Защита персональных данных (ПДн) для интернет-проекта

Мы разработаем и поможем внедрить юридическую документацию, связанную с работой организации онлайн: Документы, для легитимной работы с ПДн сайта, платформы и др., регистрацией пользователей и реализацией проекта: 

  • Пользовательское соглашение
  • Политика конфиденциальности
  • Правила работы с ПДн
  • Согласие на обработку ПДн
  • Согласие на обработку биометрических ПДн (с возможностью использования в маркетинговых целях)
  • Согласие на распространение персональных данных
  • Прочие документы по информационной безопасности (по желанию Заказчика)

Вы получаете: Пакет документов для легитимной работы проекта, помощь в выборе правовых конструкций, который поможет исключить риски, связанные с возможным выявлением контролирующими/надзорными органами нарушений законодательства при реализации проекта, в случае споров с пользователями, подрядчиками (особенно по Закону о защите прав потребителей и Закону о персональных данных).

Защита персональных данных (ПДн) для интернет-проекта - услуги RTM Group
Защита персональных данных (ПДн) для интернет-проекта - от RTM Group
Узнать стоимость?

Эксперты по защите персональных данных для интернет-проекта

Эксперт по защите персональных данных для интернет-проекта Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты
Эксперт по защите персональных данных для интернет-проекта Царев Евгений Олегович

Царев Евгений Олегович

Эксперт в сфере информационной безопасности

Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года

Профиль >>

Все эксперты
Эксперт по защите персональных данных для интернет-проекта Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО “ВГУИТ”

Профиль >>

Все эксперты

Персональные данные на сайте

Первое, на что стоит обратить внимание при работе с интернет-сайтом – это категория информации, попадающей на него. Для того, чтобы определить, может ли она быть отнесена к персональным данным, следует обратиться к закону о персональных данных № 152-ФЗ, согласно которому это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). К простым примерам персональных данных можно отнести место и дату рождения, номер мобильного телефона. К более сложным – IP-адрес, адрес электронной почты, биометрические данные.

 

Являются ли IP-адрес и cookie персональными данными?

На практике нередко встречаются ситуации, когда в одном судебном решении IP-адрес ОТНОСИТСЯ к категории персональных данных:

Пример. Решение от 11.02.1016 г. по делу № А76-29008/2015 по иску ООО «Медицинская клиника «ЭФ ЭМ СИ» к Управлению Федеральной антимонопольной службы по Челябинской области о незаконности проведения Челябинским УФАС России опроса в интернете о том, является ли изображение Красного Креста в рекламе ООО Медицинская клиника «ЭФ ЭМ СИ» сходным с символом Международного комитета Красного Креста, поскольку если анонимным посетителям сайта разрешено отвечать на вопросы, то они идентифицируются по IP-адресу компьютера (персональным данным), с которого был дан ответ).

а в другом – IP-адрес НЕ ОТНОСИТСЯ к категории персональных данных:

Пример. Постановление от 1.07.2015 г. по делу № А56-75017/2014 по иску ООО «Максима Лигал» к Мануйловой Владиславе Сергеевне об удалении из персонального блога на Интернет-сайте «Живой журнал» статьи. Было установлено, что сведения об IP-адресах, которые просит истребовать истец, не являются сведениями о персональных данных.
В соответствии с законом о персональных данных обработка начинается тогда, когда с персональными данными начинают производиться какие-либо действия. Кроме того, несмотря на регулярные проверки Роскомнадзора, ИТ-юристы довольно часто имеют дело с организациями, осуществляющими обработку данных, но отсутствующими в реестре, что может привести к отказам крупных государственных (например, в части госзакупок) и частных заказчиков.

Любой сайт должен показывать всем новым пользователям предупреждение с текстом о том, что он собирает персональные данные пользователя (cookie, данные об IP-адресе и местоположении) для функционирования сайта.

Исключение при попадании в реестр – обработка персональных данных после получения согласия субъекта.

 

Получение согласия на обработку персональных данных на сайте

В данном вопросе необходимо определить, получено ли согласие на обработку не от субъекта, а со стороны третьих лиц. Нередки случаи, когда компании все же производят обработку данных, полученных не от субъекта напрямую.
Пример. Сервисы Wildberries и Aliexpress, а также Рестораны совершенно точно сообщают часть полученных от субъекта персональных данных курьерским службам для осуществления доставки и, следовательно, обязаны получить согласие на обработку непосредственно от субъекта, что является невозможным ввиду отсутствия контакта с ним напрямую, а по телефону его получить нельзя.

Данная проблема может быть решена с помощью заключения договора между оператором и сторонней организацией, в котором указано, какие персональные данные будут передаваться, с какой целью обрабатываться, когда они будут подвержены удалению, и, самое главное, обязательство получения согласия субъекта персональных данных на передачу их сторонним организациям. В судебной практике немало случаев возникновения исков от физических лиц к финансовым организациям за обработку персональных данных, переданных туда потенциальным заемщиком, без согласия. Например, решение № 2-2652/2015 2-43/2015 2-43/2016 2-43/2016(2-2652/2015;)~М-2596/2015 М-2596/2015 от 3 февраля 2016 г. по делу № 2-2652/2015 по иску Скуратова М.В. к АО «Банк Русский Стандарт» о признании незаконными действий АО «Банк Русский Стандарт» при осуществлении обработки его персональных данных в форме телефонных звонков.

 

Получение согласия на распространение персональных данных на сайте

Помимо получения согласия на обработку персональных данных, необходимо позаботиться о получении согласия на распространения персональных данных. Важно то, что данное согласие должно быть отдельно от первого, совместить их нельзя. Без наличия данного согласия оператор не имеет права распространять и передавать третьим лицам персональные данные физического лица.

 

Документы по защите персональных данных для сайта

В компании также должен быть назначен ответственный за сбор и обработку персональных данных, а на её сайте должны быть доступны три документа – согласие на обработку персональных данных, согласие на распространение персональных данных и политика обработки персональных данных.

Документы по защите персональных данных
В тексте должна быть ссылка на документ — Пользовательское соглашение, договор или согласие на обработку персональных данных. Текст самого документа можно разместить на отдельной странице. Также нужно указать информацию о том, как физическое лицо может отозвать свое согласие на обработку персональных данных, то есть предоставить посетителям сайта возможность по распоряжению своими персональными данными через обращения по электронной почте. Для этого можно указать email-адрес в политике обработки персональных данных.
Небольшие сайты используют бесплатные онлайн-конструкторы для стандартных документов, однако для крупных проектов такой подход неприменим из-за большого объема специфики и совершенно другого уровня рисков за ошибку.

 

На что и как сайту получать согласие на обработку персональных данных?

Помимо всего прочего, важна поэтапность сбора информации. ИТ-юристы нередко встречают в согласиях пункт, под которым клиент соглашается на обработку его данных за пределами Российской Федерации, и это не является нарушением закона, поскольку лишь первичный сбор данных необходимо осуществлять на своей территории. Далее же сервер, на который попадают данные, может находиться в любой стране, где может располагаться, к примеру, компания, оказывающая услуги, главный или дополнительный офис. Роскомнадзором выделены две категории стран – страны, предоставляющие и не предоставляющие адекватную защиту персональных данных. Во втором случае необходимо указать эту информацию в документе согласия на обработку персональных данных и взять согласие на подобного рода передачу.

Согласно 152-ФЗ о персональных данных, трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Итак, согласие на обработку персональных данных в обязательном порядке должно содержать следующее: какая информация обрабатывается, с какой целью и каким образом это происходит, а также сроки данной обработки.

Что должно включать в себя согласие на обработку ПДн

Важно! Согласие на обработку персональных данных может быть получено и в электронном виде.

Однако в этом случае может возникнуть проблема, например, с автоматически поставленной галочкой, которая равносильна подписи, поставленной пользователем, поскольку довольно сложно будет доказать, что пользователь осознанно совершил подписание документа. Кроме того, согласно заявлению Роскомназдора при наличии договора публичной оферты дополнительное согласие не требуется.
Таким образом, в процессе обработки персональных данных важно определить следующее: можно ли относить обрабатываемую информацию к категории персональных данных, нужно ли уведомлять Роскомнадзор о совершаемых с ней действиях, каким должен быть список необходимых документов.

Здесь также следует обратить внимание на ответственность за несоблюдение указанного порядка работы с персональными данными. Например, 31.01.2020 Роскомнадзором было возбуждено административное производство в отношении Twitter и Facebook за невыполнение требований о локализации баз данных российских пользователей на серверах, расположенных на территории Российской Федерации, в результате чего социальные сети были оштрафованы на 4 миллиона рублей каждая.
На основании всего вышеперечисленного нельзя недооценивать важность соблюдения всех требований при работе с персональными данными, которые, так или иначе, подвергаются обработке на любом сайте или сервисе.

Что должно содержаться в согласие на распространение персональных данных?

Теперь рассмотрим, что же должно содержать в себе данное разрешение. Еще раз повторимся, данное согласие должно быть самостоятельным документом, отдельным от других согласий на обработку персональных сведений. Так как мы рассматриваем отечественное законодательство, то и согласие должно быть составлено и заполнено на русском языке. В фабуле разрешения должны содержаться следующие пункты:

  • информация о физическом лице, которое предоставляет персональную информацию;
  • информация об организации, которая производит манипуляции с полученной персональной информацией;
  • смысл обработки персональной информации;
  • типы и список персональной информации, на обработку которых дается данное разрешение;
  • типы и список персональной информации, к которой определяются ограничения и запреты;
  • условия, которые ограничивают передачу персональной информации (не обязательно);
  • сроки, в рамках которого данное разрешение является действительным;
  • информация об интернет-ресурсах, с помощью которых организация будет осуществлять передачу предоставленной персональной информации физического лица неопределенному кругу лиц и другие действия.

Молчание или бездействие физического лица, которое предоставляет персональную информацию, не может расцениваться организацией как согласие на распространение персональных сведений.

 

Что включает в себя услуга по защите персональных данных?

Что включает в себя услуга по защите ПДн

Защита персональных данных для интернет-проекта включает:

  • Анализ бизнес-процесса интернет-проекта
  • Подготовка документации по защите персональных данных для сайта
  • Рекомендации по улучшению сайта (с точки зрения защиты ПДн)

    Нужна консультация?

    Почему RTM Group?

    • Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
    • Вопросы правомерности той или иной деятельности – неотъемлемая часть работы юристов RTM Group
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать услуги по защите персональных данных для интернет-проекта

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email:






    Видео по защите персональных данных для интернет-проекта

    Почему RTM Group

    RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

    В списке SWIFT Directory of CSP assessment providers

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Сайт RTM Group входит в тройку лучших юридических сайтов России

    В составе ТК №122

    Цены на услуги по защите персональных данных для интернет-проекта

    Обратите внимание!
    Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    Наименование услуги Стоимость

    Консультация *

    Консультация производится исключительно в формате электронной переписки и предполагает краткий блиц-вопрос/блиц-ответ без изучения каких-либо документов или исследования обстоятельств дела

    бесплатно *

    Защита персональных данных для интернет-проекта

    Анализ бизнес-процесса интернет-проекта
    Подготовка документации по защите персональных данных для сайта
    Рекомендации по улучшению сайта (с точки зрения защиты ПДн)

    от 90 000 руб.

    Разработка политики конфиденциальности для сайта

    Срок – от 5 рабочих дней

    от 90 000 руб.

    Разработка пользовательского соглашения

    Срок — от 5 рабочих дней

    от 90 000 руб.

    Разработка пакета документов для легитимной работы интернет-проекта

    Исследование бизнес-модели заказчика, анализ налогообложения.
    Подбор наиболее подходящих договорных конструкций для легитимного оформления отношений.
    Подготовка соглашений, положений, договоров и приложений к ним.
    Инфо-справка по условиям и рискам для клиента.
    Алгоритм размещения документов на сайте и подписания их пользователями.

    Важно (!): в рамках заключенного договора бесплатно предоставляются консультации и инфо-справка по условиям и рискам.

    Срок – от 20 рабочих дней

    от 120 000 руб.

    Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
    Работа с физическими лицами временно не осуществляется.

    * Уважаемые клиенты, убедительно просим Вас обратить внимание (!), что предоставление экспертами компании RTM Group самостоятельной услуги «консультация» производится исключительно в формате электронной переписки и предполагает краткий блиц-вопрос/блиц-ответ без изучения каких-либо документов или исследования обстоятельств дела. Для более комфортного взаимодействия с Вами, в рамках предшествующей электронной переписки, возможно обсуждение интересующих Вас вопросов с экспертом посредством телефонной связи.

    Анализ документов, нормативных актов и судебной практики, применительно к конкретному вопросу, формирование позиции, перспектив рассмотрения дела и т.п. осуществляется в рамках оказания иных услуг, например, услуги «проведение исследования».

    Мы рады оказать Вам всяческое содействие и предпримем все необходимые усилия, чтобы решить Ваш вопрос!

    Наши преимущества

    3 лицензии

    ФСТЭК России и ФСБ России

    Команда IT-юристов №1 в России

    Юристы с профильной подготовкой в информационных технологиях

    Участие в 30+ судебных спорах по защите данных

    В качестве специалистов, экспертов и представителей стороны по делу

    Продукты и решения для вас

    Нам доверяют

    Полезные статьи

    FAQ: Часто задаваемые вопросы

    Добрый день. Сможете разработать сайт, который будет соответствовать требованиям по защите персональных данных?

    Здравствуйте.
    Мы можем провести аудит сайта на соответствие требованиям по защите персональных данных и составить рекомендации по улучшению сайта в направлении соответствия законодательства по защите персональных данных.
    Также можем принять участие в разработке ТЗ на создание сайта, которое будет учитывать требования по обработке ПДн.

    У нас юридическое лицо, зарегистрированное не в России. Для работы с персональными данными граждан РФ нам необходимо соответствовать требованиям Роскомнадзора (собираем минимальный набор данных: имя, емейл).

    Подскажите, пожалуйста, что ещё необходимо?

    Юридическая справка по регистрации оператора при обработке персональных данных:
    Нормативная база (основания):

    • Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 31.12.2017) “О персональных данных”
    • Информация Роскомнадзора “Ответы на вопросы в сфере защиты прав субъектов персональных данных” (Публикация на сайте http://rkn.gov.ru по состоянию на 03.04.2018)

    Информация для организаций:

    В соответствии с ч.1 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ “О персональных данных” оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных.

    Уведомление должно быть направлено в письменной форме или направлено в электронной форме в соответствии с законодательством Российской Федерации.

    Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения в реестр операторов.

    Однако, до подачи уведомления необходимо провести ряд важных внутренних мероприятий: нужно создать определенный пакет документов, включая положение об обработке персональных данных и приказы о назначении ответственных, а также принять ряд организационных и технических мер.

    Также, прошу Вас обратить внимание, что согласно п.5 ст.18 152-ФЗ, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить обработку персональных данных с использованием баз данных, находящихся на территории РФ.

    На сайте организации требуется размещать именно правила работы с ПДн?

    Нет, не обязательно называть их «Правила работы с персональными данными», можно оставить наименование «Политика конфиденциальности», просто помнить о том, что Политика конфиденциальности – это более широкое понятие, она охватывает правила работы с персональными данными. Политика конфиденциальности, по большому счету, если правильно составлена, может включать в себя работу с гостайной, с персональными данными и работу с коммерческой информацией. То есть, может быть три составляющих.

    В общем, как Вам удобнее, самое главное, чтобы документы были и соответствовали закону.

    Если субъект не указал запреты в согласии на распространение, для оператора это что значит?

    В согласии на распространение персданных субъект ставит именно согласие.

    Вот смотрите, есть перечень персданных, например, фамилия, имя и отчество. Если субъект не поставил «да» или «нет» в соответствующем поле, то это не значит, что он согласен, субъект должен четко поставить галочку «да». То есть согласие должно быть конкретным. Молчание не рассматривается, в данном случае, как согласие.

    Надо ли собирать согласия на распространение ПДн с работников при размещении их данных во внутренних справочниках, а также на внутренних порталах?

    В принципе, законодательство, как таковое, не требует, потому что это трудовые отношения с работниками, и вы же эти справочники для внутреннего пользования создаете, что не предполагает распространение персданных неопределенному кругу лиц. Принимая сотрудников на работу, вы берете обязательство о неразглашении персональных данных, какой-то конфиденциальной информации. Так что, в данном случае, получать с работников еще одно дополнительное согласие на распространение персональных данных, я думаю, не требуется. Единственное, что нас ничто не спасает от самодурства некоторых должностных лиц, когда закон не требует, но у нас есть специалист в госоргане, в определенном регионе, который говорит, что документ должен быть. Я всегда говорю: не надо упираться, если должно – предоставьте. Но вообще это неправильно, это не в силу закона.

    Какая ответственность за не уведомление Роскомнадзора о начале обработки ПДн третьих лиц?

    Ответственность здесь административного характера предполагается, штрафы поименованы, если с разбивкой по суммам, по альтернативным санкциям – в Кодексе об административных правонарушениях… статья 13.11 КоАП РФ – там очень подробно перечислены составы и возможные альтернативные санкции за нарушение тех или иных составов.

    Можно ли считать ПДн, сделанные видными для всех пользователей социальной сети (например, номер телефона, ФИО) в соответствии с правилами настройки приватности, сделанными доступными для распространения неограниченному кругу лиц?

    Обычно суды, наряду с законодательством, всегда руководствуются пользовательским соглашением, которое действует в той или иной социальной сети. Например, был судебный спор с социальной сетью «ВКонтакте», где пользователь обратился в суд, требовал большие компенсации, устранение нарушения его прав, ссылался на то, что его фотографию, которая была размещена, скопировал другой пользователь, и разместил неприличный пост с его участием. Суды встали на сторону социальной сети «Вконтакте» и ссылались на то, что в пользовательском соглашении, которое принимал пользователь при регистрации указано, что пользователь сам определяет настройки приватности своего профиля, и сам определяет, какие данные сделать доступными всем (неограниченному кругу лиц), ограниченно доступными или никому недоступными. Все цитаты приведены в судебном решении из этого пользовательского соглашения, вот почему важно правильно оформлять пользовательское соглашение. Истцу было отказано – он сам не проставил флажки там, где нужно было, и разрешил пользоваться своими фотографиями, своими данными.

    Чем отличается политика от положения?

    Договор, контракт, не столь важно, в любом случае, если возникает спор, суды будут смотреть на правовую природу договора, на его внутреннее содержание. Если мы написали «договор оказания услуг», а у нас фактически поставка – суды будут рассматривать как поставку, и неважно, что в наименовании. В данном случае аналогично: политика, положение – не столь важно, как вам удобнее. Если вам нравится красивое название «политика» – используйте его, а если вы сочтете необходимым, что у вас должно быть именно положение, без проблем.

    Конечно, самое главное, чтобы документы были, и чтобы их содержание действительно помогало вам застраховать себя.

    Надо ли получать лицензию ФСТЭК, если мы обрабатываем персональные данные третьих лиц?

    Нет. Для обработки персональных данных лицензия ФСТЭК не нужна.

    Добрый день. Для подписания согласия на распространение используется только УКЭП, другие виды электронной подписи (УНЭП, ПЭП) неприменимы?

    Пока это только проект и как будут собираться согласия и какой подписью подписываться – я не могу сейчас однозначно сказать. Я уверен, что все может поменяться вплоть до последнего дня. Но сейчас, на данном этапе, квалифицированная электронная подпись, в принципе, приравнивается к неквалифицированной электронной подписи. В декабре прошлого года у нас вышли требования к форме и содержанию УКЭП и УНЭП, и они практически тождественны сейчас.

    Здравствуйте! Надо ли собирать согласия на распространение с членов органов управления и авторов статей, книг и т.п.?

    Да, нужно.

    Я правильно понимаю, что если интернет-магазин использует сторонних подрядчиков: по доставке, техподдержке, или третьи лица (все счетчики, Facebook, метрики), то надо регистрироваться, как оператор передачи данных?

    Да, обязательно надо, правильно поняли. Была масса спорных вопросов, неоднократно мы лично и по инициативе наших заказчиков консультировались с органами Роскомнадзора в разных регионах, писали официальные письма-запросы, различные объяснения в силу закона и мотивировки, почему мы считаем, что наш заказчик не должен регистрироваться. В результате, мы получали из Роскомнадзора, как под копирку одно и то же письмо или устный ответ (например, случай, в кейсе на слайде), что вы передаете персданные все равно третьим лицам. Роскомнадзор, безусловно, трудятся, и по кодам ОКВЭД описывают, что каждый из заказчиков конкретно делает: служба это курьерской доставки, техподдержка или какие-то страховые и так далее.

    В каком виде и как необходимо размещать данные об условиях распространения персональных данных из полученного согласия? Можно ли на отдельном ресурсе сайта или только в местах размещения персональных данных, указанных в согласии?

    Согласие на распространение персональных данных это императивный документ. То есть то, что там указано, мы должны соблюдать в точном соответствии. А в согласии на распространение персональных данных не может быть альтернативных формулировок, не может быть «по усмотрению», там может быть конкретный объект – кому предоставляют это согласие, конкретные места, где персональные данные будут использоваться, конкретный объем, конкретные способы, каким образом будет использоваться. В принципе, все максимально конкретно.

    Если заявление на распространение написано и подписано, но не стоит галочки “да” к распространению, то считается ли согласие действительным?

    Да, оно считается действительным, если подписано электронной подписью или на бумажном носителе собственноручной подписью. Но если клиент не поставил галочку ни «да», ни «нет», оно трактуется в пользу субъекта, значит, он не согласен. Это не трактуется как «немое» молчание.