Рекомендации для компании по соблюдению Федерального закона № 152-ФЗ «О персональных данных»
Чтобы сайт компании соответствовал требованиям закона, необходимо выполнить следующие шаги:
1. Получение согласия на обработку персональных данных
Явное согласие: Разместите на сайте форму согласия (чек-бокс) для сбора данных.
Согласие должно быть:
Конкретным (указаны цели обработки: например, регистрация, рассылка).
Информированным (пользователь понимает, какие данные собираются и зачем).
Возможность отзыва (ссылка на отзыв согласия в каждом письме или в личном кабинете).
Для специальных категорий данных (здоровье, биометрия и т.д.) и биометрических данных — требуется письменное согласие (например, подписанный документ).
2. Публикация политики конфиденциальности
Разработайте и разместите на сайте Политику обработки персональных данных, которая включает:
Цели обработки данных.
Перечень собираемых данных (например, ФИО, email, телефон).
Способы обработки и хранения.
Сроки хранения данных.
Права пользователей (доступ, исправление, удаление данных).
Контакты оператора (компании) и ответственного за обработку данных.
Политика должна быть доступна на русском языке и размещена в открытом доступе (например, в футере сайта).
3. Обеспечение безопасности данных
Технические меры:
Используйте HTTPS для защиты передачи данных.
Регулярно обновляйте ПО и проводите аудит безопасности.
Шифруйте (пароли, платежные реквизиты).
Ограничьте доступ к данным только необходимым сотрудникам.
Организационные меры:
Назначьте ответственного за обработку персональных данных (ст. 22.1).
Разработайте внутренние регламенты по работе с данными.
Обучите сотрудников правилам обработки ПДн.
4. Уведомление Роскомнадзора
Если компания обрабатывает данные с использованием автоматизации (например, через сайт), подайте уведомление в Роскомнадзор (ст. 22).
Исключения: данные обрабатываются для личных нужд, в рамках трудовых договоров или госуслуг.
5. Обработка запросов пользователей
Предоставьте пользователям возможность:
Запрашивать доступ к своим данным (ст. 14).
Требовать исправления неточных данных.
Отзывать согласие и удалять данные (ст. 21).
Установите срок ответа на запросы — 10 рабочих дней (может быть продлен до 15 дней).
6. Работа с cookies и аналитикой
Для использования cookies (кроме технически необходимых) запрашивайте согласие через pop-up-баннер.
Укажите в политике конфиденциальности, какие cookies используются и зачем.
7. Трансграничная передача данных
Если данные передаются за рубеж (например, в облачное хранилище):
Убедитесь, что страна входит в перечень Роскомнадзора с адекватной защитой (ст. 12).
Или получите согласие пользователя на передачу.
8. Уничтожение данных
Удаляйте данные, когда они больше не нужны для заявленных целей.
Используйте безопасные методы удаления (например, полное стирание, а не простое удаление из базы).
9. Документирование процессов
Ведите журнал обработки данных с указанием:
Целей обработки.
Категорий данных.
Сроков хранения.
Мер безопасности.
Сохраняйте доказательства получения согласий (логи, скриншоты форм).
10. Регулярный аудит
Проводите проверки на соответствие закону:
Соответствует ли сбор данных заявленным целям?
Актуальна ли политика конфиденциальности?
Надежны ли меры безопасности?
Исправляйте нарушения в срок до 30 дней.
11. Штрафы за нарушения
Для юрлиц: до 6 млн рублей (ст. 13.11 КоАП РФ).
Риск блокировки сайта при утечке данных.
Соблюдение закона требует комплексного подхода — от технической защиты до прозрачного информирования пользователей. Регулярно обновляйте процессы в соответствии с изменениями законодательства (например, учтите поправки 2022–2024 гг. о трансграничной передаче и инцидентах).