Мы сайт предоставляющий информационные услуги (нет оплаты от пользователей). Сайт предоставляет возможность авторизации через эл. почту и телефон. В рамках регистрации сайт собирает данные ФИО, эл. почта или телефон, дата рождения (нет передачи данных третьим лицам, только хранение в нашей базе данных). как нам соблюсти законодательство в отношении персональных данных (если таковые имеются)?
Здравствуйте! Поскольку ваш сайт собирает и хранит персональные данные ФИО, электронную почту, телефон, дату рождения, вы являетесь оператором персональных данных. Это обязывает соблюдать требования закона №152-ФЗ.
Следовательно, нужно отбирать у пользователей согласие на обработку данных с которым они должны соглашаться проставляя галочку, в том числе ознакомления с пользовательским соглашением.
Статья 18. Обязанности оператора при сборе персональных данных Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»
Статья 6. Условия обработки персональных данных
Статья 7. Конфиденциальность персональных данных
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Следовательно на сайте должна быть политика обработки перс.данных и политика о конфиденциальности перс. данных.
Перед началом сбора данных необходимо получить согласие пользователя на их обработку. Это можно сделать путем создания и размещения формы согласия при регистрации на сайте. Согласие может быть оформлено в электронном виде, но оно должно быть явно выражено и не должно скрываться в условиях пользования.
Здравствуйте!
Обработка персональных данных регулируется Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных». Поскольку ваш сайт собирает и хранит персональные данные пользователей (ФИО, адрес электронной почты, номер телефона, дата рождения), вы являетесь оператором персональных данных и обязаны соблюдать требования вышеуказанного закона.
Согласно статье 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», обработка персональных данных допускается только с согласия субъекта персональных данных, за исключением случаев, предусмотренных законом.
Например, вы можете реализовать на сайте механизм получения согласия путем установки кнопки под формой регистрации, где пользователь подтверждает свое согласие с обработкой его персональных данных.
В соответствии с частью 2 статьи 18.1 Закона о персональных данных, оператор обязан опубликовать документ, определяющий его политику в отношении обработки персональных данных. Этот документ должен быть доступен пользователям на сайте и содержать информацию о целях, способах обработки, правах субъектов персональных данных и мерах по их защите.
Согласно статье 22 Закона о персональных данных, оператор обязан уведомить уполномоченный орган (Роскомнадзор) о своем намерении осуществлять обработку персональных данных до начала такой обработки. Уведомление подается в письменной или электронной форме и должно содержать сведения, предусмотренные законом.
В соответствии со статьей 19 Закона о персональных данных, оператор обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий. Рекомендую разработать и внедрить внутренние документы, регламентирующие порядок обработки и защиты персональных данных, а также назначить ответственного за их обработку.
Нарушение требований Закона о персональных данных может повлечь административную ответственность в соответствии со статьей 13.11 Кодекса Российской Федерации об административных правонарушениях.
Здравствуйте!
Начнем с того, что закон не дает четкого перечня персональных данных. В силу п. 1 ст. 3 Федерального закона от 27.07.2006 №152-ФЗ, к ним относится:
любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу
То есть даже комбинация имени и емейла, которая позволит определенным образом обозначить конкретного человека, будет относиться к персональным данным. Но Вы озвучиваете более обширный список ПД, которые будете собирать. Поэтому Вы однозначно будете выступать оператором.
Касательно получения согласия: Вы, конечно, можете ссылаться на п. 5 ч. 1 ст. 6 ФЗ №152, из которого следует, что без согласия субъекта можно обрабатывать ПД, необходимые для исполнения договора. Но как Вы докажете, что для предоставления данных услуг обязательно получить все из перечисленных данных? Поэтому проще поставить чекбокс в форме регистрации, чтобы получать согласие пользователей сайта и без него регистрация не осуществлялась.
Ниже продолжу.
Что касается уведомления Роскомнадзора. В соответствии с ч. 2 ст. 22 ФЗ №152, без него можно работать только в 3 случаях:
1) когда функционирует государственная информационная система — это не Ваш случай;
2) когда ПД обрабатываются без средств автоматизации — механизм регистрации на сайте это исключает;
3) в области транспортной безопасности — это вообще не про Вас.
Так что у Вас нет ни одного основания не направлять в Роскомнадзор такое уведомление. Но не волнуйтесь, это несложно и бесплатно. Подать его можно удаленно, авторизовавшись через Госуслуги https://pd.rkn.gov.ru/operators-registry/notification/form/.
Что касается других обязанностей:
Исходя из ст. 18 ФЗ №152, Вы обязаны разместить на сайте политику обработки ПД, которая должна содержать следующие сведения:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
2.1) перечень персональных данных;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных;
5) источник получения персональных данных.
Сейчас существуют автоматические генераторы таких политик, достаточно только ввести вышеуказанные сведения, и их встроят в текст.
А если мы не берем оплату (бесплатный сервис), все равно нужно политику размещать?
Это вообще не имеет значения. Значение имеет тот факт, что Вы являетесь оператором персональных данных и обрабатываете их.
Уведомлять Роскомнадзор о начале обработки перс.данных не нужно, если обработка данных исключительно для исполнения договора с пользователем, если вы собираете данные только для предоставления услуг (например, для создания аккаунта и использования функций сайта), и данные не передаются третьим лицам.Использование данных для внутреннего учета или бухгалтерских целей, и данные не распространяются и не предоставляются третьим лицам. Обработка персональных данных ограниченного круга лиц для целей, не связанных с извлечением прибыли, например, ведение членства, сообществ, волонтерских программ. Если ваши цели обработки данных выходят за рамки указанных исключений, то вам нужно подать уведомление в Роскомнадзор.