Сайты: как выполнить требования 152-ФЗ
Законопроект о внеплановых проверках утечек данных могут утвердить в феврале 2024 года. А это значит, что с февраля мораторий для РКН и ФСБ планируют снять, и регуляторы приступят к массовым проверкам.
Здесь и сейчас регуляторы могут провести внеплановую проверку при выявлении индикаторов риска нарушения обязательных требований в области обработки личной информации. С 18 ноября их перечень расширили. Новый показатель — ситуация, когда Роскомнадзор обнаружил хотя бы 3 расхождения между:
- информацией из уведомлений о намерении обрабатывать персональные данные и (или) осуществлять трансграничную передачу;
- данными, которые оператор опубликовал на своем сайте.
Да, на сайте оператор персональных данных также обязан обеспечить выполнение ряда требований. О них и поговорим сегодня.
6 обязательных требований
Владелец сайта, в соответствии с п. 2 ч. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» — это оператор, осуществляющий обработку ПДн посетителей сайта. В соответствии со ст. 18 он обязан назначить ответственного за организацию обработки персональных данных (назначается приказом).
Назначается 1 ответственный за все цели сбора данных, нельзя возложить обязанность ответственного на разных людей в компании. При этом требования к наличию специальных знаний не предъявляются.
Для обеспечения выполнения требований на сайте неоходимо:
Подать уведомление в Роскомнадзор
Сделать это можно:
• в бумажном виде;
• в электронном виде с использованием усиленной квалифицированной электронной подписи;
• в электронном виде с использованием средств аутентификации ЕСИА.
Если не направить уведомление, владелец может быть привлечен к ответственности по ст. 19.7 КоАП РФ.
Использовать БД на территории РФ
Согласно ч. 5 ст. 18 ФЗ-152 оператор при сборе ПДн, в том числе, через интернет, обязан обеспечить запись, систематизацию, накопление, хранение, уточнение, извлечение ПДн с использованием баз данных, находящихся на территории РФ. Эта норма обязывает обеспечить размещение техмощностей, на которых находится сайт, и хранение обрабатываемых им данных на территории РФ. Невыполнение приведёт к штрафу от 1 млн до 6 млн для юрлиц.
Иметь законное основание для обработки
В ст. 6 ФЗ-152 предусмотрено 12 видов оснований обработки ПДн. Самые распространённые в отношении сайтов:
• с согласия субъекта ПДн;
• необходима для исполнения (или заключения) договора, стороной которого либо выгодоприобретателем или поручителем по которому является (или будет являться) субъект ПДн.
Если обработка ПДн осуществляется на основании согласия субъекта ПДн, оператору нужно обязательно его получить. В соответствии с требованиями ФЗ-152 оно должно быть конкретным, предметным, информированным, сознательным и однозначным.
В части чек-боксов владельцу сайта следует обеспечить техническую возможность хранения логов, подтверждающих получение согласия от посетителя (путем проставления галочки в чек-боксе).
Например, под формой сбора есть текст: «Согласен на обработку персональных данных». Тогда в него нужно «зашить» гиперссылку на текст согласия, размещенного на отдельной странице.
Второе основание может быть использовано, когда пользователь предоставляет данные в связи с заключением договора с оператором ПДн. Под заключением договора подразумевается, например, принятие пользовательского соглашения, оферты и т.д.
Выполнить требования по трансграничной передаче ПДн
С 1 марта 2023 года изменились требования ФЗ-152, связанные с трансграничной передачей ПДн. Подробнее об изменениях + шпаргалка по выполнению — тут.
Правильно разместить Cookie-файлы
Cookie — это фрагмент данных, который отправляется веб-сервером и хранится на компьютере пользователя. Браузер, в свою очередь, каждый раз при попытке открыть страницу сайта пересылает Cookie серверу в составе HTTP-запроса.
Например, при регистрации пользователь вносит данные о себе: пол, дату рождения и т.д. При взаимодействии с сайтом он демонстрирует свои интересы – например, путем подписки на сообщества определенной тематики. Вместе это формирует массив информации о пользователе, большая часть которого хранится в cookie-файлах.
Cookie-файлы относятся к ПДн, поэтому для их использования необходимо согласие субъекта ПДн.
Разместить политику конфиденциальности
Согласно ст. 18.1, оператор обязан издать документы, определяющие политику оператора в отношении обработки ПДн — опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
В Политику рекомендуется включить следующие структурные компоненты:
- Общие положения
- Цели сбора персональных данных
- Правовые основания обработки персональных данных
- Объем и категории обрабатываемых персональных данных
- Принципы и условия обработки персональных данных
- Реализация мер обеспечения безопасности персональных данных
- Актуализация, исправление, удаление и уничтожение персональных данных
О каждом пункте, а также о самых распространённных ошибках при составлении Политики расскажем в следующем материале.
Если вам интересна тема работы с персональными данными — рекомендуем ознакомиться со статьями:
Ответственность за несоблюдение требований по ПДн
Всё о проверках Роскомнадзора, ФСТЭК, ФСБ
Отличие соглашения о поручении на обработку от передачи ПДн
Трансграничная передача ПДн: шпаргалка
Обработка и защита ПДн: кто ответственный?
«Сайт на Тильде. Что делать с ПДн?»
Защита персональных данных: актуальные требования, способы защиты
Как выполнить требования к уровню защищённости ИСПДн
Всё об аттестации ИС по требованиям ФСТЭК
Чек-лист по выполнению требований 152-ФЗ