Всем, у кого есть сайт! С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 75 тысяч рублей

Всем, у кого есть сайт! С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 75 тысяч рублей

В феврале внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных. Они вступят в силу 1 июля 2017 года и коснутся всех, кто собирает, обрабатывает и хранит любые персональные данные. 

Штрафы разделили по видам нарушений и увеличили в десятки раз. Например, если не разместить на сайте политику конфиденциальности, ИП могут оштрафовать на 10 тысяч рублей, а компанию — на 30 тысяч. А если обрабатывать персональные данные без согласия клиента интернет-магазина или подписчика на информационный курс, то штраф для юрлица составит до 75 тысяч рублей. Директору компании или предпринимателю придется заплатить до 20 тысяч. Если нарушений несколько, то и штрафов будет несколько.

Нужно срочно привести в порядок свои сайты. Проверки уже идут.

Сейчас протоколы о нарушениях может выписывать только прокуратура. Штраф не зависит от вида нарушения и составляет для ИП или директора максимум 1000 рублей, а для юрлица — 10 тысяч рублей. Процедура занимает много времени, штрафы маленькие, поэтому проверяют редко и не всех.

С 1 июля выписывать протоколы будет Роскомнадзор — дело пойдет быстрее.

Как узнать, являюсь ли я оператором персональных данных?

Персональные данные — это любые данные о человеке, по которым его можно идентифицировать. В законе нет перечня таких данных, поэтому приходится догадываться самим. Например, по имени или логину нельзя понять, что это за человек, а по имени и телефону или имени и электронной почте — можно.

Основные понятия в законе о персональных данных

Скорее всего, вы являетесь оператором персональных данных, если каким-то образом получаете от любых людей такую информацию в любом сочетании:

• - фамилию,
• - имя,
• - отчество,
• - какой-то физический адрес,
• - электронную почту,
• - телефон,
• - дату или место рождения,
• - фотографию,
• - ссылку на персональный сайт или соцсети,
• - профессию,
• - образование,
• - уровень доходов,
• - семейное положение.

Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету, — это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения — это тоже обработка персональных данных.

А если я записываю телефон друга или электронную почту девушки на сайте знакомств, мне нужно соблюдать этот закон?

Нет, не нужно. На данные для личных и семейных нужд закон не распространяется. Но если передать телефон друга коллекторам или опубликовать объявление с почтой девушки на форуме женоненавистников — это уже нарушение.

Что регулирует закон и когда он не действует

Как правильно работать с персональными данными, чтобы не нарушить закон?

Как минимум нужно:

• - получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных;
• - публиковать в открытом доступе информацию обо всём, что касается персональных данных клиентов и посетителей;
• - запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
• - использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
• - сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
• - удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
• - хранить базы данных в надежном месте, защищать их от взлома и утечки;
• - научить сотрудников работать с персональными данными;
• - зарегистрироваться в Роскомнадзоре.

Условия обработки персональных данных

Что? Я должен еще где-то зарегистрироваться?

Да, по закону операторы персональных данных должны уведомить Роскомнадзор. Причем сделать это нужно до начала обработки данных или как можно скорее. Роскомнадзор внесет информацию об операторе в общий реестр и будет выдавать по запросу.

Уведомление можно не подавать, если:

• - обрабатываются только данные сотрудников;
• - персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более — распространяться;
• - человек сам опубликовал эти данные в общем доступе;
• - у вас есть только ФИО клиента и больше ничего.

Уведомление на сайте Роскомнадзора

У меня есть сайт, и я получаю персональные данные. Что мне делать?

Если вы до сих пор ничего не сделали, то вы уже нарушаете закон и вас уже сейчас могут оштрафовать. Даже если ваш сайт обслуживает веб-студия или удаленный айтишник, штраф всё равно выпишут на ту компанию или ИП, которые указаны на сайте.

Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны на всех страницах. Это может быть пользовательское соглашение, как у «Ламоды», правила продажи, как у «Читай-города», официальное уведомление, как у «М-видео», политика конфиденциальности, как у «Рестора», «Адидаса» или «Озона». Можно прописать условия обработки персональных данных в обычном договоре или оферте, как это делает Сбербанк.

Не используйте чужие документы. Их можно взять для ориентира, но список данных и цели использования нужно прописывать свои. То, что нужно банку для оформления кредита или интернет-магазину для доставки товара, не понадобится для электронной рассылки или доски объявлений. Запрашивать ненужные данные — нарушение закона и повод для штрафа.

Реализуйте решение, которое позволит четко установить, что человек согласился на обработку персональных данных. Это может быть галочка в форме регистрации или предупреждение при оформлении заказа. Для надежности заверьте веб-страницы у нотариуса.

Подготовьте внутренние документы о хранении персональных данных и ответственности сотрудников, которые с ними работают. Приказы, регламенты и должностные инструкции не нужно выкладывать в общий доступ.

Если нужно, отправьте уведомление в Роскомнадзор. Если уверены, что уведомление отправлять не нужно, оформите документы так, чтобы это было понятно при проверке. Например, пропишите в политике, что используете персональные данные только для исполнения конкретного договора. Или укажите, что создаете ресурс, на котором данные размещаются в общем доступе по желанию пользователя.

Если не знаете, нужно ли вам отправлять уведомление, лучше отправьте.

Это правда, что хранить персональные данные можно только на российских серверах? Если у меня хостинг в Европе, я нарушаю закон?

В законе много непонятного по этому поводу. С одной стороны, собирать, обрабатывать и хранить базы данных нужно на российских серверах. Но при этом есть отдельная статья про трансграничную передачу данных. На сайте Минкомсвязи опубликованы разъяснения по этому поводу, но в них тоже много противоречий.

Сами делайте выводы, где хранить данные. Если не знаете, что делать, отправьте запрос в Роскомнадзор или Минкомсвязи. Еще можно обратиться к своему хостеру: чаще всего у таких компаний есть готовые решения.

Как разобраться во всех правовых тонкостях?

Приходите 21 апреля на деловую встречу «Практические советы в области защиты персональных данных», которую организует Компания «Респект» в рамках Бонусного клуба совместно с Союзом предпринимателей г. Уфы.

На мероприятии Вы узнаете:

·  Разъяснение обязательных требований, предъявляемых к операторам при обработке персональных данных.

·  Наиболее часто выявляемые нарушения при проведении плановых проверок и мероприятий систематического наблюдения.

·  Требования законодательства при сборе персональных данных в сети Интернет.

·  Запрет незаконного размещения персональных данных в сети Интернет.

·  Ответственность, предусмотренная за нарушения в сфере защиты прав субъектов персональных данных.

Лектором выступит Ильдар Абдуллин - начальник отдела по защите прав субъектов персональных данных и надзора в сфере информационных технологий Управления Роскомнадзора по Республике Башкортостан.  

Ваши вопросы присылайте на e-mail: bonus@respectrb.ru, либо по факсу: 8 (347) 292-77-97 с пометкой «Вопрос на деловую встречу 21.04.2017».

Мероприятие пройдет 21 апреля 2017 г. с 10 до 12 часов по адресу: г. Уфа, ул. 50 лет СССР, 48/1, ост. «50 лет СССР».

Регистрируйтесь по телефону: (347) 292-77-97, а также на сайте: www.respectrb.ru