Какие данные будут проверять
- 1. Хостинг сайтаДанная проверка определяет в какой стране размещен хостинг
- 2. Cookie и аналитикаНаличие на сайте сбора cookie и использование сервисов веб-аналитики Яндекс.Метрика и Google Analytics
- 3. Формы сбора данныхНаличие форм сбора ПДн на сайте («Обратная связь», «Задать вопрос», «Оставить комментарий» и т.д.) и ссылки на согласия под каждой формой!
- 4. ПолитикаНаличие Политики по обработке персональных данных на сайте
- 5. Фото, видео, данные физ. лицНаличие на сайте фотографий сотрудников или клиентов без законных оснований
-
Шаг 1. Проверка хостинга и локализации баз данных
Ситуации, например, когда оператор хранит персональные данные в Google Docs или использует на сайте Google Analitycs, Goodle Form является нарушением требования о локализации баз данных ст. 6 ч.4 п.7 "Об информации, информационных технологиях и о защите информации"
Использование этих сервисов является трансграничной передачей данных. По закону, персональные данные российских пользователей нужно хранить на серверах в России. Google не располагает серверами на территории РФ, а это значит, что любые персональные данные, оставленные в такой форме, автоматически переносятся на зарубежные серверы. Это приводит к нарушению требований закона о локализации баз данных.
Чтобы использовать данные ресурсы необходимо выполнить следующие шаги:
Если ваш сайт размещен на серверах расположенных за границей, это тоже буден являться нарушением требования о локализации баз данных. Проверить это можно с помощью сервиса Whois
Использование этих сервисов является трансграничной передачей данных. По закону, персональные данные российских пользователей нужно хранить на серверах в России. Google не располагает серверами на территории РФ, а это значит, что любые персональные данные, оставленные в такой форме, автоматически переносятся на зарубежные серверы. Это приводит к нарушению требований закона о локализации баз данных.
Чтобы использовать данные ресурсы необходимо выполнить следующие шаги:
- Подать уведомление в Роскомнадзор о трансграничной передаче данных
- Внести сведения о трансграничной передачи данных в Политику и иные локальные акты организации.
Если ваш сайт размещен на серверах расположенных за границей, это тоже буден являться нарушением требования о локализации баз данных. Проверить это можно с помощью сервиса Whois
Шаг 2. Проверка файлов cookies
Предупреждающий баннер об использовании файлов cookies должен открываться при первом входе на сайт, с любой страницы, куда зашел посетитель сайта, в т.ч. в мобильной версии сайта. С баннера должна быть ссылка на Согласие на обработку персональных данных.
Информация о применении файлов cookies также необходимо отразить в Политики обработка персональных данных, указав какие файлы используются и как можно их отключить.
Проверить какие файлы cookies есть на вашем сайте и какие метрические системы используются можно через сервис Cookie Ccript
Информация о применении файлов cookies также необходимо отразить в Политики обработка персональных данных, указав какие файлы используются и как можно их отключить.
Проверить какие файлы cookies есть на вашем сайте и какие метрические системы используются можно через сервис Cookie Ccript
Примеры правильных баннеров
Шаг 3. Проверка форм обратной связи и наличие согласия
Под каждой формой обратной связи должна размещаться ссылка на текст Согласия на обработку персональных данных.
Нельзя ставить предустановленные галочки!
Нельзя объединять согласие на обработку персональных данных и согласие на получение рекламной рассылки. Одно согласие должно предусматривать одну цель обработки.
Нельзя ставить предустановленные галочки!
Нельзя объединять согласие на обработку персональных данных и согласие на получение рекламной рассылки. Одно согласие должно предусматривать одну цель обработки.
В примерах ниже пользователь соглашается с Политикой обработки, хотя такого требования в законе нет. И в таком варианте Роскомнадзор может наказать за сбор персональных данных без письменного согласия. Ссылка должна быть на текст Согласия на обработку перс. данных.
Это правильный вариант оформления формы.
Дача согласия это всегда действие. Это может быть либо проставление галочки либо нажатие на кнопку.
Дача согласия это всегда действие. Это может быть либо проставление галочки либо нажатие на кнопку.
Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным.
Содержание Согласия:
Содержание Согласия:
- Сведения об операторе (официальное наименование/ИП, реквизиты)
- Цель обработки персональных данных;
- Перечень персональных данных, на обработку которых дается согласие;
- Перечень действий с персональными данными;
- Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва (согласие не может быть бессрочным).
Если форма нужна для заключения договора (консультация, покупка гайда, бронирование конкретного тура), то брать согласие не надо. Сам договор и будет правовым основанием для обработки персональных данных.
Поэтому пользователь должен проставить галочку, что он согласен с условиями договора
Поэтому пользователь должен проставить галочку, что он согласен с условиями договора
Если Вы на сайте предлагаете подписаться на информационную рассылку, то необходимо взять отдельное согласие.
Шаг 4. Проверка политики обработки персональных данных
ч. 2 ст. 18.1 "Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети."
Самое удобное мосто для размещения Политики - подвал сайта, с условием, что подвал виден на всех страницах сайта.
Нет требования знакомить субъекта с Политикой. Политика должна быть доступна для ознакомления (свободна для чтения).
Требование к содержанию:
Самое удобное мосто для размещения Политики - подвал сайта, с условием, что подвал виден на всех страницах сайта.
Нет требования знакомить субъекта с Политикой. Политика должна быть доступна для ознакомления (свободна для чтения).
Требование к содержанию:
- Информация об операторе, его контактная информация
- Цели обработки персональных данных
- Субъекты, категории и перечень обрабатываемых данных, способ обработки, срок хранения, порядок уничтожения (описывается в отношении каждой цели)
- Правовые основания обработки (в отношении каждой цели)
- Перечень мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных законом
- Информация о передаче оператором данных третьим лицам
- Информация о метрических программах и cookie. Проверить какие файлы cookies есть на вашем сайте и какие метрические системы используются можно через сервис Cookie Ccript
Шаг 5. Фото, видео, данные клиентов и работников
Нельзя размещать фото, видео, ФИО, контактные данные субъекта персональных данных без его письменного согласия на распространение. За исключением случаев, когда это является обязанностью оператора (образовательные, медицинские услуги).
Форма согласия установлена приказом Роскомнадзора от 24.02.2021 № 18.
Согласие должно содержать:
Форма согласия установлена приказом Роскомнадзора от 24.02.2021 № 18.
Согласие должно содержать:
На сайте необходимо разместить фразу "Персональные данные опубликованы на сайте при наличии правовых оснований в соответствии с ч. 1 ст. 6 и ст. 10.1 152-ФЗ. Субъектами установлены условия и запреты на обработку неограниченным кругом лиц опубликованных персональных данных»
Со всеми, чьи фото или видео размещаются на сайте подписывать согласие на распространение
