+7 (902) 012-59-85 - Красноярск

Закон О защите персональных данных для сайтов

ГлавнаяБлогПродвижение сайтовЗакон О защите персональных данных для сайтов

Как сайтам избежать нарушения закона «О защите персональных данных»

Как сайтам избежать нарушения закона «О защите персональных данных»

С 1 июля 2017 года ужесточаются санкции, предусмотренные КоАП РФ за нарушение требований к cбору, обработке и хранению персональных данных. Законопроект был разработан Роскомнадзором на основании своей правоприменительной практики, при непосредственном участии Минкомсвязи. В пояснительной записке к документу Федеральная служба указала, что фиксирует значительный рост нарушений в области персональных данных, при этом, действующее законодательство не позволяет в полной мере обеспечить эффективную защиту прав и интересов субъектов персональных данных и соблюдение принципа неотвратимости наказания.

Исходя из Федерального закона №152-ФЗ «Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Так как Законом четко не определен перечень сведений, являющихся персональными данными, соответственно, к ним будут отнесены любые данные, позволяющие идентифицировать субъекта, к примеру, контактная почта, ФИО, телефон и пр.

Под действие Федерального закона №152-ФЗ как операторы персональных данных подпадают все интернет-ресурсы, собирающие, хранящие и использующие информацию о своих посетителях.

Все базы персональных данных должны первоначально собираться и обрабатываться на территории Российской Федерации. С учётом того, что Роскомнадзор считает персональными данными также и данные посетителей сайта, то это касается практически любого сайта. За нарушение этого требования Роскомнадзор их блокирует.

Роскомнадзор на основании судебных решений за два года заблокировал 313 сайтов с персональными данными россиян. Основанием для ограничения доступа к сайтам-нарушителям послужило размещение персональных данных граждан на ресурсах, предоставляющих доступ к такой информации неограниченному кругу лиц в отсутствие правовых оснований.

Несколько примеров. Какие данные не являются «персональными»:

  • Электронная почта и имя.
  • Электронная почта и дата рождения.
  • Электронная почта, имя и телефон.
  • Электронная почта и big data (данные о поведенческих привычках пользователя).

Другими словами, всё упирается в перечень данных. Если их достаточно для идентификации пользователя (например, одновременно email, ФИО и дата рождения), такие данные будут считаться персональными, а владелец сайта попадает под понятие «оператор персональных данных». Однако с учётом п. 2 ст. 22 ФЗ «О персональных данных» не все должны направлять уведомление об обработке персональных данных в уполномоченный орган (подробнее об этом расскажем дальше).

С другой стороны, если вы собираете на своём сайте данные, которые не дают возможности чётко идентифицировать пользователя (к примеру, только адреса электронной почты, даже в совокупности с именем), то никаких уведомлений об обработке персональных данных направлять в уполномоченный орган не требуется. Но в любом случае стоит разместить на сайте форму согласия пользователя с обработкой его ПД (чекбокс), а также политику обработки ПД.

Если вы еще не подготовили свой сайт к 152-ФЗ, можете обратиться к нашим специалистам.

Штрафы за нарушение закона о персональных данных

Роскомнадзор получил право выносить административные дела по вышеперечисленным статьям нарушений без Прокуратуры. Роскомнадзор теперь не уведомляет о плановых проверках коммерческих организаций и ИП Прокуратуру, поэтому в сводном плане проверок на сайте Прокуратуре не найти проверок по персональным данным.

Согласно закона, за обработку данных в не установленном законом порядке и за использование этих данных не по назначению, нарушитель - частное лицо может получить предупреждение или штраф в размере от 1 тыс. до 3 тыс. руб. При этом должностное лицо заплатит от 5 тыс. до 10 тыс. руб., а юридическое лицо - от 30 тыс. до 50 тыс. руб.

Обработка персональных данных без согласия гражданина приведет к наложению штрафа в размере от 3 тыс. до 5 тыс. руб. для граждан, от 10 тыс. до 20 тыс. руб. - для должностных лиц и от 15 тыс. до 75 тыс. руб. для юридических лиц.

В случае если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф. Для граждан он составит от 700 до 1500 руб., для должностных лиц - от 3 тыс. до 6 тыс. руб., для индивидуальных предпринимателей (ИП) - от 5 тыс. до 10 тыс. руб., а для юридических лиц - от 15 тыс. до 30 тыс. руб.

За отказ оператора предоставить информацию об обработке персональных данных субъекту этих данных устанавливается ответственность в форме предупреждения или штрафа от 1 тыс. до 2 тыс. руб. для граждан, от 4 тыс. до 6 тыс. руб. - для должностных лиц, от 10 тыс. до 15 тыс. руб. - для ИП, от 20 тыс. до 40 тыс. руб. - для юридических лиц.

Кроме того, административный штраф налагается и за невыполнение оператором персональных данных требований субъекта данных по уточнению персональных данных, их блокированию или уничтожению. Для граждан это приведет к административному штрафу в размере от 1 тыс. до 2 тыс. руб., для должностных лиц - от 4 тыс. до 10 тыс. руб., для ИП - от 10 тыс. до 20 тыс. руб., для юридических лиц - от 25 тыс. до 45 тыс. руб.

Согласно закону, оператор персональных данных, не использующий при обработке таких данных специальные средства автоматизации, будет оштрафован, и если не соблюдает условия по хранению материальных носителей персональных данных, исключающие несанкционированный доступ к ним. Но только в случае, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление или распространение.

В этом случае сразу налагается штраф от 700 до 2000 руб. - для граждан, от 4 тыс. до 10 тыс. руб. - для должностных лиц, от 10 тыс. до 20 тыс. руб. - для ИП и от 20 тыс. до 50 тыс. руб. - для юридических лиц. За невыполнение государственным или муниципальным оператором персональных данных требований по обезличиванию данных предусматривается предупреждение или штраф для должностных лиц в размере от 3 тыс. до 6 тыс. руб.

Что может послужить основанием для проверки сайта

Существуют два ключевых основания: жалоба и проведение плановых проверок (если вы являетесь оператором персональных данных). По данным Роскомнадзора, по сравнению с 2013 годом количество жалоб выросло почти на 60% — с 10 016 до 33 814 обращений. Не забывайте о том, что никто не застрахован от жалобы со стороны конкурентов. Кроме того, количество проводимых проверок также растёт: с 743 в 2013 году до 2053 в 2016-м.

Что делать, если вы всё-таки являетесь оператором персональных данных

Для соблюдения требований закона соблюдайте следующие правила:

1. Получите согласие пользователя на обработку его персональных данных

Для этого разместите в виде отдельного документа пользовательское соглашение. В качестве основы можно взять аналоги на других сайтах. Закон явно запрещает сбор лишней информации, поэтому ни в соглашении, ни у самого пользователя (например, для рассылки электронной почты) не должен запрашиваться адрес его проживания.

Согласие пользователя необходимо фиксировать и хранить в виде log-файла вне зависимости от способа подтверждения (галочка, код из СМС). Также обязательно подписание подобного документа до момента получения от пользователя персональных данных.

В качестве хороших примеров документов приведём следующие сайты:

  • Политика конфиденциальности, как у интернет-магазина Ozon или re-store.

  • Официальное уведомление, как на сайте «М-видео».

  • Правила продажи, например, как у «Читай-города».

  • Пользовательское соглашение, как на сайте интернет-магазина Lamoda.

Документ должен включать следующие данные:

  • Информация об операторе персональных данных.
  • Чёткое указание целей сбора персональных данных.
  • Перечень данных, которые будут собираться.
  • Список действий, которые могут быть совершены с этими данными.
  • Способ отзыва согласия пользователя на хранение данных.
  • Срок хранения персональных данных.
  • Контактные данные для запроса информации пользователем о своих персональных данных.

2. Используйте информацию только для оговорённых целей

Если вы предлагаете зарегистрированному пользователю дополнительные сервисы или услуги, требующие использования персональных данных, то необходимо повторное получение согласие по примеру предыдущего пункта. Если цель, для которой собирались сведения, была достигнута, то они должны быть уничтожены автоматически при условии, что в соглашении не оговорено иное.

3. Разместите на сайте «Политику обработки персональных данных»

Она должна находиться в открытом доступе и на видном для пользователя месте и описывать все принципы обработки данных пользователей.

4. Направьте уведомление об обработке в Роскомнадзор

Сделать это можно в электронном или бумажном виде.

В документе должна быть указана следующая информация:

  • Наименование оператора персональных данных.
  • Цель сбора и обработки информации.
  • Перечень видов собираемых данных.
  • Список субъектов, данные которых обрабатываются.
  • Основание обработки информации.
  • Список действий с полученной информацией.
  • Наличие и описание видов мер, направленных на защиту собираемой информации.
  • ФИО и контактные данные лица, отвечающего за обработку персональных данных.
  • Дата начала обработки.
  • Информация о местонахождении базы, где содержатся данные.
  • Подтверждение соответствия нормативам требований обеспечения безопасности персональных данных.

Если интернет-магазин собирает ПД исключительно с целью должного исполнения обязательств перед пользователем или покупателем, он вправе не направлять в адрес Роскомнадзора уведомление о своём намерении обрабатывать ПД.

Согласно под. 2 п. 2 ст. 22 ФЗ «О персональных данных», оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных при следующих условиях.

  1. Данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных.

  2. ПД не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных.

  3. Эта информация используется оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.

Таким образом, если интернет-магазин обрабатывает персональные данные исключительно с целью исполнения обязательств по размещённому на сайте договору оферты, к примеру, для исполнения обязательств по доставке товара покупателю, регистрация в Роскомнадзоре не нужна.

5. Отвечайте на официальные запросы от пользователей или государственных органов

После получения подобного запроса необходимо направить официальный ответ в течение 30 дней. Обратите внимание, что подобный документ может рассматриваться в качестве письменного доказательства при разбирательстве, поэтому отвечать необходимо по существу.

6. Удаляйте или изменяйте персональные данные по запросу

На это владельцу сайта отводится 7 дней, по истечении которых база должна быть полностью обновлена.

Выполнение требований избавит вас от риска получить штраф за неправильное обращение с персональными данными. Соблюдение подобных пунктов требует, по большому счёту, только затрат на первоначальном этапе, а вложенные инвестиции обернутся сторицей в виде спокойствия.

Что касается обращений со стороны Роскомнадзора и отдельных пользователей, то их количество будет небольшим, поэтому ответы на них не отнимут много времени.

Если вам нужно создать сайтпродвинуть сайт в ТОП 10, или вести рекламные кампании, обращайтесь к нашим специалистам.