Как защищая персональные данные, защитить свой сайт?

Как защищая персональные данные, защитить свой сайт?

С 1 июля 2017-го года вступят в силу поправки в закон о защите персональных данных (далее ПД). К сожалению, мало кто из владельцев сайтов внимательно следил за дебатами о поправках, так что интересы интернет ресурсов, прежде всего магазинов, никто не учёл. О том, какие изменения внесены, можно почитать на официальных сайтах. Мы же обойдёмся без казуистики, постаравшись перевести на человеческий язык какие подводные камни подложили законодатели интернет ресурсам. И попробуем разобраться, какие меры необходимо предпринять, чтобы Ваш сайт не заблокировали по жалобе посетителя «до выяснения ...и полного устранения».

Смысл основных изменений и логика законодателя при защите ПД

Строго говоря, закон о защите ПД одна из составляющих приведения законодательства РФ к нормам международного права. Дело благое, но пословицу про благие дела все знают. Так что смотрим основные изменения:

  • Закон существенно расширил основания для привлечения к ответственности за нарушения положений закона о ПД. Увеличены размеры штрафов, добавлено 6-ть видов административной ответственности, увеличены сроки уголовной ответственности. В практическом применении к интернет ресурсам вводится норма «блокирование доступа до выяснения». Иначе говоря, заявитель указывает на нарушения, отправив жалобу, и вам не дают время на устранение, а сначала блокируют сайт. Очевидно, что эта норма вводится как раз для того, чтобы заставить владельцев ресурсов подсуетиться «до выяснения».
  • Детали. Закон уточняет состав ПД, цели сбора персональных данных, вводит поправки в данные, отнесённые к «семейной» и «личной» тайне. Вот эти списки как раз возьмите из закона и изучите. Необходимо исключить все данные, которые могут составить тайну. Вероисповедание, внебрачные дети, дополнительные доходы и пр. Изучите список и будьте аккуратнее с опросами на своих сайтах. По новому закону такой опрос легко потянет не на закрытие сайта, а уголовную ответственность с реальным сроком!
  • Суммарная ответственность за сбор, распространение и использование ПД в целях получения выгоды или иных целях (тут формулировки так размыты, что любая передача базы данных пользователей будет судом отнесена к противоправному деянию). Для сайта это выглядит как нарушение закона о ПД при сборе данных (например, покупателей в магазине), продажа этой базы на сторону или покупка такой базы для спам рассылки. Лазейка для смягчения ответственности одна – взлом вашей БД, но при этом наступит административная ответственность по этому же закону. Уголовной ответственности избежите, но штраф до 50 000 рублей заплатите. А конкретный виновник утечки ещё и обязательные работы до 360 часов получит. Имеет смысл оценить риски такой рекламы уже сегодня.
  • Вводится ответственность за отсутствие на сайте двух документов в открытом доступе. Политика обработки ПД, где вы обязаны отразить перечень ПД, цель сбора ПД, срок хранения ПД  и пообещать никому эти данные не передавать. Второй документ это согласие пользователя обработку его ПД. Здесь перечень должен точно совпадать с тем, что пользователь указывает в форме (например, заказа в интернет магазине). Исключите всё лишнее, отчество, второй телефон, второй емейл и пр. Состав ПД и срок хранения в «согласии» и в «политике» должны совпадать до запятой.
  • Все операторы ПД обязаны назначить ответственных за обработку ПД. Для сайтов прямого указания нет, но желательно подстраховаться и указать ответственного в «Политике обработки ПД». Намекать не будем, но не стоит таким лицом указывать директора.

В остальном, изменения технические и никаких действий не требуют. Кстати о действиях, если вы уже читаете изменения в законе, то ознакомьтесь с нашими рекомендациями, что нужно сделать до 1 июля 2017-го года, чтобы продолжать спокойно работать.

Практические мероприятия для приведения ресурса к требованиям нового закона о защите ПД

Больше в детали вдаваться не станем, просто перечислим, что имеет смысл сделать.

  • Проанализировать глубину хранения вашей базы ПД по времени. Разумно оставить часть данных, совпадающую по срокам с остальными документами, остальное переместить в архив вне ресурса. Это относится и к «истории заказов» и остальным «личным кабинетам». Разошлите пользователям уведомление об удалении данных в связи с новым законом. Многие, особенно если намекнуть на потерю скидок, попросят эти данные сохранить.
  • Разместить (желательно на главной странице и без всяких мелких шрифтов) «Политика обработки ПД «имя сайта»» и «Согласие на обработку ПД».  В документах обязательно укажите ваш перечень мероприятий по защите базы ПД! Положения документов возьмите из закона, пример для интернет-магазина может выглядеть так. «Ваши ФИО, адрес и телефон ... Счет в банке... необходимы, чтобы обеспечить доставку и оплату заказанного Вами товара. Ваши ПД не будут использованы, хранить мы их будем до окончания срока гарантии на приобретённый товар». Разумеется, это лишь пример.
  • Пересмотрите все формы сайта, где пользователи оставляют свои данные. Времена меняются, и многое можно просто исключить, чтобы обеспечить себе спокойную работу. Отдельно в этой форме добавьте кнопку «Запрос на полное удаление моих ПД». При обращении пользователя через эту форму, не раздумывая, удаляйте все его ПД.
  • Отдельно обработайте форумы. ФИО, телефоны и пр. в постах теперь ваша ответственность. По новым поправкам распространяет ПД не автор сообщения, а вы, как владелец ресурса. Формальная отписка «администрация сайта не несёт ответственности за сообщения» с 1 июля 2017-го года не будет приниматься во внимание.
  • Проверьте архивы опросов, если есть сомнения в плане ПД, удалите эту информацию. В новых опросах исключите возможность голосовать авторизованным пользователям, или включите в «Политику ПД» положения о том, что ПД в опросах не фиксируются.

Проверьте свой сайт в целом на соответствие новым требованиям. Логика действий понятна, а нам трудно предположить, где именно на ваших страницах может быть «мина замедленного действия». Но стоит «подсуетиться» и обезвредить её до 1.07.2017-го.

Правильные апдейты

Продвижение сайтов

Задать вопрос