Когда вы запускаете сайт с личными кабинетами, вы неизбежно собираете персональные данные клиентов: ФИО, телефон, адрес, email. Иногда — паспортные данные, ИНН, скан документов. С этим связана ответственность по закону 152-ФЗ «О персональных данных». Штрафы за утечку или неправильное хранение — до 500 тыс. руб для юрлиц, а в некоторых случаях — уголовная ответственность.
Многие предприниматели думают, что 152-ФЗ — это «что-то для больших корпораций». Но это не так. Любой сайт, который собирает имя и телефон, подпадает под закон. Разница только в том, как вы обрабатываете данные. В Falcon Space мы спроектировали систему так, чтобы соблюдение 152-ФЗ не было головной болью. Расскажу, что нужно знать и как мы помогаем клиентам не нарушать закон.
По закону, персональные данные — это любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Практически всё, что вы храните в личном кабинете, является персональными данными:
Если ваш сайт собирает любую из этих категорий, вы становитесь оператором персональных данных. И должны выполнять требования закона.
Для малого бизнеса требования не такие жёсткие, как для крупных компаний, но базовый минимум обязателен:
1. Получить согласие на обработку данных.
При регистрации пользователь должен поставить галочку «Я согласен на обработку персональных данных». Без этой галочки вы не имеете права хранить его данные. Важно: согласие должно быть конкретным — вы не можете использовать данные для рассылки рекламы, если в согласии сказано только «для регистрации». Лучше сделать два согласия: одно для регистрации (обязательное), второе для маркетинга (опциональное).
В Falcon Space эта галочка есть в форме регистрации по умолчанию. Вы можете отредактировать текст согласия под себя.
2. Разместить политику обработки персональных данных (Privacy Policy).
Это документ на сайте, где вы описываете: какие данные собираете, зачем, как храните, кому передаёте (например, платёжной системе), как пользователь может их удалить. Политику нужно разместить в открытом доступе (в подвале сайта).
Мы даём клиентам шаблон политики, который можно адаптировать под свой проект.
3. Хранить данные на серверах в России.
Согласно закону, базы данных с персональными данными российских граждан должны находиться на территории РФ. Если вы используете зарубежный хостинг (AWS в США, Google Cloud в Европе), вы нарушаете закон. Штрафы — до 6 млн руб.
В Falcon Space мы рекомендуем хостинг у российских провайдеров (reg.ru, beget, timeweb). Либо облачные платформы (Яндекс.Облако, Selectel), у которых сервера в РФ. Мы не размещаем данные за границей.
4. Ограничить доступ к данным сотрудников.
Менеджер должен видеть только те данные, которые ему нужны для работы. Например, для обработки заказа нужны имя, телефон и адрес, но не нужен СНИЛС. Настройте роли в Falcon Space так, чтобы каждый сотрудник видел только необходимое. Это снизит риск утечки из-за человеческого фактора.
5. Обеспечить техническую защиту.
Это включает: шифрование каналов связи (HTTPS), защиту от SQL-инъекций и XSS (в Falcon Space это есть), антивирус на сервере, регулярные бэкапы, разграничение прав доступа к базе данных. Если вы пользуетесь нашим хостингом (под ключ), мы это настраиваем. Если сами — проконтролируйте.
Нужно ли уведомлять Роскомнадзор?
Для большинства малых и средних компаний — нет. Уведомление требуется, если вы обрабатываете данные специальных категорий (раса, политика, религия, биометрия), или если вас более 100 сотрудников, или если вы передаёте данные за границу. В типовом случае (регистрация на сайте, заказы) — уведомление не требуется. Но лучше уточнить у юриста.
Нужно ли назначать ответственного за обработку данных?
Если обработка данных — основной вид деятельности (например, вы — call-центр), то нужно назначить ответственного. Если же сайт с личными кабинетами — вспомогательная функция, то ответственность может лежать на владельце бизнеса. Формально, лучше назначить (можно себя). Штрафа за отсутствие ответственного нет, но при проверке могут попросить.
Что будет, если данные украдут?
Вы обязаны уведомить Роскомнадзор и клиентов об утечке в течение 24 часов. Штраф для юрлиц — от 60 до 100 тыс. руб за факт утечки. Если утечка произошла по вашей вине (дырявый сервер, пароль admin), штраф может быть до 500 тыс. руб. Также клиенты могут подать на вас в суд. Поэтому защита данных — это ещё и защита репутации.
Можно ли передавать данные партнёрам (например, сервису доставки)?
Да, если у вас есть согласие клиента на передачу. В политике обработки укажите всех партнёров. С партнёрами нужно заключить договор, где они обязуются соблюдать конфиденциальность.
Как удалить данные клиента по его требованию?
Клиент имеет право потребовать удалить все свои персональные данные. В Falcon Space есть административная функция «Удалить аккаунт» — она очищает все записи пользователя (или обезличивает). Обязательно добавьте такую возможность в личный кабинет (кнопка «Удалить аккаунт»).
Платформа спроектирована с учётом российских требований к защите данных:
Мы также предоставляем клиентам чек-лист для самопроверки на соответствие 152-ФЗ (по запросу в чате).
Один из клиентов (сервис доставки) хранил паспортные данные водителей в открытом виде в базе, доступ к которой имел любой сотрудник. Мы провели аудит, обнаружили нарушение. Рекомендовали:
Всё сделали за 2 недели. Клиент избежал потенциального штрафа, который мог составить до 500 тыс. руб. Стоимость доработок — 80 тыс. руб. Окупилось страховкой от штрафа.
Не пренебрегайте 152-ФЗ. Штрафы растут с каждым годом. Лучше потратить 1-2 дня на настройку политики и прав, чем потом платить миллионы.