Федеральный закон 152 персональных данных. Федеральный закон о персональных данных. Исключения из сферы действия нормативного акта

152-ФЗ "О персональных данных" регулирует отношения, касающиеся использования уполномоченными органами сведений о гражданах. К уполномоченным структурам относят в том числе государственные и муниципальные организации. Нормативным актом обеспечивается информационная защита. 152-ФЗ "О персональных данных" регламентирует также вопросы по использованию сведений о физлицах другими гражданами и организациями.

Вспомогательные инструменты

С их помощью осуществляется сбор информации и ее обработка. 152-ФЗ "О персональных данных" в качестве вспомогательных инструментов называет средства автоматизации. К ним в числе прочего относят компоненты информационно-телекоммуникационных сетей. Нормативный акт регламентирует также отношения, связанные с использованием информации без применения указанных средств, если обработка без них соответствует характеру операций (действий), имеющих место при задействовании инструментов автоматизации. В данном случае в виду имеется то, что их алгоритм позволяет выполнять поиск необходимых сведений, присутствующих в картотеках, на материальных носителях либо других систематизированных собраниях.

Исключения из сферы действия нормативного акта

Они разъясняются в ст. 1. В 2010 и 2011 гг. в нее были внесены изменения. 152-ФЗ "О персональных данных" не охватывает отношения, которые возникают при:

1. Организации, хранении, комплектовании, учете и использовании документов Российского Архивного фонда, содержащих личные сведения о гражданах.
2. Обработке персональной информации физлицами исключительно в личных и семейных нуждах, если при этом не ущемляются права и интересы владельце таких данных.
3. Предоставлении уполномоченными инстанциями сведений о работе судов в РФ.
4. Обработке данных, которые относятся к государственной тайне.

Цель нормативного документа

В качестве нее выступает защита. 152-ФЗ "О персональных данных" выступает в качестве гаранта неприкосновенности личных сведений физлиц, составляющих тайну их семейной и частной жизни. При сборе и последующем использовании информации не должны нарушаться свободы и права человека и гражданина.

Требования

152-ФЗ "О персональных данных" формулирует ряд принципов, в соответствии с которыми осуществляется работа с информацией личного характера:

1. Законность и справедливость оснований.
2. Установление конкретных целей, ограничивающих обработку данных. Запрещена работа со сведениями, несовместимая с поставленными задачами.
3. Не допускается объединять информационные базы, обработка данных в которых производится в целях, не согласующихся друг с другом.
4. Работа осуществляется только с теми сведениями, которые отвечают поставленным задачам.
5. Объем и содержание информации должны соответствовать целям обработки. Они не должны быть избыточными относительно заявленным задачам.
6. В процессе обработки должны обеспечиваться точность личных данных, их достаточность, а также при необходимости актуальность. Оператору надлежит принимать надлежащие меры по удалению либо уточнению неточных или неполных сведений либо создать условия для принятия таких мер.

Хранение

152-ФЗ "О персональных данных" предписывает, что содержание информации личного характера должно осуществляться в такой форме, которая позволяет идентифицировать субъекта. Хранение должно производиться не дольше, чем это нужно для заявленных целей работы со сведениями. Данное положение 152-ФЗ "О персональных данных" используется в том случае, если срок для содержания информации не определен нормативным документом, соглашением, стороной которого, поручителем либо выгодоприобретателем по которому выступает субъект. Обрабатываемые данные должны быть уничтожены или обезличены по достижении заявленных целей или при утрате в необходимости их достижения, если другое не установлено в нормативном акте.

Правила

Работа с личной информацией осуществляется только в том случае, если субъект дал на это согласие. 152-ФЗ "О персональных данных" допускает сбор и последующее использование личных сведений в соответствии с заявленными целями оператором, а также лицом, выполняющим его поручение. В последнем случае должно быть получено согласие субъекта на это. Ответственность за работу со сведениями несет оператор. При направлении поручения в нем должны указываться:

1. Перечень операций (действий) с личной информацией, которые надлежит совершить лицу.
2. Обязанность лица сохранить конфиденциальность информации, обеспечить ее безопасность в процессе обработки.
3. Цели работы со сведениями.
4. Дополнительные условия, которые предусматривает Закон о защите (152-ФЗ "О персональных данных").

Нормативный документ предписывает, что операторы и прочие лица, исполняющие их поручения, обязаны не раскрывать иным субъектам и не распространять известные им сведения, если другое не предусматривается правовым актом.

Общедоступные источники

Закон о защите (152-ФЗ "О персональных данных") допускает создание адресных книг, справочников и прочих баз для информационного обеспечения. В общедоступные источники с согласия субъекта могут вноситься:

1. Место и год рождения.
2. Абонентский номер.
3. Адрес.
4. Информация о профессии и прочие личные сведения.

Согласие субъекта предоставляется в письменном виде. Сведения о гражданине должны быть удалены из общедоступных источников по его запросу либо в соответствии с решением суда, иных уполномоченных инстанций.

Необходимость работы с информацией

152-ФЗ "О персональных данных" устанавливает, что использование сведений осуществляется в соответствии с целями исполнения/обеспечения:

1. Международных договоров РФ для выполнения обязанностей, задач и функций, возложенных на оператора.
2. Правосудия, исполнения судебного акта, постановления иного органа либо должностного лица.
3. Реализации полномочий федеральных исполнительных структур, внебюджетных госфондов, институтов местного самоуправления и функций организаций/учреждений, предоставляющих муниципальные или государственные услуги.
4. Договоров, поручителем, выгодоприобретателем по которому либо участником которого выступает субъект, в том числе при реализации оператором права на уступку по такому соглашению.
5. Защиты здоровья, жизни, интересов гражданина, если получение его согласия на работу с его личными данными невозможно.
6. Профессиональной деятельности журналиста либо СМИ, литературной, научной или другой творческой работы при условии, что это не будет нарушать и ущемлять интересы и права субъекта.
7. Реализации статистических или других исследовательских задач с обязательным последующим обезличиванием полученной информации. Исключением являются цели, установленные в статье 15 рассматриваемого нормативного документа.

Правила, в соответствии с которыми осуществляется обработка специальных категорий индивидуальных сведений, биометрической персональной информации устанавливаются в статьях 10-11 комментируемого Федерального закона.

1. К которой субъектом предоставлен неограниченный доступ.
2. Обработка которой осуществляется по просьбе лица.
3. Подлежащей обязательному раскрытию или опубликованию согласно нормативному акту.

Согласие субъекта

Как выше было сказано, оно должно предоставляться в письменном виде. В согласии должны присутствовать следующие данные:

1. ФИО, адрес лица, наименование и номер документа, по которому его личность идентифицируется, сведения о дате, когда он выдан. Если от имени субъекта действует представитель, дополнительно предъявляется бумага, подтверждающая соответствующие полномочия.
2. Название либо ФИО и адрес оператора или лица, который выполняет обработку в соответствии с поручением.
3. Цель работы со сведениями.
4. Список персональных данных, на использование которых субъект дает согласие.
5. Срок, на протяжении которого действует разрешение лица, способ его отзыва.
6. Подпись субъекта, дающего согласие.

Если лицо признано недееспособным, разрешение на работу с его сведениями дает его представитель. В случае гибели субъекта такое согласие предоставляют его наследники, если при жизни он его не дал.

Важный момент

Принятие решения о предоставлении собственных персональных данных и последующую их обработку осуществляется субъектом в своем интересе, свободно и добровольно. Разрешение на работу с информацией должно быть конкретным, сознательным. Согласие может даваться лицом или его представителем в любой форме, позволяющей подтвердить факт его получения, если другое не устанавливается в нормативном документе. Если разрешение на работу с информацией получено от представителя, оператор проверяет его полномочия. Согласие на обработку информации может быть отозвано субъектом. В этом случае оператор вправе продолжать работу с информацией без получения разрешения на это от лица при наличии оснований, приведенных в п. 2-11 ч. 1 статьи 6, частях вторых статей 10-11 комментируемого нормативного акта.

Федеральный закон о защите персональных данных претерпел последние изменения (обновления) в сентябре 2015 года, а вот с 1 января 2016 нововведений не поступило, хотя многие их ожидали.

Согласно последней редакции ФЗ каждый гражданин РФ имеет исключительное право на защиту личной конфиденциальной информации которая является недоступной для третьих лиц.

Что является персональными данными по закону РФ?

В соответствии с нынешним профильным законодательством Российской Федерации персональными данными принято считать:

• паспортные данные,
• имена и фамилии,
• некоторые другие моменты, которые стали известны субъекту в процессе определенных правоотношений.

К примеру, ФЗ 152 также регламентирует правила о нераспространении полученной информации банком при заключении кредитных и иных соглашений. Практический смысл этого соглашения значится в том, что россиянин, доверив свои данные в рамках определенных отношений, может быть уверен в их сохранении в тайне. В противном случае, нарушение этого правила может предусматривать и уголовное наказание. Общими словами, указанная информация является конфиденциальной и о ее разглашении или распространении не может быть и речи.

152 ФЗ закон о персональных данных

Настоящий законопроект был окончательно подготовленным в 2006 году. До этого времени в России подобного акта не существовало, а это значит, что на территории нашей страны граждане в этом плане были незащищенными. Федеральный закон от 27 июля 2006 г n 152 ФЗ о персональных данных юридически вступил в силу после его одобрения Советом Федерации. Должный административный порядок предполагает, что чтение проводит Госдума, а верхняя палата дает одобрение. Этот порядок действий предусмотрен для узаконивания каждой новой редакции.

О том, что будет за нарушение ФЗ поговорим далее.

Закон 152 ФЗ об обработке персональных данных новая редакция на 2016,

Текст ФЗ с комментариями и пояснениями в новой редакции можно обнаружить в интернете на профильном сайте «Консультант+». Тут же описывается система и сфера работы данного акта. Материал указан с изменениями и поправками за 2016 год, поэтому он максимально актуальный. Ознакомившись с данным актом, каждое лицо найдет ответ на имеющийся вопрос. К примеру, россиян обычно интересуют следующие моменты:

• определение о конфиденциальности (неразглашении);
• ответственность в случае нарушения (действующая редакция);
• работа норм (или что такое персональные данные);
• судебная практика (обычно касается использования информации банками);
• новая (последняя) редакция.

Нарушение закона о персональных данных и ответственность за разглашение информации

При несоблюдении установок ФЗ 152 о неразглашении персональных данных к ответчику может быть применено сразу два вида наказания:

• по статье (до 5 лет заключения);
• и по (штраф до 5 тыс. рублей).

Гражданский и трудовой кодексы содержат лишь предписывающие диспозиции в этой связи. Здесь даются разъяснения об обработке, предоставлении, хранении, передаче, удалении информации и наказании за все эти действия.

Закон о хранении персональных данных на территории РФ в Интернете

Соблюдение всех правил и защита персональных данных и прав являются обязательными на всей территории России. Государственный контроль за работой данного постановления в сети «Интернет» осуществляет Роскомнадзор. Поэтому, если у вас обозначился вопрос относительно того, куда в таких случаях жаловаться, то мы вам указали на уполномоченную структуру. Образец обращения можно отыскать также в сети. Требование соблюдения всех положений акта не терпит исключений.

О передаче третьим лицам, что сказано в ФЗ 152?

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.

4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.

6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

Алексей Кондратов
Сооснователь и руководитель юридического отдела сервиса сайт, специалист в области защиты персоальных данных, юридического сопровождения стартапов и судебной защиты бизнеса.

Образование: юридический факультет Поморского государственного университета. Ранее работал на позиции CEO в компании «Иски Онлайн».

С 1 июля 2017 года вступили в силу изменения в российском Кодексе Административных правонарушений. Увеличились размеры взысканий за нарушения по закону №152-ФЗ «О защите персональных данных», изменились некоторые формулировки. Новые правила заставили многих владельцев сайтов забеспокоиться о том, насколько их ресурсы соответствуют нормам закона. Пробуем разобраться.

Начнем с небольшой вводной информации. 152-ФЗ – первый в России современный закон о персональных данных. Он начал разрабатываться в 2000 году и вступил в силу 27 июля 2006 года. Основным положением закона стало обязательное согласие человека на обработку информации о нем в любых целях. Во время разработки 152-ФЗ были введены два новых термина, которыми закон оперирует до сих пор – субъект персональных данных и оператор персональных данных. Легко догадаться, что субъект – человек, личность которого можно установить, используя определенную информацию. Оператором же может стать как физическое, так и юридическое лицо, которое имеет доступ к личным данным субъекта. Последнее определение крайне важно для нас, поэтому остановимся на нем подробнее.

Кто по закону 152-ФЗ считается оператором персональных данных?

Органы государственной власти и муниципального управления, суды, образовательные и медицинские учреждения, работодатели, любые компании и организации, предоставляющие персональные услуги: банки, юридические фирмы, операторы мобильной связи, строительные компании, интернет-ресурсы – всё это операторы персональных данных, поскольку они в разной мере имеют доступ к личной информации людей.

Какие персональные данные пользователей могут быть на вашем сайте?

Чаще всего под персональными данными (ПДн) понимаются:

• фамилия,
• возраст,
• место рождения,
• фото,
• адрес проживания,
• номер телефона.

Также к персональным данным относятся сведения:

• о семейном положении,
• религиозных, философских и политических взглядах,
• интимной жизни,
• состоянии здоровья.

Обезличенные персональные данные и автоматически собираемая информация:

• e-mail,
• IP-адрес,
• геолокация,
• файлы cookie.

Какие есть формы сбора персональных данных на сайте?

• Форма регистрации.
• Форма заказа.
• Форма обратной связи.
• Кнопка «Заказать обратный звонок».
• Форма подписки на e-mail рассылку.

Размеры штрафов после изменений 1 июля 2017 года

При совершении уголовного преступления к штрафу прибавляются дополнительные меры взыскания, в том числе блокировка ресурса и арест нарушителя.

Как это работает?

Чтобы выявить нарушения, Роскомнадзор проводит плановые, внеплановые (по заявлениям граждан) и документарные (с запросом документов) проверки сайтов. Например, в ходе проверки в 2016 году «Тамбовскую городскую юридическую компанию» оштрафовали за размещение формы обратной связи без сопроводительных документов, а зимой 2017 года за подобные нарушения были оштрафованы несколько астраханских сайтов.

Как избежать штрафа и блокировки сайта: 5 шагов

1. Перенесите базы данных на российские сервера. Это требование закона N149-ФЗ «Об информации, информационных технологиях и о защите информации». Нарушение закона может привести к блокировке ресурса – так, например, прекратила свою деятельность на территории России деловая социальная сеть LinkedIn.
2. Составьте два документа – «Политику обработки персональных данных» и «Пользовательское соглашение». Обратите внимание, что публичная оферта заменяет документ о политике конфиденциальности. Крайне важно, чтобы документы не содержали в себе фактических и юридических ошибок. Лучше всего доверить эту работу профессиональному юристу. В 9 статье закона указано, что виртуальный документ равнозначен документу на бумажном носителе, поэтому никаких физических документов не потребуется.
3. Подключите форму с согласием на обработку ПДн и обязательным чекбоксом ко всем полям сбора персональных данных на сайте.
4. Убедитесь, что страница с «Политикой обработки персональных данных» доступна для прочтения каждому пользователю сайта.
5. Отправьте бумажное и электронное уведомление в Роскомнадзор по установленной форме – ее можно найти на сайте Роскомнадзора. В соответствии со 22 статьей закона этот пункт является обязательным.

Если вы сомневаетесь в своей юридической компетенции или просто не хотите тратить много времени на формальности, есть более простое и практичное решение проблемы – сервис . Это простое, дешевое и быстрое решение для Вашего сайта и бизнеса.

Среди наших предложений, Вы, наверняка, сможете подобрать удобное Вам. Если Вы не хотите затягивать с решением проблемы, то можете уже сейчас. Возникающие юридические вопросы можно задать по телефону нашей службы поддержки 8 800 100 43 45 или ниже в форме комментариев.

Рассказываем, как не нарушить новый закон и как привести сайт в соответствие с новыми правилами.

C 1 июля 2017 года вступил в силу закон "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" от 07.02.2017. Изменения коснулись статьи 13.11 "Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)", а также статей 28.3 и 28.4 КоАП РФ.

Ранее протоколами по таким делам занималась прокуратура, теперь их возбуждает Роскомнадзор. Причем РКН уже активно ведет проверки, начисляет штрафы по каждому пункту нарушений, а суммы возросли в десятки раз.

Если на сайте нет информации о политике конфиденциальности, индивидуального предпринимателя могут оштрафовать на сумму в 10 тысяч рублей, а компанию - на 30 тысяч. Если обработкой персональных данных будет заниматься новостной сайт без согласия своих подписчиков или интернет-магазин - без согласия клиентов, то руководителя компании или предпринимателя оштрафуют на сумму до 20 тысяч рублей, а юрлицо - до 75 тысяч рублей. Количество штрафов будет равно количеству нарушений, заплатить один раз за несколько ошибок не получится.

Кто виноват?

Согласно Федеральному закону «О персональных данных» - «персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.»

Ответственность за нарушение нового закона несут так называемые «операторы персональных данных».

Оператор персональных данных, согласно тому же закону - «государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.»

Все владельцы сайтов, на которых есть контактная форма - анкета, форма регистрации, обратной связи, подписки или просто кнопка заказа обратного звонка, запрашивающая имя и контактный номер телефона, являются операторами персональных данных и могут быть привлечены к ответственности за нарушения пунктов закона.

Вместе с тем, закон не распространяется на запись и сохранение любой личной информации, которую планируется использовать для личных или семейных нужд. Телефонная книга в смартфоне или список контактов в клиенте электронной почты не сделают вас оператором персональных данных. Но, если вы передадите эти данные лицу или организации, которая по закону, является оператором персональных данных или опубликуете сведения, это будет нарушением.

Что делать?

1. Подготовьте публичные документы о правилах и условиях обработки персональных данных и разместите их на сайте так, чтобы они были доступны с любой страницы. Это может быть уведомление, пользовательское соглашение, правила продажи или политика в отношении обработки персональных данных. Важно не название, а содержание. Не копируйте документы других компаний без обработки. Их можно использовать в качестве шаблона, но список данных и цели их использования пропишите свои.

Данные, которые могут потребоваться интернет-магазину для доставки товара, не понадобятся для оформления подписки на информационном сайте. Почему это важно - см. следующий пункт.

2. Приведите в соответствие с публичным документом сами контактные формы. Запрашивать нужно только те персональные данные, которые нужны для работы с вашим ресурсом. Подпишите, зачем просите эти данные, чтобы пользователям было комфортно их оставлять.

Запрос излишних данных может быть расценен как нарушение закона и стать поводом для штрафа.

3. Реализуйте программное решение, которое гарантирует согласие пользователя на обработку персональных данных. Это может быть чек-бокс в форме регистрации, в котором нужно поставить галочку, или кнопка согласия с условиями использования, без активации которых человек не сможет отправить сообщение или оформить заказ.

В случае, если персональные данные не предполагается публиковать, а только использовать для обработки внутри компании, явным образом ограничьте передачу персональных данных без согласия на их обработку. Согласно закону, обязанность доказать, что пользователь добровольно оставил свои данные, возлагается на оператора.

Важно! Перед получением персональных данных, которые предполагается публиковать в общедоступных источниках или передавать третьим лицам, получите письменное согласие у каждого посетителя, клиента или подписчика на их обработку, хранение и распространение.

4. Обезопасьте базу данных. Подготовьте внутренние документы, регламентирующие правила обработки и хранения персональных данных, ответственности сотрудников, имеющих к ним доступ, назначьте лицо, ответственное за безопасность персональных данных и соблюдение правил работы с ними, определенных Федеральным законом N152.

Даже в том случае, если ваш сайт обслуживает другая компания или специалист на аутсорсе, штраф за нарушение закона будет выписан на компанию или ИП, которые указаны на сайте в качестве владельца и, следовательно, получателя персональных данных.

5. Отправьте, если сайт подпадает под требования Закона, уведомление в Роскомнадзор .

Уведомление можно не подавать, если:

• обрабатываются только данные сотрудников;
• персональные данные получены только для исполнения конкретного договора с конкретным человеком и не будут распространяться или использоваться иным образом;
• у вас хранятся только ФИО клиента;
• данные опубликованы в общем доступе самим человеком или кем-либо по его поручению.

Если уверены, что отправлять уведомление не нужно, оформите всю документацию так, чтобы это было понятно и возможным проверяющим. Укажите в пользовательском соглашении, что данные открыты с согласия пользователя, но помните, что доказывать это придется вам.

По закону операторы персональных данных должны уведомить Роскомнадзор. Это нужно сделать до начала обработки данных или вскоре после. Роскомнадзор внесёт информацию об операторе в Реестр операторов персональных данных.

Кроме того, вы обязаны сообщать по запросу пользователя, какие у вас есть данные о нём, как и для чего они обрабатываются и кому вы их передавали, а также удалять данные по первому требованию лица, персональные данные которого хранятся в вашей базе.

Дополнено 04.07.2017:

Мы получили комментарий от сотрудника Роскомнадзора:

"При проверке важно, чтобы у вас на сайте можно было подтвердить согласие на сбор и обработку данных - поле для галочки или какая-то другая форма, публичный документ о целях сбора, порядке обработки персональных данных и обеспечении их безопасности, и ссылка на этот документ на форме, где собираются ПД. Персональными данными мы считаем любую информацию, которую человек оставил на сайте, даже если она недействительна - никнейм, неверный номер телефона и т. д. Штрафы уже были, в основном, за отсутствие документов с политикой в отношении персональных данных или за ошибки в них."

Пример формы регистрации на сайте РИА Новости:

Как видим, подтверждения согласия пользователя на обработку ПД в виде чек-боксов или кнопок "согласен" нет. По ссылке можно перейти на страницу с политикой конфиденциальности, где указано, что пользователь дает это согласие, регистрируясь на сайте:

Другой пример сайта, где регистрационная форма обязывает пользователя вводить несколько типов персональных данных - Avito:

Есть текст, уведомляющий пользователя, что при регистрации он принимает условия пользовательского соглашения, и ссылка на него.

Текст соглашения не содержит информации об обработке персональных данных, кроме указания, что пользователь делает свои данные общедоступными, размещая объявление на сайте.

Политика в области обработки и безопасности персональных данных на Avito размещается в разделе "Безопасность", ссылка доступна с любой страницы сайта.

Универсального совета нет. Для каждого сайта в зависимости от рода занятий - своя форма, поэтому лучше проконсультироваться в Роскомнадзоре.