Закон о персональных данных. Что необходимо знать владельцам сайтов

Новости A5.ru
Закон о персональных данных. Что необходимо знать владельцам сайтов
07.08.2017 в Новости A5.ru

Что необходимо знать собственникам сайтов об обновленном законе о персональных данных?

01.07.2017 обновленный закон о персональных данных становится действительным. Несоблюдение обновленного закона может повлечь за собой привлечение собственников сайтов к достаточно крупным штрафам, ведь очень часто владение сайтом сопряжено с обработкой информации.

Наша статья подробнее расскажет о том, чем отличается обновленный закон от старого, как его соблюдать и как спастись от штрафов.

За несоблюдение статьи 13.11 о сборе, хранении и распространении персональных данных своих пользователей, юридические лица ранее могли получить 1 штраф в размере 10 тысяч рублей. С 1-го июля их число увеличивается до 7, и общая сумма возможного штрафа возрастет до 300 тысяч.

Коррективы в законе призваны усилить контроль над персональными данными пользователей, а также пресечь наиболее распространенные правонарушения, которые были выявлены за последние годы. Еще одна причина обновления закона – коррективы законов в Евросоюзе, они тоже стали более жесткими.

Некоторые, самые распространенные нарушения законов, которые могут привести владельца сайта к штрафу:

  • • отсутствие ссылки в форме обратной связи о соглашении на обработку персональных данных – 50 тысяч рублей;
  • • несоблюдение политики конфиденциальности – 10 тысяч рублей для индивидуальных предпринимателей и 30 тысяч рублей для коммерческих организаций.

 

Привлекать к штрафам будут операторов персональных данных. К ним относятся организации, индивидуальные предприниматели и даже физлица, занимающиеся с обработкой персональных данных. Не только обработка, но также сбор и распространение делает вашу организацию оператором ПД.

 

Что относится к персональным данным?

Говоря простым языком, персональные данные (далее по тексту ПД) – это информация, относящаяся к гражданину, и дающая возможность его идентифицировать. Оперирование следующей информацией делает ваш сайт оператором ПД:

  • • e-mail адрес;
  • • телефонный номер;
  • • ФИО или ИО;
  • • адрес;
  • • день, месяц и год рождения;
  • • фотоизображение;
  • • привязка к социальной сети, личному сайту.

 

Практика показывает, что cookie-файлы и IP-адрес, даже если отсутствует информация о ФИО и местоположении пользователя, может быть признана законодательными органами персональной информацией. Если на ресурсе существует форма обратной связи, система рассылки, на которую нужно подписываться, или же личный кабинет, владелец является оператором ПД. Как уже говорилось выше, если вы занимаетесь не обработкой данных, а их сбором, вы все равно являетесь оператором, так как сбор информации входит в перечень действий, установленных статьей 13.11.

 

6 правил, которые помогут избежать законодательных проблем с сайтом:

  1. Расположение хостинга и базы данных, где хранятся ПД пользователей, должно быть в пределах Российской Федерации. Если же дело касается заграничных компаний или российских компаний, пользующихся заграничными платформами, то тут однозначно сказать нельзя, так как требования Роскомнадзора недостаточно четкие. Самым верным решением будет написать в Роскомнадзор или Минкомсзязь, попросить разъяснения, касающиеся вашего конкретного случая.
  2. Размещайте под формами сбора данных дополнительную информацию. Она должна уведомлять пользователя, что подписываясь на рассылку или используя ресурс как-то иначе, он соглашается на обработку его ПД.
  3. Заведите на ресурсе специальную страницу, где будет размещен документ о Пользовательском соглашении. Текст под формой сбора данных должен содержать ссылку на эту страницу, чтобы пользователь беспрепятственно мог с ним ознакомиться. Содержание соглашения:

 

  • •  название или ФИО, адрес лица/организации, собирающего или/и обрабатывающего ПД;
  • •  назначение обработанной или/и собранной информации;
  • •  список ПД пользователя, которые будут собраны или/и обработаны;
  • •  если данные обрабатывает не оператор, а специально нанятое лицо, нужно указать его название, ФИО, адрес;
  • •  список действий, которые будут применяться к ПД пользователя;
  • • промежуток времени, когда действует соглашение;
  • • способы, которыми пользователь может расторгнуть соглашение.

 

  1. В беспрепятственном доступе на сайте должна быть информация о политике организации в отношении обработки ПД. Она может также размещаться на специально отведенной странице.
  2. Пользователи должны быть уведомлены о том, что их метаданные на сайте собираются и используются. Для этого выводите уведомления. Пользователь должен понимать: если он не желает, чтобы его ПД как-то использовались, ему следует уйти с сайта.
  3. Направьте заявление в Роскомнадзор о внесении вашего ресурса в регистр операторов ПД. Есть несколько случаев, когда можно обойтись без уведомления:
  • •  вы занимаетесь обработкой ПД своих подчиненных только с целью выполнения требований ТК РФ;
  • •  обработка не ведется электронными носителями;
  • •  обработка ведется после заключения договора с каждым отдельным лицом, работником, и больше никуда не передается;
  • •  другие случаи прописаны в пункте 2 статьи 22 закона 152-ФЗ.

 

Дополнительные правила для юридических лиц

Перечисленные выше требования относятся как к физическим, так и юридическим лицам. Однако для юрлиц существует ряд дополнительных требований:

  1. Должен быть назначен круг ответственных лиц, а также разработаны документы, в которых процедура обработки и защиты данных прописана, строго регламентирована. Все документы должны пройти проверку Роскомнадзора, перечень этих документов насчитывает 34 пункта.
  2. Надлежащим образом урегулировать все отношения, которые связывают организацию с госорганами, физлицами, контрагентами. Для этого нужно ознакомить сотрудников организации с внутренними документами на обработку ПД, добиться росписи об ознакомлении. Подписать с ними документ о неразглашении ПД. Обязательно добавлять в заключаемые договора пункт о согласии на обработку ПД. Если возникает необходимость передачи ПД, требовать с лица или организации поручение. Своевременно реагировать на запросы физлиц об обработке персональных данных.
  3. Использовать антивирусы, программные сетевые экраны, разграничивать права доступа к информации, чтобы обеспечить высокий уровень безопасности используемым ПД.

Сделать это необходимо как можно скорее, так как Роскомнадзор проводит большое количество проверок. Это, однако, не единственная проверяющая организация. Все зависит от рода деятельности вашего сайта, однако с проверкой могут наведаться также ФСТЭК и ФСБ России.

 

Немного о штрафах, которые стоит ожидать правонарушителям

Если пользователь сайта обратится с просьбой уточнить свои ПД или полностью удалить их, требование должно быть выполнено. Если пользователь не получает отклика о своем требовании, штрафы рассчитываются следующим образом:

  • •  физлицо – 2 тысячи рублей;
  • •  индивидуальный предприниматель – 20 тысяч рублей;
  • •  коммерческая организация – 45 тысяч рублей.

 

Информацию о прочих возможных взысканиях можно прочитать в поправках к закону.

Обычно проверка начинается с уведомления, в котором Роскомнадзор требует предоставить все обязательные документы и разрешения. Запрашиваемый пакет документов, как правило, довольно большой.

Если Роскомнадзор находит правонарушения, в качестве меры наказания применяется блокировка сайта, наложение штрафов. В особенно запущенных случаях полностью приостанавливается работа компании. Мы настоятельно рекомендуем не дожидаться уведомления от Роскомнадзора, а приступить к выполнению требований как можно скорее.

 

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInShare on VK