (операций) с ПД, совершаемых с использованием или без автоматизированных средств.

Виды обработки:

сбор;запись;систематизация;накопление;хранение;уточнение (обновление, изменение);использование;передача (распространение, предоставление, доступ);обезличивание;блокирование;удалёние;уничтожение.

Пути обработки

Автоматизированная — с помощью средств вычислительной техники, то есть компьютеров, телефонов и другие электронные устройств, а также это базы данных, криптографические средства защиты, программы, скрипты и так далее.

Смешанная — обработка человеком при участии средств вычислительной техники. Например, когда бухгалтер вбивает в программу данные из бумажного носителя.

Неавтоматизированная — без использования средств вычислительной техники.

После того, как ПД обработаны, они отправляются на хранение в архив, бумажный или цифровой. В любом случае нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (по закону).

Как организовать архив

Подготовить политику обработки ПД для сайта и форму согласия на обработку ПД. При подготовке важно обратить внимание на соответствие их содержания требованиям Федерального закона «О ПД» от 27.07.2006 № 152-ФЗ.

Затем — проверить свой сайт на наличие ошибок.

Подготовить положение об организации обработки ПД — это локальный акт, который поможет соблюдать основные обязанности: сроки реагирования, порядок доступа, алгоритм действий при компрометации ПД и другое.

Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ.

Краткий чек-лист

• Зарегистрироваться в Роскомнадзоре, как оператор ПД (обязательно не для всех, ниже вы узнаете об исключениях).
• Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать с них лишние данные.
• Отвечать на обращения субъектов и предоставлять им всю информацию.
• Собирать и хранить информацию только для достижения определённых целей, и на определённый срок.
• Хранить и защищать ПД по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то с документальным подтверждением и  аттестованным людям.  
• Уточнять, блокировать или уничтожать ПД по заявлению субъектов или когда достигли целей их сбора.

О регистрации в Роскомонадзоре

Кому не нужно регистрироваться как оператору ПД:

• сбор ПД осуществляется для установления трудовых отношений;
• ПД собираются для заключения договора без последующей передачи и распространения третьим лицам и для исполнения договора;
• обработка ПД из открытого доступа;
• сбор ФИО граждан без телефона и e-mail;
• сбор ПД для однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
• сбор, обработка и хранение ПД осуществляется на бумажных носителях без использования средств автоматизации.

Хранить свой бумажный архив, включая кадровые документы и ПД можно вне офиса. Так можно избежать их утраты и несанкционированного доступа к информации.

Во всех остальных случаях — регистрация в Роскомнадзор обязательна.

Что проверить при сборе и/или обработке ПД

• Опубликована ли на сайте политика обработки ПД?
• Доступен ли документ в «подвале» вашего сайта?
• Соответствует ли опубликованная политика установленным законом требованиям к содержанию (п. 2 ч. 1 ст. 18.1 Закона «О ПД»)?
• В порядке ли согласие пользователей на обработку ПД?

Что проверить в согласии

• Указаны ли в форме согласия конкретные категории обрабатываемых данных?
• Установлен ли срок обработки (либо порядок его определения)?
• Указан ли перечень лиц, которым оператор ПД передаёт данные?

О локализации ПД

• Фигурирует ли на сайте информация об использовании иностранных сервисов Google Analytics, Microsoft Azure, Amazon Web Services и других? 
• Если нужно продолжить использовать такие сервисы, уведомили ли Роскомнадзор о трансграничной передаче ПД?
• Если данные — на серверах, физически расположенных за пределами РФ, соблюдаются ли требования о локализации ПД граждан РФ?

Если данные всё же «утекли»

Необходимо уведомить Роскомнадзор о компрометации ПД:

• в течение 24 часов с момента утечки — об инциденте, о предполагаемых причинах и вреде, о мерах по устранению инцидента, контактное лицо для связи;
• в течение 72 часов — о результатах внутреннего расследования.

Также необходимо подготовить ответ на запросы субъектов ПД и Роскомнадзора — десять рабочих дней на ответ плюс пять рабочих дней при направлении мотивированного письма.