В феврале 2017 года в статью 13.11 КоАП были внесены поправки, которые уже первого июля должны вступить в силу. Закон касается граждан, собирающих и обрабатывающих персональные данные. Поправки предполагают увеличение размеров штрафов в несколько десятков раз в зависимости от вида нарушения. Например, за обработку администрацией интернет-магазинов информации клиента без его согласия штраф составит 75 000 рублей, в то время как игнорирование к требованию размещать на сайте политику конфиденциальности может вылиться в штраф на 10 и 30 тысяч рублей для индивидуальных предпринимателй и организаций соответственно. При этом штрафы за разные нарушения, если их несколько, будут суммироваться.
Проверки уже начались, поэтому владельцам сайтов необходимо срочно уделить внимание устранению таких нарушений. С первого июля выписывать протоколы будет Роскомнадзор, хотя пока еще эти функции выполняет прокуратура.
Что такое персональные данные и являюсь ли я их оператором?
Персональные данные – сведения о человеке, которые позволяют определить его личность. К таким данным можно отнести:
- ФИО;
- информация о семейном положении;
- любой физический адрес;
- фото человека;
- номер телефона;
- электронная почта;
- информация о месте и дате рождения;
- сведения о работе, полученном образовании и уровне доходов;
- ссылки на профили в соцсетях.
Таким образом, все владельцы сайтов, на которых имеется возможность завести личный кабинет, являются операторами персональных данных. В основном это ресурсы, на которых разрешено публиковать объявления или совершать сделки купли-продажи, а также сайты с плагинами для заказа звонков пользователю. Закон не распространяется на данные, которые регистрируются для семейных и личных нужд.
Как не нарушить законодательство
Есть определенные условия, соблюдая которые владелец сайта не считается нарушившим закон. К ним относятся:
- Публикация в открытом доступе сведений о персональных данных пользователей.
- Получение у пользователя согласия на обработку и хранение такой информации.
- Надежная защита полученных персональных данных от утечки в результате взлома.
- Запрос только определенных данных, соответствующих целям сайта и использование этой информации по назначению в соответствии с положениями, упомянутыми в пользовательском соглашении (в этом случае считается, что пользователь предупрежден о соответствующем использовании информации о нем).
- Удаление персональных данных, используемых для информирования пользователей о различных акциях и скидках по первому требованию пользователя.
- Уведомление пользователя о том, кому еще передавались данные о нем и как именно они используются.
Также владельцы собственных интернет-ресурсов должны пройти процедуру регистрации в Роскомнадзоре.
Регистрация
Операторы персональных данных должны пройти регистрацию в Роскомнадзоре, но этого можно не делать в некоторых случаях:
- если оператор знает только ФИО человека;
- обрабатываются данные сотрудников владельца сайта;
- пользователь по своей воле разместил информацию о себе;
- если персональные данные будут использоваться для целей, прописанных в соглашении или договоре, а дальнейшее распространение этой информации будет исключено.
Что делать тем, кто получает персональные данные
Владельцы сайта, которые не зарегистрировались в Роскомнадзоре или не выполнили вышеописанные рекомендации, могут быть оштрафованы в любой момент, поэтому вначале необходимо подготовить публичные документы (политика конфиденциальности, официальное уведомление, правила продажи или пользовательское соглашение) и разместить их таким образом, чтобы пользователи могли видеть их на любой странице ресурса.
Не рекомендуется просто копировать соответствующую документацию с других ресурсов: можно лишь ознакомиться с ними для того, чтобы определиться со структурой или взять за основу какие-то положения и отдельные моменты, но составлять документ придется самостоятельно исходя из специфики сайта и его целей. Дело в том, что у предприятий разного типа содержание таких документов сильно различается, и то, что применимо в одних случаях, может не являться универсальным решением.
Не стоит запрашивать лишние данные пользователя, если такая информация не будет использоваться в дальнейшем. Это также считается нарушением, которое карается денежным штрафом. При сборе необходимой информации важно реализовать возможность отображения полученного человеком согласия на обработку его личных персональных данных. Проще всего добавить галочку в форме регистрации. Если пользователь такую галочку поставил – можно считать, что он расписался в том, что принимает условия сайта и соглашается на обработку данных о себе.
Также необходимо уделить внимание подготовке внутренних документов, в которых будут прописаны условия хранения о обработки персональных данных сотрудников, имеющих доступ к информации такого характера. При этом документы для внутреннего пользования (должностные инструкции, регламенты и приказы) выкладывать в открытый доступ нет необходимости.
При необходимости информацию о деятельности сайта и сборе персональных данных необходимо отправить уведомление в Роскомнадзор, но если данные пользователей используются только для выполнения условий конкретного договора – делать это не нужно, хотя нелишним будет упомянуть об этом во внутренних документах, которые будут предъявлены при проверке. Также можно указать в документации, что вся получаемая от пользователя личная информация размещается им добровольно и в открытом доступе.
Можно ли хранить персональные данные на серверах других государств
Закон гласит, что хранение и сбор персональных данных возможен исключительно на российских серверах, хотя и существует отдельная статья, в которой упоминается возможность передачи информации в другие страны. Эту неясную ситуацию Минкомсвязи попыталось объяснить в соответствующих пояснениях, которые касаются трансграничной передачи данных, но и после изучения такой документации остается непонятным, допустимо все-таки хранение информации вне России или нет.
Лучше выяснять этот вопрос напрямую, отправив запрос в Минкомсвязи или Роскомнадзор, а также поинтересоваться у хостера, который чаще всего имеет готовые ответы на подобные вопросы.
Многие владельцы сайтов отмахиваются от такого закона предполагая, что все это – формальные требования, и никаких штрафов на практике не будет, но следующие примеры показывают, что действие закона реально. Так, в Тамбовской области за заполнение формы обратной связи пользователем без его согласия на обработку данных персонального характера была оштрафована организация, оказывающая юридические услуги. В Астрахани уже зафиксирован ряд наказаний владельцев сайтов, которые используют формы обратной связи по алфавиту.
Но штраф – это не самое страшное. Предполагается, что когда поправки вступят в законную силу, будут также взыскиваться деньги за моральный ущерб пользователю, который предоставил персональную информацию. Кроме того – нарушители могут наказываться лишением свободы.