152 фз о защите персональных данных и изменения 2017

В российском законодательстве за последние годы укрепилась тенденция: дописывать законы, регулирующие оффлайн деятельность, поправками по регулированию схожей деятельности в Интернете. Так были внесены поправки в федеральный закон 54-ФЗ О применении и использовании контрольно-кассовой техники. Теперь закон получил дополнения касательно торговли и приема платежей онлайн. В это же время (1 июля 2017 года) вступили в силу поправки в федеральный закон 152-ФЗ О персональных данных. Принятый в 2006 году, он регулировал работу с персональными данными, хранящимися на бумажных носителях. Теперь же Роскомнадзору предстоит осуществлять контрольную деятельность по использованию персональных данных, предоставляемых онлайн.

Обсуждать сколько негатива было слито в сеть по этому поводу дело не благодарное, как и множить его. Но давайте будем честными сами с собой. В российской практике все еще чаще сливают базу контактов налево. Рассылают email-СПАМ и SMS сообщений, получив данные при заказе от клиента, но без разрешения с его стороны. Бизнесу важно поддерживать и увеличивать уровень продаж. Уважительное отношение к частной жизни и ценности персональных данных пользователя очень вторичны.

Данная статья предназначена именно для тех онлайн-предпринимателей, которые предоставляют товары и услуги, выстраивают программы лояльности, используют кросс-промо и постоянно остаются на связи со своим потенциальным клиентом через рассылки, опросы, смс-информирование об акциях и скидках.

Обновленный 152-ФЗ О персональных данных (текст закона) безусловно добавил работы предпринимателям и владельцам сайтов, но при более близком рассмотрении шагов по соответствию новым требованиям не много и большинство решается, не отходя от монитора.

Что такое персональные данные (ПДн)?

Персональные данные – это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия. То есть практически любая информация, которую пользователь указывает на сайте при регистрации или заполнении формы, попадает под действие 152-ФЗ.

Роскомнадзор стал относить к персональным данным также данные о поведении пользователя на сайте, cookie, сведения о его геопозиции и IP-адрес.

152-ФЗ О персональных данных: что такое ПДн

152-ФЗ О персональных данных: суть закона

Итак, с 1 июля 2017 года, если вы собираете, храните и обрабатываете персональные данные пользователей вашего сайта, то ваш интернет-ресурс должен соответствовать следующим требованиям:

Расположение хостига

Хостинг и база персональных данных должны располагаться на территории РФ

Как соответствовать? Если вы не знаете, где хранить данные и что с ними делать, обратитесь напрямую в Роскомнадзор или Минкомсвязи. Плюс поинтересуйтесь о том, где находятся сервера у вашего хостинг провайдера через службу поддержки.

Согласие на обработку данных

Согласие на обработку данных должны размещаться под каждой формой сбора этих данных.

Как соответствовать? Разместите под каждой формой сбора вот такой примерный текст: «Нажимая кнопку, вы даете согласие на обработку своих персональных данных» или «Я согласен на обработку моих персональных данных». Также необходимо в тексте разместить ссылку на пользовательское соглашение, договор или согласие на обработку персональных данных. Это может быть отдельная страница, всплывающее окно или ссылка на PDF документ.

Что должно быть в соглашении об обработке персональных данных?

Согласно ч.4 ст.9 закона 152-ФЗ О персональных данных, в соглашение обязательно необходимо включить следующую информацию:

  • Наименование и ФИО и адрес оператора;
  • Цель обработки персональных данных;
  • Перечень персональных данных, на которые дается согласие пользователя;
  • Наименование или ФИО и адрес лица, осуществляющего обработку персональных данных, по поручению оператора;
  • Перечень действий с персональными данными;
  • Срок, с течение которого действует согласие.

Обязательные документы

Обязательной является и ссылка на документ «Политика конфиденциальности» или «Политика в отношении обработки персональных данных»

Как соответствовать? В сети множество вариантов данных документов в свободном доступе. Можно использовать их как шаблон и переработать под свои реквизиты, нужды и сферу деятельности сайта. Воспользуйтесь в качестве шаблона документами больших игроков бизнеса (сбербанк, тинькофф, ozon, икеа и др.) Также можно воспользоваться сервисами по подготовке сайта под требования 152-ФЗ О персональных данных. Один из таких 152фз.рф (есть вариант бесплатной и платной подготовки сайта) — здесь же вы сможете проверить свой сайт на соответствие и узнать. где остались слабые места в вашей защите от штрафов Роскомнадроза.

Сбор метаданных

Обязательным является Уведомление о сборе метаданных пользователя на вашем сайте, для каждого нового посетителя.

Как соответствовать? Вам необходимо информировать новых посетителей вашего сайта о том, что на сайте производится сбор данных, необходимых для функционирования сайта и, если он не хочет, чтобы эти данные обрабатывались, то должен покинуть сайт. Такой информатор называется дисклеймер. Для его установки достаточно обратиться к разработчику вашего сайта. Примеры также можно найти на сайтах лидеров интернет-торговли.

Реестр операторов персональных данных

Подать заявление на внесение вас или вашей компании в реестр операторов персональных данных Роскомнадзора. Не откладывайте это в долгий ящик, чтобы не ждать «писем счастья» от РКН. Сделать это не сложно. Есть варианты как самостоятельного решения вопроса, так и через посредника.

Как соответствовать? Подать заявление можно, перейдя по ссылке — форма заявки на официальной странице Роскомнадзора (сайт бывает перегружен, не сдавайтесь).

Кому можно не подавать заявление на внесение в реестр операторов персональных данных Роскомнадзора?

Вы в праве не подавать заявление на внесение в реестр операторов персональных данных, если:

  • Обрабатываете только данные работников и только для исполнения требований трудового договора законодательства (без передачи данных в банки, например, оформление зарплатного проекта);
  • Обрабатываете данные, заключая договор с каждым клиентом и работником, и не передаете данные третьим лицам;
  • Обрабатываете персональные данные только на бумажных носителях.

ШТРАФЫ для тех, кто не соблюдает закон 152-ФЗ О персональных данных

Всего предусмотрено 7 (нарушений) правок об ответственности за неисполнение закона:

Обработка персональных данных в «Иных целях»

ч.1 ст.13.11. 
Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, если эти действия не содержат уголовно-наказуемого деяния. 

Пример, Компания собирает данные о работниках и передает их сторонним компаниям в рекламных целях.

Граждане от 1000 до 3000 рублей
Должностные лица от 5000 до 10000 рублей
ИП не предусмотрено
Юридические лица от 30000 до 50000 рублей

 

К этому виду нарушений можно отнести принудительную регистрацию в личном кабинете интернет-магазина при покупке. Если цель — продажа товара (доставка по указанному адресу), то запрашиваемая для регистрации информация (и сама регистрация) — избыточна и несовместима с целями.

Обработка персональных данных без согласия

ч.2 ст.13.11
Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных

Пример: Вы не разместили текст «Я даю согласие на обработку своих данных» под формой заявки и не дали ссылку на соответствующий документ.

Граждане от 3000 до 5000 рублей
Должностные лица от 10000 до 20000 рублей
ИП от 10000 до 20000 рублей
Юридические лица от 15000 до 75000 рублей

 

Доступ к политике конфиденциальности

ч.3 ст.13.11.
Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных.

Вы обязаны опубликовать или иным образом обеспечить доступ к документу, который определяет политику по обработке персональных данных.

Граждане от 700 до 1500 рублей
Должностные лица от 3000 до 6000 рублей
ИП от 5000 до 10000 рублей
Юридические лица от 15000 до 30000 рублей

 

Сокрытие информации

ч.4 ст.13.11.
Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

Каждый, кто оставляет свои данные имеет право на получение информации по их обработке.

Граждане от 1000 до 2000 рублей
Должностные лица от 4000 до 6000 рублей
ИП от 10000 до 15000 рублей
Юридические лица от 20000 до 40000 рублей

 

Процедура запроса информации об использовании ПДн от частного лица довольно сложна и прописана в 152-ФЗ О персональных данных.

Уточнение или блокировка

ч.5 ст.13.11. 
Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Если вы используете данные пользователей, с устаревшими, неточными или незаконно полученными сведениями. А также невыполнение в установленные сроки требования (частного лица, его представителя, уполномоченного органа) о блокировании-уничтожении-изменении ПДн.

Граждане от 1000 до 2000 рублей
Должностные лица от 4000 до 10000 рублей
ИП от 10000 до 15000 рублей
Юридические лица от 25000 до 45000 рублей

 

Пока «упрощённого» порядка отзыва субъектом своего согласия на обработку ПДн не предусмотрено по закону. Равно как и простого порядка запроса информации об их использовании. Но разумно и безопасно для кошелька оператора остановить взаимодействие с покупателем, если он просит не беспокоить его. В этом случае, вы защищаете себя ещё и проблем с ФАС в соответствии с законом «О рекламе».

Сохранность персональных данных

ч.6 ст.13.11.
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния.

Если по вашей вине были уничтожены, изменены или похищены персональные данные пользователей.

Граждане от 700 до 2000 рублей
Должностные лица от 4000 до 10000 рублей
ИП от 10000 до 20000 рублей
Юридические лица от 25000 до 50000 рублей

 

Как соответствовать? Во-первых, всегда держите под контролем всех подрядчиков, которые имеют доступ к персональным данным ваших подписчиков, пользователей, клиентов. Это могут быть разработчики сайта, маркетинговые агентства, удаленный контакт-центр и прочее. Если кто-то из них имеет доступ к ПДн из заявок или базы данных сайта (например, сайт находится на технической поддержке или агентство готовит рассылки или смс-уведомления для ваших подписчиков/клиентов), вам необходимо заключить соглашение с агентством об обеспечении безопасности персональных данных. В соглашении должно быть указано, какие персональные данные агентство может обрабатывать, в каких целях и какие действия с ними выполнять. Также там должны быть требования по защите персональных данных. Во-вторых, не забудьте разместить на сайте e-mail сотрудника, к которому можно обратиться за уточнением информации о своих персональных данных.

Обезличивание

Стоит уточнить, что бизнеса этот пункт не касается. Под обезличиванием персональных данных можно понимать процесс, в результате которого становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному человеку (ст.3 федерального закона 152-ФЗ от 27 июля 2006 г.)

Граждане не предусмотрено
Должностные лица от 3000 до 6000 рублей
ИП не предусмотрено
Юридические лица не предусмотрено

Резюме

Итак, чтобы навести марафет на сайте и соответствовать всем требованиям обновленного 152-ФЗ О персональных данных, вам необходимо:

  • Составить документ Политика конфиденциальности и Политика в отношении обработки ПДн. Примеров достаточно в сети (на сайтах лидеров рынка). Также можно составить документы на бесплатны/платных сервисах (ссылка выше).
  • Добавить текст Согласия на обработку данных под каждой формой сбора ПДн. Для спокойствия туда же добавьте и ссылки на документы о Политике в отношении обработки данных.
  • Не забудьте установить на сайт дисклеймер, чтобы уведомлять новых посетителей о сборе метаданных.
  • Узнайте, где ваш хостинг (ЦОД — центр обработки данных) расположен. Перенесите его в РФ. Узнать это можно у хостинг-провайдера. Не знаете вашего хостинг-провайдера? Самый простой способ ввести домен сайта здесь — http://whois.domaintools.com/, но в сети можно найти и другие способы.
  • Заключите договора о безопасности персональных данных со всеми подрядчиками, кто может иметь к ним доступ.
  • Разметите контакты сотрудника для обращения по вопросам персональных данных.
  • Подайте заявку об обработке персональных данных на сайте Роскомнадзора (ссылка выше).
  • В заключении хотели бы предложить посмотреть видеоролик, который недавно был размещен по инициативе Роскомнадзора во всемирной паутине.
В СМИ Александр Жаров (Глава РКН) часто отмечал, что его ведомство не только контролирующий/надзирающий орган. Как пользователь он и сам выступает за свободный Интернет, защищенный от преступности. И в отношении персональных данных обновленный 152-ФЗ О персональных данных призван также защитить и изменить отношение к своим данным самой уязвимой и самой активной интернет-аудитории — дети и подростки.

 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *