ПИШЕМ, ОБСУЖДАЕМ, ПЕРЕЖИВАЕМ...

Приводим сайт в соответствие с нормами 152-ФЗ и 13-ФЗ
28 Апреля 2017

С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 75 тысяч рублей

В феврале внесены поправки в статью 13.11 КоАП о нарушении закона о персональных данных. Они вступят в силу с 1 июля 2017 года и коснутся тех, кто собирает, обрабатывает и хранит персональные данные пользователей.

Штрафы были разделены по видам нарушений и увеличены  в разы: к примеру если не разместить на сайте политику конфиденциальности, владельца сайта могут оштрафовать на 10 тысяч рублей, компанию — на 30 тысяч. А если обрабатывать персональные данные без согласия клиента интернет-магазина или подписчика на информационный курс, то штраф для юрлица составит до 75 тысяч рублей. Директору компании или предпринимателю придется заплатить до 20 тысяч. Если нарушений несколько, то и штрафов будет несколько.

Приводим в порядок свой сайт

Сейчас протоколы о нарушениях может выписывать только прокуратура, штраф не зависит от вида нарушения и составляет для ИП или директора максимум 1000 рублей, а для юрлица — 10 тысяч рублей. Процедура занимает много времени, штрафы маленькие, поэтому проверяют редко и не всех.

С 1 июля выписывать протоколы будет Роскомнадзор — дело пойдет быстрее.


Как узнать, являюсь ли я оператором персональных данных?

Персональные данные — это любые данные о человеке, по которым его можно идентифицировать, в законе нет перечня таких данных, поэтому приходится догадываться самим. К примеру, по имени или логину нельзя понять, какой  человек, а по имени и телефону или имени и электронной почте — можно.

Понятия в законе о персональных данных

Вы являетесь оператором персональных данных, если каким-то образом получаете от любых людей такую информацию в любом сочетании:

  • фамилию,
  • имя,
  • отчество,
  • какой-то физический адрес,
  • электронную почту,
  • телефон,
  • дату или место рождения,
  • фотографию,
  • ссылку на персональный сайт или соцсети,
  • профессию,
  • образование,
  • уровень доходов,
  • семейное положение.

Получается, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно купить, подать объявление, или заполнить анкету, — это операторы персональных данных. В том числе -  если на сайте есть только кнопка для заказа звонка или отправки сообщения — это так же обработка персональных данных.


При записи телефона знакомого или электронной почты девушки на сайте знакомств – это так же подпадает под нормы данного закона?

Нет, на данные для личных и семейных нужд закон не распространяется. Но если передать телефон друга коллекторам или опубликовать объявление с почтой девушки на форуме женоненавистников — это уже нарушение.

Что регулирует закон и когда он не действует


Правила работы с персональными данными, чтобы не нарушить закон.

Основные моменты:

  • получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных;
  • публиковать в открытом доступе информацию обо всём, что касается персональных данных клиентов и посетителей;
  • запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
  • использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
  • сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
  • удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
  • хранить базы данных в надежном месте, защищать их от взлома и утечки;
  • научить сотрудников работать с персональными данными;
  • зарегистрироваться в Роскомнадзоре.

Условия обработки персональных данных


Нужна ли регистрация где-либо.

Да, по закону операторы персональных данных должны уведомить Роскомнадзор, и сделать это нужно до начала обработки данных или как можно скорее. Роскомнадзор внесет информацию об операторе в общий реестр и будет выдавать по запросу.

Реестр операторов персональных данных

Уведомление можно не подавать в случаях:

  • обрабатываются только данные ваших сотрудников;
  • персональные данные получены для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и  распространяться;
  • человек самостоятельно опубликовал эти данные в общем доступе;
  • у вас есть ФИО клиента и больше ничего.

Уведомление на сайте Роскомнадзора


Что делать?

Желательно всеже пройти регистрацию в Роскомнадзоре, так как вы уже по сути нарушаете Закон, даже если сайт обслуживате не вы, а веб-студия – сайт все равно остается вашей собственностью.

Нужно подготовить публичные документы и разместить их на вашем сайте так, чтобы они были доступны на всех страницах. Это может быть пользовательское соглашение, правила продажи, официальное уведомление, политика конфиденциальности. Можно прописать условия обработки персональных данных в обычном договоре или оферте, как это делает Сбербанк.

Использование чужих документов не желательно. Их можно взять как образец, но список данных и цели использования нужно прописывать свои. То, что нужно банку для оформления кредита или интернет-магазину для доставки товара, не понадобится для электронной рассылки или доски объявлений. Запрашивать ненужные данные — лишний повод поиграть с нормами закона и повод для штрафа.

Сформируйте формы, которые позволят четко установить, что человек согласился на обработку персональных данных: галочка в форме регистрации или предупреждение при оформлении заказа. Нужно разработать внутренние документы о хранении персональных данных и ответственности сотрудников, которые с ними работают. Приказы, регламенты и должностные инструкции не нужно выкладывать в общий доступ.

Если нужно, отправьте уведомление в Роскомнадзор (сли уверены, что уведомление отправлять не нужно, оформите документы так, чтобы это было понятно при проверке). К примеру, пропишите в политике, что используете персональные данные только для исполнения конкретного договора. Или укажите, что создаете ресурс, на котором данные размещаются в общем доступе по желанию пользователя.

Если не знаете, нужно ли вам отправлять уведомление, лучше отправьте.

Требования ФСТЭКк безопасности данных

Постановление правительства о защите данных


Это правда, что хранить персональные данные можно только на российских серверах? Если у меня хостинг в Европе -  я нарушаю закон?

В законе много неясностей по этому поводу: с одной стороны, собирать, обрабатывать и хранить базы данных нужно на российских серверах, но при этом есть отдельная статья про трансграничную передачу данных. На сайте Минкомсвязи опубликованы разъяснения по этому поводу, но в них тоже много противоречий.

О базах данных в РФ

О трансграничной передаче данных

Пояснения Минкомсвязи

Сами делайте выводы, где хранить данные. Если не знаете, что делать, отправьте запрос в Роскомнадзор или Минкомсвязи. Еще можно обратиться к своему хостеру: чаще всего у таких компаний есть готовые решения.

Лучше не пускать на самотек данный вопрос…

В Тамбовской области прокуратура оштрафовала юридическую компанию за заполнение формы обратной связи без согласия пользователя на обработку персональных данных - суды поддержали. Директора управляющей компании оштрафовали за то, что он передал юристам данные должников, чтобы составить исковые заявления. Согласие на обработку персональных данных у жильцов он не получил. Конституционный суд ему не помог.

 

Постановление Тамбовского областного суда № 4А-288/2016

Определение КС № 100-О от 28.01.16 по делу директора УК

О штрафах в Астрахани в газете «Волга»

К томуже, за подобные нарушения может быть предусмотрена и уголовная ответственность….