Как подготовить сайт к требованиям 152-ФЗ «О персональных данных» 73


Здравствуйте, уважаемые друзья. Как подготовить сайт к требованиям 152-ФЗ «О персональных данных»? Этот вопрос уже интересует многих владельцев сайтов, а 1 июля 2017 года, когда вступят в силу изменения в законе, будет волновать абсолютно всех владельцев сайтов. Поэтому следует подумать об этом заранее.

Итак, 1 июля 2017 года существенно ужесточена ответственность за нарушения при взаимодействии с персональными данными физических лиц. Эти изменения коснутся буквально всех, кто так или иначе работает с персональными данными физических лиц, в том числе, владельцев сайтов, которые собирают персональные данные посетителей.

То есть если у вас на сайте есть:

  • форма обратной связи,
  • форма подписки на рассылку,
  • форма комментирования.

Вы автоматически подпадаете под действие этого закона. А если вы ещё и что-то продаёте или оказываете услуги, тогда тем более должны побеспокоиться о приведении сайта в соответствии с требованиями 152-ФЗ «О персональных данных».

А учитывая тот факт, что даже в законе термин «персональные данные» приведён очень обобщённо, и более не будет требоваться согласование проверки с прокуратурой, это может существенно осложнить жизнь многих владельцев сайтов.

За что могут наказать владельца сайта

На самом деле нарушений может быть много, это сбор данных без согласия (штраф для граждан 3000-5000 рублей), передача данных третьим лицам (штраф для граждан 1000-3000 рублей) и, конечно же, отсутствие доступа к политике конфиденциальности (штраф для граждан 750-1500 рублей).

Поэтому в первую очередь на ваших сайтах должна появиться политика конфиденциальности, так как закон гласит:

Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети. (Предусмотрено пунктом 2 статьи 18.1 Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»).

И обязательно под всеми формами сбора данных нужно упомянуть о согласии на обработку персональных данных.

Как создать политику конфиденциальности и пользовательское соглашение

Можно прогуляться в сети и найти множество примеров, взять за основу понравившийся образец и переделать под себя.

А можно не тратить время, и за 5 минут сделать политику конфиденциальности совершенно бесплатно, юридически правильно, в соответствии с требованиями 152-ФЗ.

Для этого нужно перейти на сайт 152ФЗ.РФ.

Здесь можно проверить сайт на соответствие ФЗ.

Как подготовить сайт к требованиям 152-ФЗ, проверка сайта

Но, можете не тратить время, ведь и так понятно, что сайт не соответствует.

Сразу можно переходить к созданию нужных документов для сайта.

Как подготовить сайт к требованиям 152-ФЗ, создание документов

Для обычного сайта подойдёт бесплатный тариф. Выполнив простые пошаговые инструкции, вы получите два pdf-документа:

  1. политика конфиденциальности;
  2. пользовательское соглашение.

Если что-то не получится или заполните неправильно, всегда можно повторить процедуру. Это бесплатно.

В качестве примера предлагаю посмотреть видео по созданию документов для моего блога.

Что делать с готовыми документами для сайта

Созданные документы нужно будет разместить на сайте. Размещают такие ссылки обычно в подвале сайта. Сделать это можно самому, или используя код, который предоставит сервис после создания документов.

Я создал отдельные страницы, где и разместил содержимое этих документов со ссылкой на сервис. А ссылки на эти страницы разместил в подвале.

А также под формами на сайте нужно добавить текст, примерно такого вида:

Нажимая на кнопку, я принимаю пользовательское соглашение и подтверждаю, что ознакомлен и согласен с политикой конфиденциальности данного сайта

В качестве образца смотрите, как это сделано на моём блоге.

Заключение

Этих действий будет достаточно, для того чтобы привести сайт в соответствии с требованиями 152-ФЗ «О персональных данных».

Конечно, есть ещё требование ФЗ-242 о том, что хостинг и база данных с персональными данными должны располагаться на территории РФ. Но для многих это не проблема, так как хостинги и БД и так находятся в РФ.

Создавайте свою политику, приводите сайты в порядок и спите спокойно. Всем желаю удачи!

С уважением, Максим Зайцев

Адаптивная, SEO подготовленная WordPress тема



Друзья, поддержите блог! Поделитесь статьёй в социальных сетях:


Подписывайтесь на новые статьи!


Оставьте комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Нажимая кнопку «Отправить комментарий», я принимаю пользовательское соглашение и подтверждаю, что ознакомлен и согласен с политикой конфиденциальности этого сайта

73 коммент. к статье “Как подготовить сайт к требованиям 152-ФЗ «О персональных данных»

  • Ирина Гончарова

    Добрый день, Максим.
    1. Получается, свои данные мы выставим всем напоказ, как же так?
    2. Как найти в Украине такую форму, чтобы оформить сайт в соответствии с законами Украины, а так же, чтобы не было противоречий с Российскими законами? Можете помочь ссылкой на похожую статью украинских сайтов, если есть кто на примете, конечно? Я, видно, неправильно ввожу запрос, не могу найти нужного.

    • Максим Зайцев От автора

      Здравствуйте, Ирина. Да, получается именно так, если мы собираем данные пользователей, значит должны открываться сами. По законодательству Украины ничего не подскажу, не изучал этот вопрос.

  • Максим

    Эти документы нужны если удалить форму комментариев с сайта, а вместо обратной связи просто указать адрес электронной почты.

    • Максим Зайцев От автора

      Максим, стандартные комментарии можно заменить на комментарии от соцсетей, а форму обратной связи, да, ссылкой. И никаких форм для подписки. В таком случае никаких нарушений не будет.

  • Ивангай

    Если на сайте используются формы комментирования от vk или fb и др, все равно это нужно?

    • Максим Зайцев От автора

      Нет, не нужно. Но, и других форм по сбору данных не должно быть на сайте.

  • Артем

    Привет, Максим! Как-то не очень по душе мне эти новости. Это получается, теперь каждый владелец сайта должен чуть ли не до трусов раздеться, образно говоря? Вот читаю я статью 2 закона 152-ФЗ, которая гласит, что «целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну».
    Но при этом, одновременно, я, как владелец сайта, должен указать сквозняк не только на свой электронный, но и адрес регистрации по месту жительства, если я правильно понимаю. То есть на мое право неприкосновенности частной жизни всем наплевать получается? Я, например, со своим профессионально деформированным сознанием, представляю такую ситуацию: вот читает какой-нибудь городской сумасшедший некий сайт и что-то ему там не понравилось. Открывает он ссылку с адресом места жительства автора сайта, идет к его дому с флаконом зелёнки или кислоты и плещет ему в лицо, делая инвалидом. Такой вид проявления несогласия с чьим-то мнением сегодня у нас особенно пользуется популярностью. Как с этим быть? Такое развитие событий законодатель предусмотрел? Это, конечно, крайности, но всё в нашей жизни может быть.

    • Максим Зайцев От автора

      Артём, привет. Я тоже совсем не в восторге от новых изменений. И согласен с тобой. Но, законодатели не стремятся нас защищать, им нужен рычаг для манипуляции. Хотят наложить лапу на всё.

  • Елена

    Максим, привет ! Согласна с Артемом.Так же не хочу светить свой адрес регистрации в интернете, с какой стати, я не ИП , не ООО , я такой же как и все интернет пользователь и также, как и все осталные имею право на защиту своих персональных данных. Я ничего не продаю, подписок у меня никаких нет, что до комментариев, так все шаблоны так устроены, что оставляя комментарий пользователь вводит свой электронный адрес, но я ведь его не заставляю оставлять комментарий. а , если пользователь оставляет комментарий, значит он сам соглашается, я же не стою в это время над ним с топором :). И даже не зеленки я боюсь, как писал Артем, хотя и это вполне возможно, а сколько в интернете сейчас мошенников, а они уж, неприменно, найдут способ, как воспользоваться нашими персональными данными.

    • Максим Зайцев От автора

      Елена, привет. Если только одна форма комментариев, тогда можно не переживать и данные не светить. Комментарии всегда можно заменить на комменты от соцсетей или Disqus. Если нет факта сбора и обработки данных, значит и нарушений нет. А такие комменты исключают эти факты.

      • Елена

        Максим, а если убирать форму комментариев, ту что была на сайте, то я так понимаю ранее написанные комментарии тоже исчезнут?

        • Максим Зайцев От автора

          Всё зависит от шаблона, в некоторых можно убрать только форму, а комменты останутся, а в некоторых убирается всё. Тут нужно смотреть код шаблона.

        • Артем

          Елена, в систему сторонних комментариев типа дискус или hypercomments, насколько я знаю, можно импортировать базу стандартных вп-комментов, ранее размещённых на блоге. Есть там такая функция.

          • Елена

            Артем спасибо за наводку, буду изучать, пока для меня это «темный лес».

          • Лариса

            У меня не импортировались ни туда, ни туда

    • Василий

      Это самое опасное. Потому что данные реального человека доступны всем. Делай с ними, что хочешь.

  • Ольга

    Максим, привет. Уточни, а нужно ли подавать заявление в Роскомнадзор, чтобы зарегистрироваться, как оператор персональных данных?

    • Максим Зайцев От автора

      В нашем случае подавать заявление не нужно, мы же не планируем передавать данные третьим лицам.

      • Ольга

        А то, что мы ведем рассылку на сторонних сервисах, это не считается передачей данных третьим лицам?

        • Максим Зайцев От автора

          У них своя политика и пользовательское соглашение, официально мы ничего никому не передаём. И наши базы подписчиков доступны только нам. Да, тут можно подтянуть много вопросов, но они должны возникнуть у контролирующих органов только после подтверждения факта передачи и распространения данных.

  • Елена

    А что если написать свое правило.
    Добавить к форме сбора данных галочку и далее сноску, что оставляя комментарий на сайте, его автор соглашается с тем, что его e-mail и ник будет хранится в БД сайта и он не имеет никаких претензий.

    Т.е без согласия автора комментария, он не сможет добавить свой отзыв. Тем самым, владелец блога никого не заставляет оставлять комментарии.

    Уверен, есть масса юридически грамотных выходов, от этого одностороннего закона.

    Автор комментария обычно оставляет вымышленные email и ник (редко имя), а от владельца сайта требуют полный адрес проживания….

    • Максим Зайцев От автора

      Согласен, что данные комментатора не редко липовые, но таковы требования ФЗ. Разумеется, если добавить к форме предложенную формулировку, то формально ответственность с себя снимаем. Только это не отменяет указания их данных в политике.

  • Артем

    Максим, вот какая мысль посетила по поводу всех этих манипуляций с персональными данными. На мой взгляд, здесь следует разграничивать понятия «персональные данные» и «контактные данные». Вот размещает человек на блоге Имя и Мэйл в форме комментирования. Но являются ли эти данные персональными данными? По-моему, нет. Ведь по этим данным невозможно идентифицировать личность конкретного человека, который оставил коммент, и даже по ip — нет. Даже, если полностью ФИО указать — тоже не персональные данные, если это не уникальные ФИО. Другое дело, когда на сайте интернет-магазина, к примеру, чтобы оформить заказ, требуется указать полные ФИО, адрес, номер телефона и т.д., то есть совокупность идентифицирующих признаков. Тут никаких сомнений, требования 152 ФЗ выполнять надо. Поэтому, считаю, что 152-ФЗ в первую очередь — для бизнеса. Наши бложики тут рядом не пляшут. Ежедневно появляются десятки тысяч сайтов. Я представляю, как «прикурит» РКН, если будет «лопатить» еще и наши бложики))).

    • Артем

      С другой стороны, в новой редакции закона, в ст. 3, персональные данные — ЛЮБАЯ информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Дали настолько широкое определение, что по сути РКН может сюда подтянуть всё что угодно, даже школьное прозвище. Поэтому, будем смотреть судебную практику, а она обязательно появится после 1 июля.

      • Максим Зайцев От автора

        Артем, вот именно, определение персональных данных настолько абстрактно, что сюда можно приплести всё, что угодно. С 1 июля будет видно, как ещё один кривой закон начнёт работать.

  • Oleg

    А если сайт за бугром? то все норм? это только на тех кто русские хостинги и регистраторы юзает распространяется?

    • Максим Зайцев От автора

      Олег, по закону № 242-ФЗ, оператор персональных данных должен быть зарегистрирован на территории РФ, если речь идёт об обработке данных граждан РФ. Если сайт за границей, запретить его работу и организовать проверку будет сложно.

  • Екатерина

    Очень нужная информация. Я все документы создала, вот только вставляю их код в подвал, ничего не происходит, а если ставить в сайдбар то все появляется. Но тем не менее если захожу на сайт проверки и вбиваю свой сайт на соответствие он мне пишет: Важные правовые документы не были найдены.
    Может я что-то не так делаю, неправильно код вставляю, подскажите как решить эту проблему.

    • Екатерина

      Проблему решила, оказывается нужно было выждать время, чтобы все устаканилось. Теперь если я проверяю мне пишут: С сайтом все в порядке
      Ведь он использует наш виджет 😉

      • Максим Зайцев От автора

        Екатерина, такое бывает. Вы правильно сделали, что не стали паниковать. Рад, что всё получилось. 🙂

  • Елена

    Здравствуйте, Максим. Я в теме сайтов новичок, поэтому вопросы могут оказаться глупыми)

    1. Получается, чтобы избежать возни с созданием политики и соглашения нужно:
    а) избавиться от формы подписки;
    б) убрать комментарии ИЛИ заменить на формы комментирования от соц сетей;
    в) вместо формы обратной связи указать лишь почтовый ящик.

    И вроде как проблема решена…. Однако, на сайте 152Ф3.РФ в определении оператора персональных данных в перечне присутствуют социальные сети. И даже картинка соответствующая… Получается, что под перечень попадают все кнопки расшаривания, которые так усиленно используем на каждой странице. И вроде как наоборот, комментирование через СС показывает чуть ли не фото пользователя, в том числе и виджеты СС для групп (возможно от виджетов тоже надо избавляться?). В то время как стандартные комменты можно упростить до логина/псевдонима (не имени) и без почты, если уж совсем параноить…. (Кому нужен ответ на комментарий приходите снова или пишите на почту)

    я запуталась….

    • Максим Зайцев От автора

      Здравствуйте, Елена. Комментарии, кнопки и виджеты СС — это уже сторонние модули, где данные пользователей хранятся в базах данных этих сетей. Вы в этом случае не являетесь оператором персональных данных, так как не имеете доступа к данным пользователей.

  • Елена

    И еще в догонку)))) По поводу регистрации в Роскомнадзоре.

    Вы пишете что заявку подавать не надо, т.к. данные не передаются третьим лицам. Думаю это согласно п. 2.2 статьи 22 ФЗ152. Но в статье речь идет о заключении договора, а у нас «пользовательское соглашение». Разве юридически они равнозначны?
    P.s. Можете конечно послать меня к юристам, но спрашиваю у Вас) Возможно вы там уже были)))

    • Максим Зайцев От автора

      Елена, руководствовался этим пунктом, но с юристами не консультировался. Если уточните, поделитесь информацией! 🙂

    • Максим Зайцев От автора

      Распространяется на все сайты, находящиеся на территории РФ, и занимающиеся обработкой персональных данных. Форумы, где нужно пройти регистрацию не исключение.

        • Максим Зайцев От автора

          Здравствуйте, Аркадий. Главным требованием здесь является — база данных должна находится на территории РФ. Так что если сайта работает с российскими посетителями и обрабатывает данные, должен соблюдать этот закон.

  • Юлия Ларичкина

    Здравствуйте, Максим! Мой сайт находится в зоне .ru, но хостинг где-то в Европе (Офферхост). Переходить на другой хостинг не планировала (только этот освоила, всё устраивает, да и не знаю, как переходить). Как быть? За это могут оштрафовать тоже, даже если я сделаю документы и размещу их на сайте?

    • Максим Зайцев От автора

      Здравствуйте, Юлия. Напишите в службу поддержки хостинга и узнайте, как они работают с официальными запросами проверяющих органов. Если они на официальный запрос предоставят нужные данные, тогда можно не переезжать. Если же нет, нужно будет переносить сайта на российский хостинг или убирать все формы с сайта.

  • Лара

    Максим добрый день. Я тоже немного запуталась с этими документами и сделала немного по своему. Я создала документы пдф, скачала, раскодировала, перевела в ворд и немного поправила для своего сайта, удалив свои данные с адресом, как-то мне не по себе светить все вплоть до номера квартиры. Решила от греха убрать фидбернер и вычистить форму комментов, оставив только имя. Решила прикрепить чекбокс с ссылкой на политику. Страницы я создала, но вот думаю, нужно их закрыть от индексации? Ведь они неуникальные? Ида, сервис правовые документы не находит. Это из-за того, что я удалила с текста свои данные? или из-за того, что вообще это не пдф на сайте?

    • Максим Зайцев От автора

      Здравствуйте, Лара. Страницы, если вы их сделали внутренними страницами сайта можете не закрывать, уникальность для них совсем не главное. Сервис не находит правовые документы, так как ищет по заданным критериям. Сказать, что именно он не нашёл трудно. Но, отсутствие адреса в политике — это нарушение требований ст. 9 ФЗ-152. Такие у нас законы 😉

  • Виктор

    Добрый день, Максим.

    А как определяется, что тот или иной сайт подпадает под действие закона 152-ФЗ «О персональных данных»? Если доменное имя зарегистрировано российским регистратором? Если владелец сайта является резидентом РФ? Или если сайт находится в доменной зоне .ru?

    • Максим Зайцев От автора

      Здравствуйте, Виктор. Да, сайты в зоне RU, SU, РФ однозначно подпадают под действие закона. И все остальные, кто работает с российскими пользователями и обрабатывает их данные.

  • Сергей

    Добрый день, Максим
    Я являюсь гражданином другой страны (РБ), сайт зарегистрирован в зоне ru. хостинг Хостия (Германия). Как быть? За это могут оштрафовать тоже, даже если я сделаю документы и размещу их на сайте?

    • Максим Зайцев От автора

      Сергей, к вашему сайту могут быть применены только ограничения на посещения пользователей из России. Штраф вы точно не получите, закон распространяется на территории РФ.

        • Максим Зайцев От автора

          Сергей, штраф вы не получите, но сайт для пользователей РФ могут заблокировать. Но, для этого должно быть основание, так что пока переживать нет смысла.

  • Виктор

    Привет Максим, скажи а можно на одной странице разместить пользовательское соглашение и политику конфиденциальности?

      • Василий

        А зачем создавать дополнительное пользовательское соглашение? В законе говорится о политике конфиденциальности. Можно же там все, что нужно отразить.

        • Максим Зайцев От автора

          Да, можно всё в один документ совместить, если это будет удобно.

  • Вячаслав

    Здравствуйте. Действие закона распространяются на сайты в зоне COM? Сервер в Германии, зона домена com, сам я из РФ.? В этом случаи как? Не могу найти ответ на этот вопрос вообще нигде!((

    • Максим Зайцев От автора

      Здравствуйте, Вячеслав. Да, распространяется. Размещайте политику и соглашение. И уточните у хостинга, какие они предоставляют данные по запросу органов других стран.

      • Вячаслав

        Максим? а Вы как ИП работаете? Я просто вот к чему. У Вас в политике указан адрес проживание. Он же доступен каждому человеку который может зайти на Ваш блог! Абсурдная ситуация получается. По закону Вы обязаны позаботится о чужих данных, а свои выставить на показ. О какой защите тут может быть речь?

        Я что подумал. может такое соглашение, где прописывается личный адрес проживание только для бизнесменов, а мне как физ лицу составят соглашение где не будет указан мой адрес?

        Пока думаю просто убрать поле E-mail в комментах. Обратной связи у меня нет. Уведомлении о cookies так уж и быть, выставлю.

        • Максим Зайцев От автора

          Вячеслав, нет никакой разницы, как вы работаете. В ФЗ указание адреса является обязательным требованием для всех операторов персональных данных. Если не хотите светить адрес, уберите все формы и переделайте комментарии.

          • Вячаслав

            Да, Максим, уже переделал форму. Заблокировал поля Имя и Сайт. поле E-Mail вовсе удалил. Поскольку сайт мой находится в Германии. Из базы данных удалил все Имена, E-Mail адреса и IP тоже. Теперь люди могут оставить комментарий только заполнив поле для текста комментария и все, при отправки комментария WordPress не будет заносить IP комментатора в базу и хранится в Германии он соответственно не будет!!

            При таком раскладе я не нарушаю этот чудесный закон? И, если позволю людям заполнять поле «Ваш сайт» надеюсь не чего страшного. Надеюсь адрес сайта не является персональной информацией?

          • Максим Зайцев От автора

            При таком раскладе, к вам претензий быть не должно!

  • Андрей

    Доброго времени Максим. Скажи пожалуйста,вот у тебя в низу на сайте всплывает плашка с надписью:» (Мой блог использует cookie-файлы)».
    Такое уведомление обязательно устанавливать на свой сайт, или это сам движок wordpress по умолчанию выводит?

    • Максим Зайцев От автора

      Здравствуйте, Андрей. Это сообщение выводится плагином Cookie Notice by dFactory, и не столько для ФЗ, сколько в качестве требования AdSense.

        • Андрей

          Максим, еще один вопрос по теме cookie файлов. Если не выводить эту надпись то ,что грозит за это? Можно ли просто в футере сайта сделать ссылку на использования файлов cookie и открывать ее например в popup окне?

          • Максим Зайцев От автора

            Андрей, никаких санкций за это не предусмотрено. Это требование Google, так как по закону стран ЕС, вебмастер обязан уведомлять посетителей об использовании cookie. Сообщение можно вообще не выводить, если у вас мало посетителей из стран ЕС.

  • Андрей Петров

    Максим, спасибо за полезную статью. Я тоже видел этот сервис пару недель назад- показалось очень подозрительным, что нужно оставлять свой телефон, почту. Явно что-то продавать потом будут. Вам не звонили после регистрации? Не «впаривали» ничего?
    Меня это оттолкнуло, не стал заканчивать формирование документа там. В итоге нашел нормальный генератор пользовательского соглашения, простой и без всяких заморочек вот здесь: https://advegital.com/solutions/politika-obrabotki-personalnykh-dannykh-obrazets.html
    Пишут, что тоже полностью соответствует законодательству.

    • Максим Зайцев От автора

      Здравствуйте, Андрей. И воспользовался бесплатным предложением, никакой регистрации там не нужно, только данные, которые будут в пользовательском соглашении. Никаких предложений о покупке мне не поступало. Спасибо, что поделились ещё одним источником!

  • Марат

    Привет Максим!
    Я воспользовался услугами сайта 152фз.рф. За 490р установил виджет и мне его настроила тех.поддержка сайта.
    + еще дали промокод на 50% скидку.

    • Максим Зайцев От автора

      Марат, привет! Посмотрел реализацию на твоём сайте, все сделано качественно! А код всегда можно использовать для второго сайта или поделиться с другом.

  • Лана Валерьевна

    Нам фрилансер помогал делать формы на https://ucalc.pro/ так там какая-то опция под ФЗ-152 уже готовая, так что мы без проволочек отправили на проверку сайт и все благополучно прошли.

    • Максим Зайцев От автора

      Лена, ucalc действительно имеете множество фишек, которые сегодня внедряют многие, формы обратной связи, формы расчётов и так далее. Ваш спец сделал верный выбор, так как в дальнейшем сопровождение таких форм упрощается, нежели индивидуальная разработка.