Закон о персональных данных (ФЗ-152)

1 июля 2017 года в силу вступили поправки к закону “О персональных данных” (152-ФЗ). Теперь операторы (так в законе названы государственные и муниципальные органы, юридические или физические лица, организующие и (или) осуществляющие обработку персональных данных) обязаны хранить и обрабатывать личные данные граждан РФ на территории страны, предварительно получив на это согласие субъектов персональных данных.

Что считать персональными данными?

Строгого перечня Персональных данных (ПД) в российской действительности, на момент написания этой статьи, не существует. Комментировать значение термина представители Минкомсвязи и Роскомнадзора пока не берутся, в силу отсутствия полномочий. Поэтому всем нам приходится догадываться. В российском законе сказано, что персональными данными является любая информация, с помощью которой можно идентифицировать конкретного человека. В настоящий момент достаточно сочетания имени и адреса электронной почты, чтобы Роскомнадзор признал указанные данные персональными.

Когда вы регистрируетесь на сайте, который принадлежит российской компании, то практически любая информация, которую вы указываете о себе, подпадает под действие Федерального закона РФ №152 «О персональных данных». Это означает, что владелец ресурса, будь то интернет-магазин, социальная сеть или «облачный» сервис, обязан защищать вашу личную информацию от злоумышленников и не раздавать направо и налево.

Меры по защите персональных данных

Помните: чем больше ПД вы собираете, тем больше мер придется принять. Поэтому стоит подумать, без каких сведений вы можете обойтись, чтобы снизить риски и объем работы. Кроме того, в некоторых случаях ПД стоит разнести по разным базам данных и уменьшить срок хранения сведений о пользователях.

Что нужно для работы сайта

Чтобы собирать персональные данные для интернет-магазина или онлайн-сервиса, никакая лицензия не требуется. Необходимо лишь провести мероприятия по защите данных.

Получать лицензии ФСТЭК и ФСБ России необходимо только в том случае, если вы оказываете услуги по технической защите информации. Например, помогаете интернет-сервисам правильно организовать работу с ПД или обещаете клиентам защищать их данные.

Сервис обязан уведомить субъекта, с какой целью и в каком порядке будут использоваться его персональные данные. Это не обязательно делать отдельным документом, можно включить в общие правила сервиса.

Следует обратить особое внимание и на то, как хранятся у вас персональные данные клиентов. Удостоверьтесь, что к ним не имеют доступ поисковые роботы. Также убедитесь, что доступ к личным данным клиентов имеют только те сотрудники, которым это необходимо для осуществления обязанностей по работе с клиентами.

Что в итоге!

Оказывается, работать с персональными данными не так страшно и затратно, особенно если у вас небольшой проект. Главное же, что надо помнить: чем меньше сведений вы собираете – тем безопаснее работа для вас, как для оператора персональными данными.