30 марта 2021
7

Коллеги, здравствуйте. С 1 марта 2021 года вступили в силу изменения в 152-ФЗ «О персональных данных», которые напрямую касаются владельцев сайтов, обрабатывающих персональные данные посетителей.

Я попросил прокомментировать ситуацию моего профессионального адвоката, кандидата юридических наук, автора книги «Если ты сам себе адвокат, значит твой клиент идиот!», Сидорова Анатолия Станиславовича.

Как истинный юрист, он подошел к делу скрупулезно и мы получили большую статью с полным разбором вопроса, а что же такое персональные данные и как должны работать с ними мы, сайтостроители.

Содержание /скрыть
4 Какие требования необходимо соблюдать владельцам сайтов, являющихся операторами персональных данных?

Каким законом регламентирована охрана персональных данных гражданина?

В настоящее время основным законом, регулирующим правоотношения в сфере обработки персональных данных является Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (https://www.consultant.ru/document/cons_doc_LAW_61801/) (далее Закон о персональных данных).

Как следует из содержания ст. 3 указанного закона, его целью является «обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну».

При этом следует иметь в виду, что действие закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Что такое персональные данные?

Статья 3 Закона о персональных данных персональных данных определяет данное понятие следующим образом: «Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)»

В данном определении необходимо обратить внимание на словосочетание «относящаяся к прямо или косвенно определенному или определяемому физическому лицу».

То есть, если по информации о человеке или её совокупности можно понять, о ком конкретно идет речь, тогда эта информация является «персональными данными». В противном случае эта информация к таковым данным не относится.

Для того, чтобы было более понятно, о чем идет речь, сошлемся на пример, который приводит руководитель Юридической компании Windfort Consulting Виталия Фончикова в одной из публикаций на рассматриваемую тему на сайте «Регфорум» (https://regforum.ru/posts/1913_a_vasha_organizaciya__operator_personalnyh_dannyh/):

Иванов Иван Иванович, паспорт гражданина РФ серии 01 00 номер 000001 — это прямо определенное физическое лицо.

Петров Петр Петрович, отец Вовы Петрова из 5-го «Б» класса — это косвенно определенное физическое лицо.

Генеральный директор ООО «Ромашка», личный телефон +7(900) 555-00-00 — это определяемое физическое лицо.

Брюнет Константин — лицо не определено и не может быть определено (не персональные данные или то, что называется обезличенные данные).

Поэтому если вы увидите на стене в подъезде надпись «Машка — молодец!», знайте — это не персональные данные, в отличии от записи в ежедневнике «Мария (+7(900) 555-00-99) — встреча в 16:00». Потому что само по себе взятое отдельно имя к персональным данным не относится, но стоит прибавить к нему информацию, достаточно достоверно идентифицирующую личность (например, номер телефона или паспорта, адрес прописки или должность в конкретной организации), и вуаля! — перед нами появляются персональные данные, причем включая то же самое имя.

Закон о персональных данных не содержит какого-либо списка сведений, относящимся к персональным данным. Относятся ли те или иные данные к персональным данным, решается в каждой конкретной ситуации отдельно.

Так, например, владельцам сайтов, выступающим в качестве операторов персональных данных, чаще всего становятся доступны следующие сведения о посетителях их интернет-ресурсов:

— фамилия;
— имя;
— отчество;
— адрес проживания;
— электронный адрес;
— номер телефона.

Реже:

— дата рождения;
— место рождения;
— место работы;
— должность и др.

В каких случаях владелец сайта является оператором персональных данных?

В соответствии с п.2 ч.1.1 ст. 3 Закона о персональных данных оператор — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В свою очередь, «обработка персональных данных» предполагает любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Владелец сайта должен сам определить наличие или отсутствие у себя статуса оператора персональных данных, учитывая целевое назначение сайта, а также программных и технических средств, которые установлены на сайте.

Однако в любом случае он является оператором персональных данных, если:

— администратор сайта собирает вышеуказанную информацию о клиентах-физических лицах;
— на сайте имеется форма обратной связи, подписки, регистрации;
— сайт предполагает наличие личного кабинета пользователя;
— посетителю предлагается заполнить анкету на сайте;
— на сайте возможно размещение объявлений;
— на сайте размещен виджет обратного звонка.

Какие требования необходимо соблюдать владельцам сайтов, являющихся операторами персональных данных?

Чтобы владельцу сайта не стать нарушителем требований, относящихся к обработке персональных данных, специалисты в области информационного права рекомендуют сделать следующее.

1. В случае, предусмотренном Законом о персональных данных, зарегистрироваться в Роскомнадзоре в качестве оператора персональных данных.

В соответствии со статьей 22 Закона о персональных данных (https://www.consultant.ru/document/cons_doc_LAW_61801/d996966e22e1320c9de1ab82d9f6be12c3d9d765/ ) в некоторых случаях владелец сайта — оператор персональных данных до начала обработки таких данных должен направить соответствующее уведомление в Роскомнадзор.

Так же, в той же статье перечислен ряд исключений, когда такое уведомление необязательно. Среди них есть и исключения, применимые к онлайн-коммерции.

Так, если администратор сайта использует персональные данные исключительно для заключения и исполнения договоров с клиентами (например, для приема и доставки заказа, оказания иной услуги, либо если персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных), не распространяет их и не передает третьим лицам, то уведомлять контролирующие органы не обязательно.

2. Хостинг и база данных с персональными данными должна располагаться на территории России.

Закон о персональных данных обязывает записывать, хранить, обновлять и извлекать персональные данные граждан Российской Федерации с использованием баз данных на территории России.

Это касается иностранных компаний с юр лицом в России и без него, а также российских компаний, которые пользуются иностранными хостинг-провайдерами, дата-центрами и облачными платформами. Все осложняется тем, что требования Роскомнадзора до конца не ясны, приходится догадываться самим. Подробнее о локализации данных рассказывается в статье.

Если владелец сайта не понимает, где хранить данные и что делать, необходимо обратиться соответствующим запросом в Роскомнадзор, Минкомсвязи либо к своему хостинг-провайдеру.

3. Разместить на сайте политику обработки персональных данных

В соответствии с требованиями 152-ФЗ, любые лица, осуществляющие обработку персональных данных при помощи сайта, должны разместить на этом сайте в общедоступном режиме политику обработки персональных данных. В политике, среди прочего, необходимо указать:

— категории персональных данных, которые обрабатываются администратором сайта;
— способы и цели их обработки;
— способы защиты данных;
— каким образом субъект персональных данных может изменить или удалить эти данные.

Такие документы должны учитывать специфику работы сайта и его целевое назначение, и, следовательно, содержать достоверные сведения о способах и целей обработки персональных данных организацией или физическим лицом, которым принадлежит сайт.

Именно поэтому не рекомендуется использовать для сайта «типовую» политику, найденную в сети Интернет либо онлайн конструкторы таких «политик», которые не могут учесть всех необходимых нюансов, связанных с работой конкретного сайта.

Лучше всего, воспользоваться рекомендациями по составлению документа, определяющего политику оператора в отношении обработки персональных данных, подготовленных Роскомнадзором, и самостоятельно составить Политику. Данные рекомендации размещены на официальном сайте ведомства и является общедоступной (источник: https://rkn.gov.ru/personal-data/p908/) .

Также следует отметить, что на разных сайтах можно встретить различное название разделов, где описывается порядок обработки персональных данных. Например:

— Политика обработки персональных данных;
— Политика конфиденциальности;
— Согласие на обработку персональных данных;
— Политика конфиденциальности и обработки персональных данных и пр.

В данном случае название раздела принципиального значения не имеет. Важно лишь то, чтобы ссылки на данные разделы находились в таком месте сайта, чтобы были явно видны посетителям.

Пример

Юридическая социальная сеть 9111.ru (https://www.9111.ru/about/)

Изменения в законе о персональных данных

Социальная сеть ВКонтакте (https://vk.com/data_protection?section=rules)

Политика конфиденциальности в Вконтакте

Социальная сеть Одноклассники (https://ok.ru/privacy)

Политика конфиденциальности в одноклассниках

В Политике необходимо указать адрес электронной почты или другие способы связи, посредством которых посетитель может отправлять уведомления, касающиеся его персональных данных.

4. Составить и разместить на сайте согласие на обработку персональных данных

Закон обязывает операторов (владельцев сайтов) получать согласие субъекта персональных данных на их обработку.

Как сказано ст. 9 Закона о персональных данных, «согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом». (https://www.consultant.ru/document/cons_doc_LAW_61801/6c94959bc017ac80140621762d2ac59f6006b08c/ )

Однако из этого правила есть исключения (ч.2 ст. 6 Закона о персональных данных).

Одно из них — согласие субъекта персональных данных не требуется, когда обработка его персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

Руководствуясь данным исключением, некоторые администраторы сайтов пренебрегают получением указанного согласия. Такой подход к оценке ситуации не всегда является верным, поскольку в большинстве случаев обработка персональных данных исполнением договора не ограничивается.

Например, интернет-магазин, выполнив заказ клиента, продолжает хранить данные или использует их для email- или смс- рассылок, либо с иной маркетинговой целью. Поэтому, чтобы не попасть в список нарушителей требований действующего законодательства, лучше не рисковать, а все же получать согласие на обработку персональных данных.

Для того, чтобы избежать штрафов за нарушение действующего законодательства или блокировки сайта, многие владельцы сайтов действуют по следующей схеме:

Под каждой формой ввода данных на сайтах или в мобильных приложениях (форма регистрации, заявки, обратной связи и т.д.) размещается текст: «Нажимая на кнопку «УКАЗАТЬ НАЗВАНИЕ КНОПКИ», я даю свое согласие на обработку персональных данных». При этом текст «согласие на обработку персональных данных» является ссылкой на сам документ.

Смысл заключается в том, чтобы пользователь не мог отправить свои персональные данные без согласия на их обработку.

Пример

Пример формы, которая должна присутствовать на сайте

Как отмечалось выше, в Согласие нужно включить условия, которые установлены ч. 4 ст. 9 Закона о персональных данных. Например, наименование и адрес оператора, который получает согласие; цель обработки персональных данных; их перечень и др. (Подробнее: https://www.insales.ru/collection/doc-chasto-zadavaemye-voprosy/product/personalnye-dannye-informatsiya-dlya-vladeltsev-internet-magazinov)

Учитывая, что Закон о персональных данных наделяет субъектов персональных данных правом отозвать согласие на обработку персональных данных, администратор сайта должен поставить об этом в известность посетителя сайта, а также проинформировать его о способах отзыва согласия.

Пример

Изменения пользователем персональной информации

5. Разместить на сайте уведомление о сборе cookies и других данных.

Роскомнадзор наряду с фамилией, именем, отчеством, электронной почтой относит к персональным данным адрес места жительства, IP пользователя, cookies. Поэтому на сайте необходимо установить также согласие на сбор информации через cookies только с разрешения посетителя сайта.

Как известно, cookies (куки) представляют собой небольшие текстовые файлы со служебной информацией от сайтов, которые посещал пользователь.

В куки могут хранится:

— личные данные, используемые посетителем сайта для авторизации (например, логин, имя, email, пароль);
— пользовательские настройки сайта (язык и геоданные);
— тип устройства, с которого пользователь зашёл на сайт;
— товары в корзине и (или) в избранном.

Для обработки куки-файлов применяются те же правила, что и для обработки персональных данных. А значит, вы должны получить конкретное, информированное и сознательное согласие пользователя.

Для того, чтобы понять, как правильно оформить на сайте уведомление об использовании cookies и получить согласие пользователя, процитируем рекомендацию специалистов компании LeadPlan (https://leadplan.ru/blog/how_to_warn_about_cookies )

Уведомление в стиле «продолжая пользоваться сайтом, вы даёте согласие на сбор персональных данных» с крестиком для закрытия формы суд таковым не признаёт. Ведь пользователь всегда может сказать, что не обязан читать никаких ваших всплывающих окошек.

Чтобы обезопасить себя юридически, мы рекомендуем использовать на сайте такие элементы:

— уведомление об использовании куки и обработке персональных данных;
— ссылку на политику конфиденциальности;
— кнопку «Согласен», без крестика для закрытия формы;
— чек-бокс, после которого идет фраза «Я согласен».

Пример

Новая политика конфиденциальности для сайтов
со ссылкой на Политику конфиденциальности

и более развернуто

Новая политика конфиденциальности для сайтов

Таким образом, если владелец сайта с какой-нибудь целью собирает любую информацию о физических лицах, ему в обязательном порядке нужно зафиксировать их согласие и подготовить соответствующие документы, разместить их на сайте, организовав к ним свободный доступ. Если даже этого на самом деле и не нужно, то будет правильным, если владелец сайта сделает это «для страховки», чтобы избежать претензий от пользователей и Роскомнадзора.

6. Заключить соглашение о безопасности персональных данных с разработчиком сайта

Нередко сайты для их будущих владельцев создают третьи лица — программисты, дизайнеры и другие специалисты. При этом разработчики сайтов обрабатывают и хранят персональные данные на своей стороне. Является ли в этом случае владелец сайта оператором персональных данных?

Как представляется, на данный вопрос можно ответить утвердительно. Владелец сайта обязан быть оператором персональных данных и соблюдать закон.

По закону оператору персональных данных разрешается с согласия субъекта персональных данных собирать эти данные и передавать их третьим лицам на обработку. Так, например, владелец сайта может передать данные клиентов веб-мастеру, интернет-магазину, сервисам рассылок и так далее.

Это право вытекает из ч. 3 ст. 6 Закона о персональных данных, в соответствие с которым оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. При этом лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом.

В поручении оператора должен быть определен перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона (https://www.consultant.ru/document/cons_doc_LAW_61801/315f051396c88f1e4f827ba3f2ae313d999a1873 )

Таким образом, прежде чем передать персональные данные посетителей сайта третьему лицу, владелец данного сайта должен разъяснить им, кому и зачем он передает или намерен передать в будущем их данные, а также .получить у посетителей соответствующее разрешение.

В случае если разработчик сайта или иное лицо, у которого сайт находится на технической поддержке, имеет доступ к персональным данным из заявок или базы данных сайта, владельцу необходимо заключить с ними соглашение об обеспечении безопасности персональных данных.

В соглашении должно быть указано, какие персональные данные могут обрабатывать третьи лица, которым поручена разработка или техническое сопровождение сайта, в каких целях и какие действия с ними они могут выполнять. Также должны быть изложены требования по защите персональных данных.

Какие дополнительные меры необходимо предпринять операторам персональных данных в связи с Федеральным законом «О внесении изменений в Федеральный закон «О персональных данных» от 30.12.2020 № 519-ФЗ

С 1 марта 2021 года вступили в силу поправки в Закон о персональных данных, внесенные Федеральный закон от 30.12.2020 №519-ФЗ (https://www.consultant.ru/document/cons_doc_LAW_372682/ )

Изменения сводятся к одному важному моменту. Из ч. 1 ст. 6 Закона о персональных данных исключен пункт 10 о том, что обработка персональных данных была возможна в случае, если доступ к ним неограниченного круга лиц предоставлен самим субъектом персональных данных либо оператором персональных данных по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных).

В основном этот принцип охватывал возможность публикации персональных данных пользователей социальных сетей. Теперь любые данные о человеке, в том числе на сайтах в сети Интернет, можно публиковать только с его прямого согласия, независимо от того, разместил эти данные на сайте он сам или кто-то другой по его просьбе.

Кроме этого, вступают в силу новые правила обработки персональных данных, разрешенных их субъектом для распространения.

Согласно новому пункту 1.1 ст. 3 Закона о персональных данных персональные данные, разрешенные субъектом персональных данных для распространения, — «это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;

В соответствии с п.5 данной статьи закона, распространением персональных данных являются действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Вместе с тем, следует отметить, что официального определения понятия «неопределенный круг лиц» в российском законодательстве не содержится.

В порядке судебного толкования Верховным Судом РФ разъясняется, что под неопределенным кругом лиц понимается такой круг лиц, который невозможно индивидуализировать (определить), привлечь в процесс в качестве истцов, указать в решении, а также решить вопрос о правах и обязанностях каждого из них при разрешении дела.

Под ответственность за несанкционированное распространение персональных данных попадают все операторы, которые выкладывают персональные данные в общий доступ. К таким оператором относятся, например, социальные сети.

Кроме размещения профилей пользователей в социальных сетях, персональные данные могут быть распространены путем публикации данных о сотрудниках на корпоративных сайтах, на форумах, на сайтах с объявлениями, отзывами, вакансиями и др.

Теперь в соответствии с требованием ч.1 ст. 10.1 Закона о персональных данных согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, должно оформляться отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

Соответственно, посетителям сайта должно быть разъяснено, что они в любой момент могут отозвать согласие на распространение своих данных (см. подробнее: https://www.garant.ru/news/1449034/ )

Каким образом это касается «сайтостроителей»?

Как представляется, если администратор сайта либо третьи лица, оказывающие ему услуги по созданию и техническому сопровождению работы сайта, не намерены распространять персональные данные посетителей сайта, оказавшие в их распоряжении, неопределенному кругу лиц, необходимо сформулировать данный пункт и включить его в Политику конфиденциальности.

Если такое распространение предполагается, то соответственно необходимо указать, что такие действия предполагаются, какие именно персональные данные могут распространяться и с какой целью.

Отдельным пунктом нужно добавить уведомление о том, что пользователь в любой момент может отозвать свое согласие на распространение сведений о себе и способы уведомления об этом администратора сайта.

В указанный документ также рекомендуется включить пункт том, что в случае несанкционированного пользователем распространения его персональных данных (без специального разрешения) администратором сайта, а также третьими лицами, которым с согласия субъекта персональных данных эти данные были переданы для обработки, а также в случае невыполнения требований пользователя сайта об отзыве согласия на распространение данных, виновные лица несут ответственность, установленную действующим законодательством.

Нужно ли нам дополнительно реализовать на сайтах отдельные чек-боксы в формах обратной связи, если веб-мастера используют эти данные только для связи с клиентом?

Как отмечалось выше, в настоящее время на сайтах, как правило, под каждой формой ввода данных на сайтах или в мобильных приложениях (форма регистрации, заявки, обратной связи и т.д.) размещается текст: «Нажимая на кнопку «УКАЗАТЬ НАЗВАНИЕ КНОПКИ», я даю свое согласие на обработку персональных данных». При этом текст «согласие на обработку персональных данных» является ссылкой на сам документ.

Теперь, в связи с нововведениями, по нашему мнению, возможны несколько вариантов.

  1. В текст под формой ввода данных на сайте вместо «даю свое согласие на обработку персональных данных…» указывать «даю свое согласие на обработку и распространение неопределенному кругу лиц персональных данных». При этом в «Политику конфиденциальности» добавить пункты о возможности распространения таких данных, целях и способах распространения, а также уведомление о возможности отзыва такого согласия.

2. К существующему тексту об «обработке персональных данных», кнопке (или чек-боксу) добавить дополнительный текст «о распространении» и , соответственно, отдельную кнопку или чек-бокс со ссылкой на ту же «Политику конфиденциальности», содержащую дополнительные условия о распространении персональных данных, или на отдельный раздел, в котором «расписать» порядок получения согласия на распространение персональных данных, их отзыва и ответственности оператора персональных данных в случае их несанкционированного распространения.

3. Более сложный способ, это предложение пользователю дать согласие на каждое действие, связанное с обработкой, в том числе, и распространением данных. Ниже для примера на скриншоте показано, как такой подход реализован в приложении ZEDGE.

Изменения в законе о персональных данных

4. Если речь идет о договорных отношениях между пользователем сайта и веб-мастерами по поводу создания и технического сопровождения сайта, соответствующие условия можно прописать в договоре об оказании услуг.

Нужно ли вносить изменения на сайт, если просим оставить отзыв на нашем сайте и тогда имя будет видно всем (получается, попадаем под распространение)?

Если на сайте имеется отзыв или комментарий, в котором значатся только фамилия, имя и отчество лица, оставившего отзыв, наличие такого отзыва или комментария не является распространением персональных данных.

Данный вывод основан, на следующих положениях

Согласно п. 3 ст. 3 Закона о персональных данных под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Таким образом, действия по распространению персональных данных являются частным случаем обработки персональных данных.

В свою очередь, Роскомнадзор на своем сайте в разделе Часто задаваемые вопросы — Защита прав субъектов персональных данных — Вопросы, касающиеся использования персональных данных на сайтах в сети «Интернет»:» (https://69.rkn.gov.ru/p5677/p15037/p16065/ ) разместил следующую информацию:

Вопрос: Является ли обработкой персональных данных размещение фамилии, имени и отчества без иной дополнительной информации?

Ответ: Размещение на страницах сайтов в сети «Интернет» фамилии, имени и отчества без дополнительной информации, позволяющей идентифицировать физическое лицо как субъекта персональных данных, не может свидетельствовать об обработке персональных данных конкретного физического лица.

Однако следует заметить, что некоторые отзывы и комментарии могут содержать кроме фамилии, имени и отчества, фотографии данных лиц либо адреса их электронной почты.

В таком случае, прежде чем размещать на сайте данные отзывы, следует получить письменное согласие указанных лиц, на размещение указанной информации, разъяснив им право в любой момент отозвать свое разрешение.

Источники

Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 30.12.2020) «О персональных данных» (с изм. и доп., вступ. в силу с 01.03.2021) (https://www.consultant.ru/document/cons_doc_LAW_61801/ );

Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ (https://www.consultant.ru/document/cons_doc_LAW_61798/ )

Проект Приказа Роскомнадзора «Об установлении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения» (https://regulation.gov.ru/Projects/List#npa=112660 );

Всё, что нужно знать о персональных данных (https://journal.tinkoff.ru/slozhno/personal-data/ );

Как владельцам сайтов работать с персональными данными, чтобы избежать штрафа (https://makeagency.ru/blog/kak-vladeltsam-saytov-rabotat-s-personalnymi-dannymi-chtoby-izbezhat-shtrafa );

Как избежать штрафов за куки и политику конфиденциальности (https://leadplan.ru/blog/shtraf-za-kuki );

Персональные данные: ответы на популярные вопросы (https://www.advgazeta.ru/ag-expert/advices/personalnye-dannye-otvety-na-populyarnye-voprosy/ );

152-ФЗ: что нужно знать, если у вас есть сайт (https://allo.tochka.com/personalnye-dannye );

Удаляем персональные данные из общего доступа: нововведения с 1 марта (https://www.garant.ru/news/1449034/ );

Новое в Законе «О персональных данных» 2021. Что нас ждет? (https://mediapravo.com/privacy/rasprostranenie-pd.html );

Внимание! Данная публикация не заменяет помощь квалифицированного юриста. Если вы не знаете, что делать с персональными данными на вашем сайте, и как всё оформить, обратитесь за профессиональной помощью.

Статью для вас подготовили и написали:
Кандидат юридических наук, адвокат Сидоров Анатолий Станиславович
Руководитель маркетинговой IT-компании «ИВЦ 8 бит» Твердохлеб Вадим Юрьевич.

Как подключить сайт к Яндекс.Вебмастеру и как установить счетчик Яндекс.Метрики — еще несколько полезных статей.