/ Блог
Поиск по сайту Поиск
Безопасность

Как правильно собирать персональные данные пользователей на сайте

Подписка на рассылку, заполнение ФИО и номера телефона для оплаты или звонка менеджера — пользователи ежедневно оставляют персональные данные на сайтах компаний. В статье расскажем, как правильно их собирать и обрабатывать, чтобы не нарушить закон.

Данные выручают владельцев бизнеса и маркетологов — на их основе можно лучше узнать свою целевую аудиторию, точнее настроить рекламу и предлагать персонализированные предложения каждому сегменту. Но для обработки и хранения информации о клиентах нужно соблюдать ряд требований. Порядок сбора персональных данных содержится в законе №152-ФЗ «О персональных данных». 

Что считается персональными данными

Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). 

Определение из закона 152-ФЗ «О персональных данных»

В законе нет точного списка сведений, которые можно считать персональными данными, — к ним относится любая информация, которая позволяет идентифицировать личность. К ней нельзя отнести предпочтения в еде или фильмах, а вот ИНН и сведения о месте работы будут считаться персональными данными. 

Согласно закону «О персональных данных», компания или человек, который собирает эти сведения, — оператор персональных данных. Даже если вы сразу удаляете информацию после ее получения, вы все равно несете ответственность за сбор, обработку и уничтожение персональных данных. 

Собирают персональные данные двумя способами — напрямую и автоматически. К первому случаю относятся данные, которые пользователь оставляет сам. Например, когда заполняет форму на регистрацию или заявку на звонок. К ним можно отнести: 

  • ФИО (а вот имя отдельно не считается персональными данными),
  • email,
  • адрес регистрации/проживания,
  • номер телефона, 
  • фотография, 
  • сведения о родственниках,
  • сведения о состоянии здоровья,
  • размер дохода,
  • ссылка на социальные сети.

К данным, которые собирают автоматически, можно отнести IP-адрес и сведения о местоположении. Их компании получают с помощью cookie, текстовых файлов с информацией о посещении ресурса и действиях на сайте. Если компания нарушит требования о куки-файлах, Роскомнадзор может потребовать блокировки ресурса. Так уже было с LinkedIn в 2016 — сайт заблокирован на территории РФ за незаконное использование и хранение куки. 

Что нужно для сбора персональных данных

Чтобы правильно собирать и обрабатывать данные и не переступать закон, нужно подготовить несколько документов, а также выполнить требования Роскомнадзора. Разберем по шагам, что нужно для сбора данных.

Шаг 1. Установить SSL-сертификат

В 2022 году объем утечек данных пользователей вырос в 40 раз по сравнению с 2021 — в открытом доступе появилась личная информация 100 млн человек. SSL-сертификат поможет минимизировать риски. 

Защищенный протокол передачи данных создает зашифрованное соединение и гарантирует безопасность обмена информацией. Сертификат не позволит мошенникам перехватить трафик и использовать данные незаконно, предотвращая утечку. Если вы планируете собирать ФИО пользователей, данные банковских карт и другую персональную информацию, установка SSL-сертификата — необходимый этап. Базовый SSL в REG.RU вы можете получить бесплатно на 6 месяцев

Шаг 2. Подготовить документы

Чтобы собирать персональные данные на сайте, нужно подготовить пакет документов. Вот самые основные:

  • Политика конфиденциальности. В этом документе содержатся сведения об организации, которая собирает данные, целях сбора, методах обработки и передачи. В политике необходимо указать оператора, юридический или фактический адрес компании/физического лица, список собираемых данных, сроки обработки и то, как данные уничтожают. При этом, хостинг и база данных должны располагаться на территории РФ — правило действует даже для зарубежных компаний. Если вы планируете передавать данные третьим лицам, это тоже необходимо указать в политике. 
  • Положение о защите данных. В этом документе нужно рассказать о рисках и о мерах защиты, которые вы предприняли, чтобы предотвратить утечку данных. Все меры по защите данных есть в приказе № 21 Федеральной службы по техническому и экспортному контролю. 
  • Согласие на обработку персональных данных. Уведомление о согласии на обработку данных пользователям нужно будет показывать каждый раз, когда они заполняют формы на сайте. Каждый посетитель сайта должен сам принять решение о передаче личной информации. Срок действия согласия может быть неограничен. 
  • Уведомление о сборе cookie. Вы наверняка видели подобные уведомления на сайтах — всплывающий баннер с кнопкой или надписью «Продолжая использовать сайт, вы даете согласие на обработку данных». На баннере обязательно должна быть ссылка на политику конфиденциальности. 
  • Обязательство о неразглашении данных. Этот документ не нужно публиковать на сайте, но его необходимо подписать сотрудникам компании. Это обязывает их не разглашать информацию, полученную о клиентах во время работы. 
  • Приказ о назначении ответственного за хранение и обработку персональных данных. Это тоже внутренний документ. Ответственным можно назначить юриста или сотрудника службы безопасности — здесь нет конкретных требований. 

Шаг 3. Подать уведомление в Роскомнадзор

Этот шаг обязательный не для всех компаний. Если вы обрабатываете только данные сотрудников или только на бумаге, шаг можно пропустить. Другие исключения подробно описаны в статье 22 153-ФЗ.

Подать уведомление можно на бумажном носителе по почте, через Госулуги или онлайн через форму на сайте Роскомназора. Если ответ не пришел в течение 10 рабочих дней после подачи уведомления, можно собирать данные. Ответ приходит, только если сбор и обработка будут запрещены или ограничены. 

После подачи уведомления организацию или физическое лицо внесут в реестр операторов персональных данных.

Шаг 4. Опубликовать политику и формы на сайте

Политика конфиденциальности должна находиться на каждой странице сайта — для удобства ссылку на нее размещают в подвале. 

Политику конфиденциальности обычно публикуют в подвале сайте - пример с сайта REG.RU.

Кроме того, каждая форма для сбора данных, будь то email или ФИО, должна содержать ссылку на соглашение и уведомление о согласии на обработку данных. Если вы используете cookie, об этом также нужно уведомить пользователей — удобнее всего разместить баннер, который автоматически появляется на сайте. 

Всплывающее уведомление о том, что мы в REG.RU используем файлы cookie, видят все посетители сайта.

Шаг 5. Не забывайте актуализировать информацию

Закон о персональных данных постоянно обновляется и дополняется, поэтому время от времени нужно будет актуализировать информацию и переписывать некоторые документы. Обо всех изменения необходимо уведомлять Роскомнадзор не позднее 15-го числа, следующего за месяцем, в котором произошли изменения. Иначе организации может грозить штраф. 

Уничтожение персональных данных

С 1 марта 2023 года вступили в силу изменения в законе об уничтожении персональных данных. 

Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе и на материальных носителях. 

Почему удаляют персональные данные: 

  • если пользователь отзывает согласие на обработку данных;
  • если пользователь или Роскомнадзор требует уничтожить данные, потому что они неточные, устарели или были получены незаконно;
  • если данные больше не требуются.

В случае уничтожения компаниям необходимо составлять акт о ликвидации личной информации пользователей и хранить его в течение 3 лет. Акт должен содержать: 

  • наименование системы, данные из которой удалили;
  • причину и способ ликвидации данных. 

Акт поможет доказать, что данные уничтожили вовремя, и убережет от судебных разбирательств. 

⌘⌘⌘

Если у вас есть сайт с формами сбора персональных данных, вы автоматически становитесь оператором и должны соблюдать правила по сбору и обработке личной информации. За неисполнение требований компания может получить штраф до 6 млн рублей, а за повторное нарушение — до 18 млн. Даже если вы собираете лишь email для рассылок, не пренебрегайте правилами. 

А создать сайт и не упустить важных моментов проще с шаблонами REG.Site. В готовых решениях для интернет-магазинов уже предусмотрено место для политики конфиденциальности и других важных документов. 

Создать сайт

Редакция

10 мая 2023

196
Победить конкурентов и увеличить выручку: кейс горизонтального масштабирования клиники

Победить конкурентов и увеличить выручку: кейс горизонтального масштабирования клиники

26 июля, 2024
Рассказываем путь развития стоматологической клиники к повышению выручки на 40% с сохранением рентабельности.
Read More
Руководство по CI/CD в GitLab для новичка

Руководство по CI/CD в GitLab для новичка

26 июля, 2024
В статье разбираем, как устроена практика CI/CD, какие у нее нюансы и преимущества использования. А также расписываем пошаговый процесс использования...
Read More
Что такое GitLab, кому нужен, как пользоваться

Что такое GitLab, кому нужен, как пользоваться

26 июля, 2024
GitLab — платформа для совместной разработки. Она позволяет командам организовывать свои процессы от планирования до мониторинга и может работать в...
Read More
Как продавать представителям разных поколений

Как продавать представителям разных поколений

25 июля, 2024
Рассказываем, как работает теория поколений и чем она оказывается полезной для маркетинга в малом и среднем бизнесе.
Read More
Как привлечь новую аудиторию и победить конкурентов. 3 кейса-стратегии

Как привлечь новую аудиторию и победить конкурентов. 3 кейса-стратегии

24 июля, 2024
На примере трёх кейсов разбираем трансформацию продуктов на основе методологии jobs-to-be-done.
Read More
Что стоит автоматизировать в бизнесе с самого начала

Что стоит автоматизировать в бизнесе с самого начала

23 июля, 2024
Экономить силы, время и деньги – это база, а не привилегия. Автоматизируйте процессы и уделяйте внимание стратегическим задачам.
Read More
Как составить бизнес-план: пошаговая инструкция

Как составить бизнес-план: пошаговая инструкция

18 июля, 2024
Бизнес-план — стратегия развития проекта, без которой не стоит начинать ни один бизнес. Рассказываем, как правильно его составить.
Read More
Сильная презентация для инвесторов: от содержания до выступления

Сильная презентация для инвесторов: от содержания до выступления

17 июля, 2024
Всё про качественную презентацию для инвесторов. Что разместить на слайдах, как держаться на встрече и увеличить свои шансы на сделку.
Read More
Дёшево и эффективно: как малому бизнесу продвигать свой сайт

Дёшево и эффективно: как малому бизнесу продвигать свой сайт

16 июля, 2024
Как выделиться среди конкурентов и получить внимание потенциальных клиентов. Бюджетные методы продвижения сайта – в этом обзоре.  
Read More
Как перевести бизнес в онлайн: 7 шагов

Как перевести бизнес в онлайн: 7 шагов

12 июля, 2024
Пошаговая инструкция по переводу существующего бизнеса в онлайн: от создания сайта до начала продаж и запуска рекламы.
Read More