Отправляет email-рассылки с помощью сервиса Sendsay
Компьютеры и интернетОбучение

Wordpress от "А" до "Я" 6077

Открытая группа
1933 участника
Администратор casham

Важные темы:

Последние откомментированные темы:

20250425171312

←  Предыдущая тема Все темы Следующая тема →
KtoNaNovenkogo
пишет:

Закон 152-ФЗ о персональных данных — как их правильно собирать и хранить, чтобы не быть оштрафованным

  1. Что считать персональными данными?
  2. Как избежать нарушений закона 152-ФЗ?

Закон 152-ФЗ о персональных данных

С июля 2017 года вступили в силу изменения в закон 152-ФЗ о хранении персональных данных пользователей - в разы выросли штрафы и упростилось их наложение. Что делать, владельцу сайта, чтобы не быть оштрафованным?

то считать персональными данными и почему это так важно?

С начала июля этого года, в связи с дополнениями в законе 152-ФЗ, существенно повышается вероятность получить по носу (в виде штрафа приличного размера) от Роскомнадзора за нарушение правил работы с персональными данными пользователей. Вообще, это тема злободневная для нашей текущей политики, и на этой почве как раз и произошло неприятное для нас (вебмастеров) событие — одновременное усиление ответственности и упрощение процедуры наложения штрафов.

Дополнения в закон 152-ФЗ о защите персональных данных

Теперь Роскомнадзор может выписать штраф без привлечения прокуратуры и размеры этих штрафов получаются какие-то запредельные особливо для тех, кто оформился как юр. лицо или ИП (ладно там гиганты интернет-индустрии, но большинству это мало не покажется). Например, за сбор Емайлов без согласия оппонента можно получить штраф до 75 тыс. рублей для юр.лиц, хотя физ. лицо отделается несколькими тысячами.

Получается, что физ. лицо несет меньше ответственности и это логично (владельца сайта «хомячка» с формой обратной связи на бОльшую сумму штрафовать рука не поднимется). Но ко многим «серьезным» вебмастерам может возникнуть вопрос о незаконной предпринимательской деятельности, если сайт монетизируется (а это несложно понять). Неплохой способ для Роскомнадзора совместить приятное (штрафы) с полезным (выявление незаконных предпринимателей).

Ключевой вопрос состоит в том, что считать персональными данными, подпадающими под этот закон? ФИО, адрес, паспортные данные, номер телефона или же просто Емайл, имя, cookie (Ip адреса, поисковые запросы и т.п.) или того хуже, ник. Этот вопрос вообще ключевой по отношению к 99% процентам вебмастеров рунета, которые из этого списка обычно собирают только Емайлы, куки и имена (в форме добавления комментария, в форме подписки или обратной связи).

Однозначной трактовки нет и это пугает, ибо есть свобода маневра в том случае, если Роскомнадзор захочет оштрафовать как можно больше владельцев сайтов. С другой стороны, в сети есть призывы не паниковать, ссылаясь на слова главы Роскомнадзора, сказанными в одном из интервью:

Что такое персональные данные по версии закона 152-ФЗ от Роскомнадзора

Повторю ответ на вопрос заданный в заголовке этой публикации — я не знаю истины, но в силу масштабности возможных штрафов предпочитаю «подстелить соломки» и нивелировать риски нарушения самых «убойных» пунктов, за которые взимаются самые большие суммы (десятки тысяч рублей за одно нарушение).

Как снизить риск штрафа за нарушение закона 152-ФЗ?

Понятно, что закон писался все же для «серьезных» сайтов с огромной аудиторией и большими объемами собираемых персональных данных. Во-вторую очередь шерстить, наверное, будут интернет-магазины и прочую коммерцию, ибо там штрафы однозначно будут большие (юр.лица, ИП). Но вполне возможно, что дойдет дело и до обычных владельцев небольших ресурсов. Поэтому определенные действия все же предпринять стоит.

Тут ключевым является именно «снизить риск», ибо дать гарантию, что к вам после этого уже не докопаются, будет сложно. Во-первых, нужно быть юристом, чтобы понять все возможные заковыки. Во-вторых, формулировки и трактовки расплывчаты. В-третьих, ключевую роль могут сыграть варианты реализации описанного ниже. В-четвертых, «старый тупой дядька» может ошибаться. В общем, снизить риск, но не снять проблему полностью.

Итак, что желательно сделать, чтобы у Роскомнадзора не возникло желание с вами поближе познакомиться:

  1. Хранить собираемые персональные данные на территории Российской федерации. Тут все определяется, как я понимаю, географическим расположение сервера, на котором работает сайт. Т.е. хостинг желательно выбирать на территории России. Собственно, из-за этих проблем (хранения личных данных россиян за пределами страны) и был заблокирован Линкедин (соцсеть для работников и работодателей).
  2. Пользователей необходимо поставить в известность о тех мерах безопасности, которые вы предпринимаете для хранения сообщаемых ими персональных данных (и ответственности, которую несут стороны). Для этого обычно размещают на сайте так называемую «Политику конфиденциальности», где нужно будет все четко и по пунктам расписать. Где ее взять? Ну, списать у кого-нибудь или, например, можно использовать сервисы для ее автоматического составления:
    1. Политика конфиденциальности для коммерческого и обычного сайта (я его использовал, но потом чутка дооформил полученный документ). Нашел ссылку на этот сервис у Сергея Сосновского.
    2. То же самое, но есть ограничения при бесплатном использовании
  3. Нужно, чтобы ссылка на страницу с политикой конфиденциальности была доступна с любой страницы вашего сайта, поэтому ее нужно сделать сквозной, разместив, например, в футере или в низу сайдбара.
  4. Нужно, чтобы перед отправкой вам своих персональных данных через любую форму на сайте пользователь предварительно соглашался с описанной выше политикой конфиденциальности.
    1. В идеале — это должен быть чекбокс, не поставив галочку в котором пользователь данные отправить не сможет. И естественно, что ссылка на эти самые правила обработки данных должна быть рядом (пользователя может заинтересовать с чем он соглашается). Именно такую реализацию я сейчас вижу на сайтах некоторых банков.
    2. Но сам я сделал упрощенно — просто написал, что наживая кнопку вы, дескать, соглашаетесь со всем и вся (см. внизу этой статьи под формой подписки на рассылку).
  5. Желательно не собирать лишней информации о пользователях в различных формах и заявках. Во-первых, это ухудшает воронку конверсий (чем больше полей, тем меньше желание их заполнять), во-вторых, возможно, собираемая вами информация и не подпадет таки под шаблон Роскомнадзора.
  6. Даже если вы данные не собираете и не храните, например, используя сторонние системы комментирования (типа дискуса) или социальные сети для входа на сайт, то я бы все равно в политике конфиденциальности об этом упомянул и описанное выше предупреждение разместил. Например, Гугл Адсенс требует упоминать в политике конфиденциальности, что на сайте ведется сбор информации из куков, пусть это осуществляет и сторонняя сайту система контекстной рекламы.
  7. Данные нужно надежно хранить. Как это будут проверять не знаю. К тому же, по первому требованию вы данные пользователя должны будете удалить из своей базы. Вот это уже проверить намного проще.
  8. Ну и, естественно, следуя пунктам закона 152-ФЗ вы должны (просто обязаны) настучать на себя в Роскомнадзор. Конкретных штрафов за невыполнение этого требования не приводится, но они, скорее всего, есть. Хотя я этот пункт проигнорировал (ну, типа, сделал главное и забыл сообщить, просто погрузившись в рутину накопившихся за это время дел).

Думаю, что ссылку на мою версию политики хранения персональных данных пользователей вы найдете без труда (с некоторых страниц на нее аж по три ссылки ведет). Варианты оформления своих форм подписки, обратной связи, комментирования, заказов и т.п. вы тоже выберите сами исходя из своих соображений. Мне же остается только откланяться и сказать спасибо тем, кто дочитал до этого предложения.

Удачи вам!

 

Читать далее про закон 152-ФЗ >
Это интересно
0

KtoNaNovenkogo
14.08.2017
Пожаловаться Просмотров: 575  
Комментарии 0
←  Предыдущая тема Все темы Следующая тема →


Комментарии временно отключены