Что ждет владельцев сайтов в свете изменений в законе «О персональных данных»

С 1 июля 2017 года в силу вступают поправки в ст.13.11 КоАП, ужесточающие наказание за нарушения требований закона «О персональных данных». Эти изменения затрагивают всех, кто является оператором персональных данных, то есть собирает, обрабатывает и хранит любые персональные данные.

Это значит, что все владельцы таких сайтов, которые получают информацию от пользователей, должны внимательно изучить изменения в законодательстве и подготовить свой сайт к 1 июля этого года.

На данный момент протоколы о нарушениях в этом вопросе выписывает только прокуратура, поэтому процесс протекает не быстро. Да и размеры штрафов ограничены - индивидуальный предприниматель выплачивает 1000 рублей, а юридическое лицо 10 000 рублей. С 1 июля штрафы станут больше и для ЮЛ могут доходить до 75 000 рублей, сфера их применения шире, а протоколы будет выписывать Роскомнадзор, а значит процедура будет идти гораздо быстрее. При этом, итоговая сумма штрафа за нарушения закона «О персональных данных» может дойти до 295 000 рублей.

Кто является оператором персональных данных?

Закон не дает четкого ответа на вопрос, что относится к персональным данным и определяет их как – любую информацию, относящуюся к прямо или косвенно определенному, или определяемому физическому лицу. Это значит, что хранение имен или ников не позволяет четко идентифицировать человека, а вот наличие имени вместе с другими данными, такими как электронная почта или номер телефона уже позволяет это сделать.

Если Вы владелец сайта (не важно являетесь Вы ФЛ, ИП, ЮЛ), то Вы будете рассматриваться как оператор персональных данных при получении следующей информации:

  • ФИО (или какую-то часть ФИО),

  • физический адрес,

  • электронную почту,

  • телефон,

  • дату или место рождения,

  • фотографию,

  • ссылку на персональный сайт или соцсети,

  • профессию,

  • образование,

  • уровень доходов,

  • семейное положение,

  • и другие варианты.

Перечень не является закрытым, а значит в случае судебного разбирательства вопрос будет решаться судом. И практика по существующим делам показывает, что суд встает на сторону субъекта персональных данных, а не оператора. Широкая трактовка понятия и наработанная судебная практика показывают, что даже cookie, данные об IP-адресе, местоположении без указания фамилии и имени являются персональными данными.

Так управляющая компания в Астрахани была оштрафована за то, что передала юристам данные должников для составления искового заявления, так как при сборе данных жильцы не давали свое согласие на это.

Закон будет распространяться на Вас, даже если пользователи сами оставляют Вам эти данные, заполняя формы заказа или обратной связи на сайте. Поэтому личные кабинеты, ФОС, подписки, регистрации, заполнения анкет – всё это попадает под обработку персональных данных.

Неправильно: не запрашивается согласие пользователя на обработку его персональных данных и нет ссылки на Политику конфиденциальности.

Что нужно сделать, чтобы не попасть под штраф?

Чтобы не оказаться в числе оштрафованных, нужно получить согласие субъекта персональных данных на обработку его данных, то есть:

  • получить письменное согласие у каждого посетителя сайта, подписчика на рассылку, клиента, оставляющего заявку на обработку, хранение и распространение его персональных данных;

  • публиковать в открытом доступе информацию обо всём, что касается персональных данных;

  • запрашивать только те данные, которые нужны для конкретной цели, а не собирать как можно больше информации о посетителе. Для подписки на e-mail рассылку достаточно получить e-mail, для выезда замерщика на дом достаточно получить ФИО, адрес и номер, сбор паспортных данных будет лишним в обоих случаях;

  • использовать полученные данные только для тех целей, для которых они изначально собирались и о чем был уведомлен субъект персональных данных. Это значит, что Вы не можете по настроению передать базу для e-mail рассылки своему коллеге из другой компании или любому третьему лицу, если изначально не предупреждали об этом;

  • в соответствии со ст.14152-ФЗ «О персональных данных» субъект персональных данных имеет право на доступ к своим данным. Причем он может потребовать не только факт подтверждения взятия данных на обработку, но и правовые основания и цели сбора, данные об операторе (место нахождения, наименование, сведения о компании), а также срок, во время которого данные будут храниться. Полный список можно посмотреть в статье Закона;

  • оператор обязан удалять по требованию субъекта данные о нём, хранить базы в надежном месте и защищать их от взлома или утечки, а также обучать сотрудников работе с такими данными;

  • и самое важное – оператор персональных данных должен зарегистрироваться в Роскомнадзоре.

Правильно: есть поле для согласия пользователя об обработке его персональных данных и дана ссылка на Политику конфиденциальности.

Регистрация с Роскомнадзоре

Хорошие новости заключатся в том, что для регистрации никуда не нужно ехать. Можно заполнить форму на сайте Роскомнадзора, а затем распечатать её, подписать и направить в территориальный орган Роскомнадзора по месту Вашей регистрации.

Сделать это необходимо как можно скорее.

Работать с персональными данными без уведомления органов можно в нескольких случаях. К ним относятся:

  • обработка данных в соответствии с трудовым законодательством,

  • если данные были получены в рамках заключения договора между оператором и субъектом, при условии, что персональные данные будут использовать исключительно для исполнения договора, а значит они не будут использоваться или распространяться,

  • если данные о субъекте были получены из открытого источника, то есть были общедоступными,

  • если данные включают только ФИО субъекта.

Исполнение требований закона "О защите персональных данных"

Если Вы владелец сайта и работаете с персональными данными, то Вам необходимо подготовить документы и разместить их на сайте до 1 июля текущего года. Это может быть пользовательское соглашение, политика конфиденциальности или просто фиксирование этой информации в рамках договора или оферты. Названия могут отличаться друг от друга, но смысл всех этих документов одинаков. Всё, что обязательно должно содержаться в текстедокумента, перечислено в ч.4 ст.9 закона «О персональных данных».

Не нужно брать чужие документы, в надежде, что в крупной компании грамотные юристы, которые верно составили текст и учли все нюансы. Вам нужно внимательно отнестись к этому соглашению, возможно взять за ориентир чужие версии, но обязательно посмотреть на них сквозь призму Вашего интернет-магазина или портала услуг.

Помимо грамотного документа, Вам необходимо получить четкое подтверждение от пользователя, что он ознакомлен с ним и дает свое согласие, поэтому просто разместить документ где-то на внутренней странице не получится. Отличным вариантом является галочка в форме регистрации или при заполнении любой иной формы на сайте, где вводятся данные пользователя. Не лишним будет заверить веб-страницы у нотариуса.

Необходимо внести информацию об обработке таких данных и во внутренние документы компании, однако эти документы уже не нужно выкладывать в общий доступ. Достаточно просто привести их в порядок.

Если Вы сомневаетесь в том, нужно ли Вам уведомлять о своей деятельности Роскомнадзор, то лучше уведомьте или направьте запрос с вопросом.

И напоследок

Не думайте, что закон не затрагивает Вас лично. Даже на текущий момент есть судебные дела, в которых после заявления прокуратуры суд накладывал штрафы на юрлица. Сейчас же закон становится жестче и реализация через Роскомнадзор будет быстрее. Помимо штрафа с Вас могут потребовать компенсацию морального вреда, которая обычно составляет 10000 рублей, что вдобавок к штрафу будет не очень приятным бонусом. В отдельных случаях (в зависимости от серьезности правонарушения) компания может попасть под проверку не только Роскомнадзора, но и ФСТЭК и ФСБ РФ. Но они участвуют только в очень редких случаях.

Что касается требования хранить персональные данные только на российских серверах, то ответ на этот вопрос не стольоднозначный. Так как даже сам закон содержит статью про трансграничную передачу данных. Судебной практики по этим делам ещё недостаточно, чтобы сделать вывод о применении статьи, поэтому советуем обращаться в каждом отдельном случае в Роскомнадзор или Минкомсвязь за получением разъяснения. Можно так же направить запрос хостинг-провайдеру, так как многие из них имеют готовые решения по этому вопросу.


Теги: Все статьи, Новости, Бизнес

Комментарии (0)





Разрешённые теги: <b>,<i>,<br>Добавить новый комментарий: