Главная / Новости / Владельцев сайтов будут штрафовать за разглашение персональных данных

Владельцев сайтов будут штрафовать за разглашение персональных данных


Владельцев сайтов будут штрафовать за разглашение персональных данныхВ феврале 2017 года в статью 13.11 КоАП были внесены поправки, которые уже первого июля должны вступить в силу. Закон касается граждан, собирающих и обрабатывающих персональные данные. Поправки предполагают увеличение размеров штрафов в несколько десятков раз в зависимости от вида нарушения. Например, за обработку администрацией интернет-магазинов информации клиента без его согласия штраф составит 75 000 рублей, в то время как игнорирование к требованию размещать на сайте политику конфиденциальности может вылиться в штраф на 10 и 30 тысяч рублей для индивидуальных предпринимателй и организаций соответственно. При этом штрафы за разные нарушения, если их несколько, будут суммироваться.

Проверки уже начались, поэтому владельцам сайтов необходимо срочно уделить внимание устранению таких нарушений. С первого июля выписывать протоколы будет Роскомнадзор, хотя пока еще эти функции выполняет прокуратура.

Что такое персональные данные и являюсь ли я их оператором?

Персональные данные – сведения о человеке, которые позволяют определить его личность. К таким данным можно отнести:

  • ФИО;
  • информация о семейном положении;
  • любой физический адрес;
  • фото человека;
  • номер телефона;
  • электронная почта;
  • информация о месте и дате рождения;
  • сведения о работе, полученном образовании и уровне доходов;
  • ссылки на профили в соцсетях.

Таким образом, все владельцы сайтов, на которых имеется возможность завести личный кабинет, являются операторами персональных данных. В основном это ресурсы, на которых разрешено публиковать объявления или совершать сделки купли-продажи, а также сайты с плагинами для заказа звонков пользователю. Закон не распространяется на данные, которые регистрируются для семейных и личных нужд.

Как не нарушить законодательство

Есть определенные условия, соблюдая которые владелец сайта не считается нарушившим закон. К ним относятся:

  1. Публикация в открытом доступе сведений о персональных данных пользователей.
  2. Получение у пользователя согласия на обработку и хранение такой информации.
  3. Надежная защита полученных персональных данных от утечки в результате взлома.
  4. Запрос только определенных данных, соответствующих целям сайта и использование этой информации по назначению в соответствии с положениями, упомянутыми в пользовательском соглашении (в этом случае считается, что пользователь предупрежден о соответствующем использовании информации о нем).
  5. Удаление персональных данных, используемых для информирования пользователей о различных акциях и скидках по первому требованию пользователя.
  6. Уведомление пользователя о том, кому еще передавались данные о нем и как именно они используются.

Также владельцы собственных интернет-ресурсов должны пройти процедуру регистрации в Роскомнадзоре.

Регистрация

Операторы персональных данных должны пройти регистрацию в Роскомнадзоре, но этого можно не делать в некоторых случаях:

  • если оператор знает только ФИО человека;
  • обрабатываются данные сотрудников владельца сайта;
  • пользователь по своей воле разместил информацию о себе;
  • если персональные данные будут использоваться для целей, прописанных в соглашении или договоре, а дальнейшее распространение этой информации будет исключено.

Что делать тем, кто получает персональные данные

Владельцы сайта, которые не зарегистрировались в Роскомнадзоре или не выполнили вышеописанные рекомендации, могут быть оштрафованы в любой момент, поэтому вначале необходимо подготовить публичные документы (политика конфиденциальности, официальное уведомление, правила продажи или пользовательское соглашение) и разместить их таким образом, чтобы пользователи могли видеть их на любой странице ресурса.

Не рекомендуется просто копировать соответствующую документацию с других ресурсов: можно лишь ознакомиться с ними для того, чтобы определиться со структурой или взять за основу какие-то положения и отдельные моменты, но составлять документ придется самостоятельно исходя из специфики сайта и его целей. Дело в том, что у предприятий разного типа содержание таких документов сильно различается, и то, что применимо в одних случаях, может не являться универсальным решением.

Не стоит запрашивать лишние данные пользователя, если такая информация не будет использоваться в дальнейшем. Это также считается нарушением, которое карается денежным штрафом. При сборе необходимой информации важно реализовать возможность отображения полученного человеком согласия на обработку его личных персональных данных. Проще всего добавить галочку в форме регистрации. Если пользователь такую галочку поставил – можно считать, что он расписался в том, что принимает условия сайта и соглашается на обработку данных о себе.

Также необходимо уделить внимание подготовке внутренних документов, в которых будут прописаны условия хранения о обработки персональных данных сотрудников, имеющих доступ к информации такого характера. При этом документы для внутреннего пользования (должностные инструкции, регламенты и приказы) выкладывать в открытый доступ нет необходимости.

При необходимости информацию о деятельности сайта и сборе персональных данных необходимо отправить уведомление в Роскомнадзор, но если данные пользователей используются только для выполнения условий конкретного договора – делать это не нужно, хотя нелишним будет упомянуть об этом во внутренних документах, которые будут предъявлены при проверке. Также можно указать в документации, что вся получаемая от пользователя личная информация размещается им добровольно и в открытом доступе.

Можно ли хранить персональные данные на серверах других государств

Закон гласит, что хранение и сбор персональных данных возможен исключительно на российских серверах, хотя и существует отдельная статья, в которой упоминается возможность передачи информации в другие страны. Эту неясную ситуацию Минкомсвязи попыталось объяснить в соответствующих пояснениях, которые касаются трансграничной передачи данных, но и после изучения такой документации остается непонятным, допустимо все-таки хранение информации вне России или нет.

Лучше выяснять этот вопрос напрямую, отправив запрос в Минкомсвязи или Роскомнадзор, а также поинтересоваться у хостера, который чаще всего имеет готовые ответы на подобные вопросы.

Многие владельцы сайтов отмахиваются от такого закона предполагая, что все это – формальные требования, и никаких штрафов на практике не будет, но следующие примеры показывают, что действие закона реально. Так, в Тамбовской области за заполнение формы обратной связи пользователем без его согласия на обработку данных персонального характера была оштрафована организация, оказывающая юридические услуги. В Астрахани уже зафиксирован ряд наказаний владельцев сайтов, которые используют формы обратной связи по алфавиту.

Но штраф – это не самое страшное. Предполагается, что когда поправки вступят в законную силу, будут также взыскиваться деньги за моральный ущерб пользователю, который предоставил персональную информацию. Кроме того – нарушители могут наказываться лишением свободы.

Поделитесь с друзьями: