+7(499)-938-42-58 Москва
+7(800)-333-37-98 Горячая линия

За что Роскомнадзор штрафует компании на 75 тыс руб.

Содержание

Поправки к закону о персональных данных: что нам приготовил Роскомнадзор

За что Роскомнадзор штрафует компании на 75 тыс руб.

Положительная репутация в поисковых системах без помех от недоброжелателей возможна с Семантикой!

Мы выпустили новую книгу «Контент-маркетинг в социальных сетях: Как засесть в голову подписчиков и влюбить их в свой бренд».

на рассылку и получи книгу в подарок!

C 1 июля вступают в силу февральские поправки в статью 13.11 КоАП. Они касаются операторов персональных данных: всех, кто собирает, хранит и обрабатывает личные данные пользователей любым способом.

Количество единовременных штрафов вырастет до 7, максимальный размер одного штрафа увеличится до 75 тысяч рублей, формулировка закона станет более конкретной, а следить за соблюдением порядка будет не прокуратура, а Роскомнадзор.

Основные положения поправок на 14 апреля выглядят так.

Семь однозначно определенных составов административных правонарушений

Если раньше могли наказать за размытое «нарушение установленного законом порядка», то теперь есть четкая формулировка. По каждому из семи пунктов могут выписать отдельный штраф. Для тех, кто не является государственным или муниципальным органом, предусмотрено только 6 составов правонарушения.

Максимальный размер штрафа по одному правонарушению – 75 тысяч рублей

Для юридических лиц. Для простых граждан потолок одного штрафа – 5 тысяч рублей, для индивидуальных предпринимателей – 20 тысяч. Оглашаем весь список (по клику – версия побольше):

Прокуратура теперь этим не занимается

Вместо нее – Роскомнадзор. Раньше цепочка выглядела как «нарушение выявляет Роскомнадзор – направление результатов расследования в прокуратуру – возбуждение административного делопроизводства – протокол – суд». Удаление двух звеньев из цепочки приведет к ускорению расследования и уменьшению количества дел, закрытых из-за сроков давности.

Понятие личных данных: все еще ничего не понятно

В статье 13.11 КоАП нет точного определения персональных данных. Нет и списка данных, которые относятся к личным. Под общее определение – любая информация, которая прямо или косвенно относится к определенному физическому лицу – подпадает:

  • фамилия, имя отчество;
  • дата рождения;
  • паспортные данные;
  • адрес прописки;
  • номер телефона, ссылка на социальные сети;
  • семейное положение;
  • образование и место работы.

Список неполный; в него входит все, что так или иначе может характеризовать человека, найти его или привязать виртуальный образ к реальной личности.

Что такое обработка личных данных: под паровоз закона попадают все

Закон не касается тех, кто собирает информацию для личных нужд – только тех, кто обрабатывает ее, использует для проведения торговых операций, транзакций или передает третьим лицам.

Записать номер лечащего врача – не нарушение. Выложить его в интернет без согласия владельца – нарушение и штраф.

Если у вас на сайте есть форма обратного звонка, регистрация с обязательным указанием персональных данных, форма заказа или личный кабинет – вы попадаете под действие закона. И пора что-то предпринять.

Что предпринять сейчас

  1. Укажите на сайте, каким образом и зачем обрабатывается персональная информация пользователей, как запретить ее обрабатывать и любую другую информацию, которая касается обработки данных. Формат – вольный: пользовательское соглашение, политика конфиденциальности, условия оказания услуг.

    Страница с этой информацией должна быть доступна из любого места сайта. Или добавьте ее на страницу с формой, в которую пользователь вводит данные.

  2. Сделайте однозначное определение того, что пользователь согласился на обработку своих персональных данных. Самый популярный вариант – галочка-чекбокс.

    Если его не отметить, данные пользователя не передаются и действие (регистрация, покупка, заказ) не совершается.

  3. Составьте четкие инструкции и регламенты по обработке персональных данных пользователей для своих сотрудников.
  4. Зарегистрируйте свой сайт в Роскомнадзоре. Чем раньше, тем лучше.

Регистрация в Роскомнадзоре необязательна, если вы:

  • используете данные только для выполнения договорных обязательств;
  • используете публичные данные, которые были размещены владельцем;
  • обрабатываете данные сотрудников своей компании, например в корпоративном портале;
  • используете только ФИО пользователя.

В этом случае подготовьте документы, которые при проверке убедят представителей Роскомнадзора в правомерности ваших действий.

Что предпринять потом

  • Обрабатывать личные данные пользователя только после его письменного согласия или файла электронной цифровой подписи. Звучит абсурдно, но есть один нюанс.

Цитата Роскомнадзора:

… предложения оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта. Таким образом, субъект персональных данных, акцентируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.

  • Не перегибать палку и запрашивать только то, что нужно. Не требуйте данные об образовании и семейном положении у людей, которые покупают себе кроссовки. Похвастаться исследованиями своей ЦА на конференции теперь стоит дорого.
  • Использовать данные только для того, о чем сообщили пользователю: проведения акций, персонализации рекламы, оформления заказа и доставки и так далее. Запрашиваемые данные и цели их сбора идут в связке, а правомерность использования проверяется Роскомнадзором.
  • Наладить обратную связь с пользователями. По запросу предоставлять информацию: какая личная информация пользователя у вас есть, как она используется и кому передается. Удалять и отзывать данные, которые используются для рекламных рассылок.

Есть два факта.

  • Собирать и обрабатывать данные нужно только на территории России – Федеральный закон № 242-ФЗ от 21.07.2014.
  • Допускается трансграничная передача персональных данных – Федеральный закон № 152-ФЗ, статья 12.

Абсурдность сосуществования этих двух законов только кажущаяся. Все дело в тонкостях формулировок.

Согласно 242-ФЗ в перечень запретов не входит передача данных. Оператор может копировать и передавать данные за границу, не нарушая действующего законодательства – нужно только соблюдать условия 152-ФЗ.

Актуальная база данных по-прежнему находится на территории России, а у зарубежного оператора – ее копия. Копия может использоваться и актуализироваться только на условиях договора двух операторов и законодательства стран, в которых эти операторы находятся. При этом российский оператор не отвечает за действия, которые зарубежный оператор производит с копией базы.

Итог: хранить и обрабатывать данные можно только на территории России, но и передавать базу персональных данных пользователей за границу никто не запрещал – достаточно соблюдать требования 152-ФЗ.

Если вы все еще не уверены, сделайте запрос в Роскомнадзор, Минкомсвязи или в свою хостинг-компанию.

Можно бесконечно перетирать абсурдность некоторых положений, расплывчатость понятия «персональные данные» и сетовать на то, что опять законы становятся жестче, а условия их соблюдения – непонятнее. Но на сегодняшний день факты выглядят так:

  • Шесть штрафов могут быть выписаны единовременно по результатам проверки. Семь – для государственных и муниципальных учреждений.
  • Максимальный штраф – 75 тысяч рублей.
  • Начинать подводить свой сайт под требования обновленного Федерального закона нужно уже сейчас. Роскомнадзор отличается скоростью проверки и наказания.

Источник: https://semantica.in/blog/popravki-k-zakonu-o-personalnykh-dannykh-chto-nam-prigotovil-roskomnadzor.html

Обработка персональных данных в 2018: как избежать штрафа

За что Роскомнадзор штрафует компании на 75 тыс руб.

1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.

Персональные данные: штрафы 

ОснованиеРазмер штрафа
ФизлицаДолжностные лицаЮрлицаИП
Обработка ПДн в случаях, не предусмотренных законодательством РФ; обработка ПДн, несовместимая с целями сбора ПДнпредупреждение или штраф — от 1000 до 3000 руб. предупреждение или штраф — от 5000 до 10 000 руб.предупреждение или штраф — от 30 000 до 50 000 руб.
Обработка ПДн без письменного согласия на то их субъекта от 3000 до 5000 руб.от 10 000 до 20 000 руб.от 15 000 до 75 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПДн, или сведениям по защите ПДнот 700 до 1500 руб.от 3000 до 6000 руб.от 15 000 до 30 000 руб. от 5000 до 10 000 руб.
Непредоставление субъекту ПДн информации по их обработкепредупреждение или штраф — от 1000 до 2000 руб.предупреждение или штраф — от 4000 до 6000 руб.предупреждение или штраф — от 20 000 до 40 000 руб.предупреждение или штраф — от 10 000 до 15 000 руб. 
Невыполнение оператором требования субъекта ПДн или его представителя об уточнении, блокировке, уничтожении (если ПДн неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)предупреждение или наложение штрафа в размере от 1000 до 2000 руб.предупреждение или штраф — от 4000 до 10 000 руб.предупреждение или штраф — от 25 000 до 45 000 руб.  предупреждение или штраф — от 10 000 до 20 000 руб. 
Необеспечение оператором при обработке ПДн без средств автоматизации обязанности по сохранности ПДн, что привело к неправомерному или случайному доступу к ПДн и стало причиной их уничтожения, изменения, блокирования, копированияот 700 до 2000 руб.от 4000 до 10 000 руб.от 25 000 до 50 000 руб.от 10 000 до 20 000 руб. 
Невыполнение оператором (гос. или муниципальным органом) обязанности по обезличиванию ПДн; несоблюдение требований по обезличиванию ПДнпредупреждение или наложение административного штрафа — от 3000 до 6000 руб. 

Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.

В связи с этим возникает много вопросов, наиболее часто задаваемые:  

  • Являюсь ли я оператором персональных данных?
  • Распространяется ли на меня закон о персональных данных?
  • Как уведомить Роскомнадзор об обработке персональных данных?
  • Что делать владельцу сайта, чтобы избежать штрафов?  

Давайте разбираться со всеми вопросами по порядку.

Как понять, являетесь ли вы оператором персональных данных?

В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.

Персональные данныелюбая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка персональных данныхлюбое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:

  • ФИО (вместе и даже по отдельности)
  • дата рождения
  • адрес
  • телефон
  • email
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.   

Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине.

К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн.

Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан. 

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора  

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально.

 На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать.

А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.         

Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ): 

  • ФИО, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
  • цель обработки ПДн;
  • перечень ПДн, на обработку которых субъект дает согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
  • срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва (если иное не установлено законом);
  • подпись субъекта ПДн.

Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.

1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft.

 Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»

Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда.

 За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор.

Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн. 

Случаи, когда уведомление Роскомнадзора не требуется

При обработке ПДн, если они:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными ПДн;
  • включают только ФИО субъектов ПДн;
  • нужны для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПДн, государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;  
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?

В соответствии с ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

  • в случае обезличивания персональных данных;
  • в отношении общедоступных персональных данных;
  • если данные включают только фамилии, имена и отчества субъектов персональных данных;
  • для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (или в иных аналогичных целях);
  • если данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда для обработки персональных данных не нужно согласие субъекта персональных данных?

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:

1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Портал персональных данных — что это такое?

В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн. Ответственность за ресурс будет возложена на Роскомнадзор.

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152

Узнать больше

Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.

Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!  

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

5 базовых принципов закона о персональных данных, о которых нужно знать

Как подготовиться к плановой проверке ФСБ по персональным данным?

Проверка Роскомнадзора: как подготовиться и избежать штрафов 

Источник: https://kontur.ru/articles/4816

Всех, у кого есть сайт, с 1 июля могут оштрафовать на 75 000 рублей!

За что Роскомнадзор штрафует компании на 75 тыс руб.

В феврале 2017 г. в статью 13.11 КоАП внесли правки о нарушениях закона о персональных данных. Они вступят в силу 1 июля и коснутся всех, кто собирает, хранит и обрабатывает любые персональные данные (на вашем сайте есть форма обратной связи – вы попадаете под закон).

1 июля штрафы на порядок вырастут, и упростится их выписка – заниматься этим будет Роскомнадзор напрямую, без прокуратуры. Причем сразу по семи статьям. Например, если на сайте не разместить политику конфиденциальности, ИП могут оштрафовать на 10 тысяч рублей, а компанию – на 30 тысяч. Если обрабатывать данные без согласия пользователя, штраф составит 75 000 рублей.

Штрафовать компании начали уже до вступления в силу поправок, пока не массово, на небольшие суммы, но прецедентов достаточно:

— В Астрахани прокуроры штрафуют владельцев сайтов за формы обратной связи по алфавиту – пресса о штрафах в Астрахани.

— В Тамбовской области прокуратура оштрафовала юридическую компанию за заполнение формы обратной связи без согласия пользователя на обработку персональных данных.

— Директора управляющей компании оштрафовали за то, что он передал юристам данные должников для составления исковых заявлений. Согласие на обработку данных у жильцов он не получил.

Понятно, что с упрощением системы и увеличением размера штрафов, Роскомнадзор плотнее займется этим вопросом. Подробно обо всех новых штрафах и их размерах с 1 июля можно почитать в статье Ильи Шагаева (эксперт, входил в Консультативный совет при Роскомнадзоре, в рабочие группы различных ассоциаций по 152-ФЗ).

Попадает ли ваш сайт под закон?

С вероятностью в 99% – да. Вы попадаете под действие закона, если:

— на вашем сайте есть любые формы для обратной связи, которые собирают любые пользовательские данные: email, ФИО, телефон и т.д.;

— ваш сайт – интернет-магазин, пользователи могут оплатить товары на сайте;

— на сайте есть регистрация пользователей или авторизация через Email и социальные сети;

— вы делаете Email-рассылки для своих клиентов

Что сделать, чтобы вам не выписали штраф?

Особенно важно уже сейчас подготовить свой сайт под требования закона:

1. Разместить на сайте в открытом доступе документы о политике обработки персональных данных. 

2. На каждой форме обратной связи разместить текст о согласии на обработку персональных данных со ссылкой на ваше соглашение.

Также Роскомнадзор настоятельно рекомендует не затягивать со следующими требованиями:

3. Разработать внутренние документы: приказы, регламенты, должностные инструкции. Здесь поможет удобный и бесплатный сервис от СКБ Контур. Он сначала попросит вас ввести необходимые данные, а потом автоматически сгенерирует все необходимые для избежания штрафа документы.

4. Уведомить Роскомнадзор письмом. Это требование закона, причем сделать это нужно до начала обработки данных или как можно скорее. Роскомнадзор внесет информацию об операторе в общий реестр и будет выдавать по запросу.

Как быстро и недорого подготовить свой сайт к требованиям закона?

Для наших клиентов, которым мы оказываем услуги по поддержке сайтов, мы отправим уведомление о необходимости переделать сайт под требования закона. Эти работы можно включить в оплачиваемое время согласно тарифам.

Если вы не заказывали у нас услуги по поддержке сайта, мы можем выполнить разовые работы и подготовить ваш сайт к проверкам Роскомнадзора (создать и разместить на сайте пользовательское соглашение, внедрить необходимый функционал во все формы обратной связи).

При заказе услуги до 1 июля мы установили минимальную цену за нее. Далее с ростом числа желающих, стоимость может увеличиться. Точную цену нужно обсуждать с менеджерами, зависит от объема работ над вашим сайтом:

  • для интернет-магазинов на платформе 1С-Битрикс стоимость всех работ составит от 5490 рублей единоразово, 
  • для других сайтов на платформе 1С-Битрикс стоимость работ составит от 3990 рублей единоразово, 
  • для сайтов на других CMS (не на платформе 1С-Битрикс) стоимость всех работ составит от 6780 рублей единоразово.

Не ждите штрафов, закажите доработку сайта в Веб-Центре прямо сейчас, позвоните нам по телефону 8 (800) 707-63-70 или перейдите по этой ссылке и оставьте заявку. Наши менеджеры оперативно свяжутся и проконсультируют по всем вопросам.

Источник: https://www.obrazstroy.ru/blog/2570/

С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 75 тысяч рублей

За что Роскомнадзор штрафует компании на 75 тыс руб.

В феврале внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных. Они вступят в силу 1 июля 2017 года и коснутся всех, кто собирает, обрабатывает и хранит любые персональные данные.

Штрафы разделили по видам нарушений и увеличили в десятки раз. Например, если не разместить на сайте политику конфиденциальности, ИП могут оштрафовать на 10 тысяч рублей, а компанию — на 30 тысяч.

А если обрабатывать персональные данные без согласия клиента интернет-магазина или подписчика на информационный курс, то штраф для юрлица составит до 75 тысяч рублей. Директору компании или предпринимателю придется заплатить до 20 тысяч.

Если нарушений несколько, то и штрафов будет несколько.

Нужно срочно привести в порядок свои сайты. Проверки уже идут.

Сейчас протоколы о нарушениях может выписывать только прокуратура. Штраф не зависит от вида нарушения и составляет для ИП или директора максимум 1000 рублей, а для юрлица — 10 тысяч рублей. Процедура занимает много времени, штрафы маленькие, поэтому проверяют редко и не всех.

С 1 июля выписывать протоколы будет Роскомнадзор — дело пойдет быстрее.

Как узнать, являюсь ли я оператором персональных данных?

Персональные данные — это любые данные о человеке, по которым его можно идентифицировать. В законе нет перечня таких данных, поэтому приходится догадываться самим. Например, по имени или логину нельзя понять, что это за человек, а по имени и телефону или имени и электронной почте — можно.

Скорее всего, вы являетесь оператором персональных данных, если каким-то образом получаете от любых людей такую информацию в любом сочетании:

  • фамилию,
  • имя,
  • отчество,
  • какой-то физический адрес,
  • электронную почту,
  • телефон,
  • дату или место рождения,
  • фотографию,
  • ссылку на персональный сайт или соцсети,
  • профессию,
  • образование,
  • уровень доходов,
  • семейное положение.

Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету, — это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения — это тоже обработка персональных данных.

Как правильно работать с персональными данными, чтобы не нарушить закон?

Как минимум нужно:

  • получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных;
  • публиковать в открытом доступе информацию обо всём, что касается персональных данных клиентов и посетителей;
  • запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
  • использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
  • сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
  • удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
  • хранить базы данных в надежном месте, защищать их от взлома и утечки;
  • научить сотрудников работать с персональными данными;
  • зарегистрироваться в Роскомнадзоре.

Что? Я должен еще где-то зарегистрироваться?

Да, по закону операторы персональных данных должны уведомить Роскомнадзор. Причем сделать это нужно до начала обработки данных или как можно скорее. Роскомнадзор внесет информацию об операторе в общий реестр и будет выдавать по запросу.

Уведомление можно не подавать, если:

  • обрабатываются только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более — распространяться;
  • человек сам опубликовал эти данные в общем доступе;
  • у вас есть только ФИО клиента и больше ничего.

У меня есть сайт, и я получаю персональные данные. Что мне делать?

Если вы до сих пор ничего не сделали, то вы уже нарушаете закон и вас уже сейчас могут оштрафовать. Даже если ваш сайт обслуживает веб-студия или удаленный айтишник, штраф всё равно выпишут на ту компанию или ИП, которые указаны на сайте.

Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны на всех страницах.

Это может быть пользовательское соглашение, как у «Ламоды», правила продажи, как у «Читай-города», официальное уведомление, как у «М-видео», политика конфиденциальности, как у «Рестора», «Адидаса» или «Озона».

Можно прописать условия обработки персональных данных в обычном договоре или оферте, как это делает Сбербанк.

Не используйте чужие документы. Их можно взять для ориентира, но список данных и цели использования нужно прописывать свои. То, что нужно банку для оформления кредита или интернет-магазину для доставки товара, не понадобится для электронной рассылки или доски объявлений. Запрашивать ненужные данные — нарушение закона и повод для штрафа.

Реализуйте решение, которое позволит четко установить, что человек согласился на обработку персональных данных. Это может быть галочка в форме регистрации или предупреждение при оформлении заказа. Для надежности заверьте веб-страницы у нотариуса.

Подготовьте внутренние документы о хранении персональных данных и ответственности сотрудников, которые с ними работают. Приказы, регламенты и должностные инструкции не нужно выкладывать в общий доступ.

Если нужно, отправьте уведомление в Роскомнадзор. Если уверены, что уведомление отправлять не нужно, оформите документы так, чтобы это было понятно при проверке. Например, пропишите в политике, что используете персональные данные только для исполнения конкретного договора. Или укажите, что создаете ресурс, на котором данные размещаются в общем доступе по желанию пользователя.

Если не знаете, нужно ли вам отправлять уведомление, лучше отправьте.

Это правда, что хранить персональные данные можно только на российских серверах? Если у меня хостинг в Европе, я нарушаю закон?

В законе много непонятного по этому поводу. С одной стороны, собирать, обрабатывать и хранить базы данных нужно на российских серверах. Но при этом есть отдельная статья про трансграничную передачу данных. На сайте Минкомсвязи опубликованы разъяснения по этому поводу, но в них тоже много противоречий.

Сами делайте выводы, где хранить данные. Если не знаете, что делать, отправьте запрос в Роскомнадзор или Минкомсвязи. Еще можно обратиться к своему хостеру: чаще всего у таких компаний есть готовые решения.

Да успокойтесь вы все! Никого не будут штрафовать из-за каких-то форм на сайте и ненужных бумаг.

В Тамбовской области прокуратура оштрафовала юридическую компанию за заполнение формы обратной связи без согласия пользователя на обработку персональных данных. Суды поддержали.

Директора управляющей компании оштрафовали за то, что он передал юристам данные должников, чтобы составить исковые заявления. Согласие на обработку персональных данных у жильцов он не получил. Конституционный суд ему не помог.

В Астрахани прокуроры штрафуют владельцев сайтов за формы обратной связи по алфавиту.

Постановление Тамбовского областного суда № 4А-288/2016

Определение КС № 100-О от 28.01.16 по делу директора УК

О штрафах в Астрахани в газете «Волга»

Кроме штрафов в пользу государства за нарушение правил обработки персональных данных могут взыскать компенсацию морального вреда и даже посадить в тюрьму.

Источник: Тинькофф журнал

Источник: http://www.npral.ru/news/s-1-iyulya-shtrafy-za-narushenie-zakona-o-personalnykh-dannykh-uvelichatsya-do-75-tysyach-rubley/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.