Наверное, я попаду в точку, если скажу, что едва-ли не каждого кто создает сайты на заказ интересует их соответствие текущим законам о персональных данных. Правомерный сбор электронной почты, имени, фамилии, номеров телефонов... обработка этих данных и законное их использование.
Что мы должны сделать на сайте, чтобы санкции обошли нас стороной? Как настроить сайт для соответствия требованиям 152-ФЗ и GDPR?
152-ФЗ
Итак, по порядку. Федеральный закон №152-ФЗ "О персональных данных".
Сам закон был принят еще в далеком 2006 г., но вот с 22 февраля 2017 года вступили в силу положения, регулирующие вопросы о передаче, обработке и хранении персональных данных. Закон обязывает владельца сайта, который занимается сбором и хранением персональной информации, иметь на сайте политику конфиденциальности и пользовательское соглашение на обработку персональных данных. Ужесточение российского законодательства связано с ужесточением аналогичного законодательства в ЕС.
Так, если на сайте есть форма обратной связи и в ней нет ссылки на соглашение на обработку персональных данных, то компания (владелей сайта) должна будет заплатить 50 000 рублей за несоблюдение этой нормы. Если же отсутствует ссылка на политику конфиденциальности, то индивидуальных предпринимателей за это оштрафуют на 10 000 рублей, компанию - на 30 000 рублей.
Все, кто так или иначе собирает персональные данные с пользователей, будь то электронная почта или данные фамилии и имени является оператором персональных данных. Любые данные о человеке, по которым его можно идентифицировать считаются персональными. Например, ФИО, адрес, телефон, дата рождения, фотография, ссылки на профили социальных сетей и т.п. При чем не важно, реально ли вы используете получаемую от пользователей информацию или нет, вы ее получаете, а значит потенциально являетесь оператором персональных данных.
Дак что делать с сайтом-то?
1. Убедитесь, что база данных и хостинг, на котором храниться ваш сайт находятся на территории РФ. Потому, как иначе, мало-ли... Вдруг вашего хостинг провайдера заблокируют на территории Российской Федерации и вы не сможете больше получить доступ к вашим сайтам. Убедитесь, что дата-центры вашего провайдера перенесены в Россию, как это сделали, например, Битрикс24 в момент запуска новых поправок закона.
2. В каждой форме сбора данных должно быть уведомление об обработке этих данных. В форме должен быть чекбокс "Я даю свое согласие на обработку персональных данных". Как вариант, в форме может быть надпись "Нажимая на кнопку "Отправить", вы даете свое согласие на обработку персональных данных". Иначе говоря, вам следует как-то уведомить пользователя о том, что данные, которые он отправляет могут подвергаться обработке и хранению.
3. Кроме того настраивая сайт для соответствия 152-ФЗ следует позаботиться о том, чтобы с каждой страницы сайта можно было перейти в раздел "Пользовательского соглашения" и "Согласия об обработке персональных данных". Это может быть ссылка на отдельную страницу или файл/документ. Обычно, для этих целей, чтобы не заморачиваться, юридическую информацию размещают в подвале сайта, оформляя нужные ссылки в виде меню.
4. Всем новых пользователям следует показывать предупреждение о том, что на сайте собирается персональная информация (cookie, данные об IP-адресе и местоположении). Уведомите посетителя о том, что сбор необходим для функционирования сайта и, если он не хочет, чтобы эти его данные обрабатывались, то должен покинуть сайт.
Вопрос о показе cookie уведомления на сайте Drupal 8 можно закрыть установив модуль EU Cookie Compliance. Он отлично подходит для cookie уведомления и позволяет добавить ссылку на соглашение прямо во всплывающем сообщении.
Полезный сервис для проверки соответствия требованиям 152-ФЗ: https://152фз.рф.
General Data Protection Regulation (GDPR)
25 мая 2018 года вступил в действие Регламент (ЕС) N 2016/679 Европейского парламента и Совета ЕС от 27 апреля 2016 о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС.
Если проще, то GDPR, он же General Data Protection Regulation, он же Общий Регламент о защите персональных данных, это европейский закон о персональных данных, который несколько усложняет требование к работе с персональными данными и делает недостаточным простое следование ФЗ-152,242.
Если вы живете на территории РФ, например, но у вас есть клиенты или посетители сайта из стран Европейского Союза, то соблюдение данной директивы также распространяется и на ваш интернет ресурс. При чем не важно, где зарегистрирована компания и есть ли у ней представительства в странах ЕС и где осуществляется обработка персональных данных, даже в случае, если пользователь не гражданин ЕС, но временно находиться в нем.
Европейский аналог 152-ФЗ расширяет определение персональных данных - теперь в дополнение, к идентифицирующей информации типа имени, фамилии, адреса электронной почты и даты рождения присовокупляется информация о рассовой и этнической принадлежности, религиозном вероисповедании, философских взглядах, о здоровье, сексуальной ориентации, членствах в профсоюзах и иных некоммерческих организациях.
Как настроить сайт для соответствия требованиям GDPR?
Так же, как в случае с 152-ФЗ применение GDPR предполагает наличие организованного процесса использования данных - он должен включать сбор, обработку, хранение, защиту и уничтожение по требованию пользователя.
Технически все также:
На сайте также должно быть размещено уведомление об использовании cookie сборе персональных данных.
Все формы обратной связи также должны иметь подписи и уведомления о том, что в случае отправки формы данные пользователя могут быть обработанны.
Так же на сайте должна быть правовая и юридическая информация, аналог политики конфиденциальности и пользовательского соглашения.
Полезные модули для Drupal 8:
General Data Protection Regulation
Если вам понравилась статья, оставляйте свой комментарии и лайки ниже! Делитесь ссылкой со своими друзьями в соцсетях, чтобы полезной информации в мире стало больше :)