FAQ: изменения в законе о персональных данных

С 1 июля вступают в силу изменения в закон № 152-ФЗ «О персональных данных». Об основных изменениях читайте в статье, здесь ответы на популярные вопросы.

Если на странице есть Яндекс.Метрика или Google Analytics, то нужно предупреждать посетителя о том, что собираются персональные данные?

Да, нужно установить дисклеймер и политику конфиденциальности.

Логи на сайте, где есть ip, – это персональные данные? Нужно предупреждать клиента, что они собираются?

Да, используйте дисклеймер и политику конфиденциальности.

В формах сбора персональных данных на сайте нужно ссылаться на политику обработки персональных данных или на согласие на обработку?

Нужно ссылаться на согласие на обработку.

Cookie - это персональные данные?

Сookie и другие метаданные посетителей: средняя геолокация, браузер, система, поведение на сайте, источник - персональные данные. Вот позиция судов по этому вопросу:

• Решение суда о Linkedin
• Решение суда о МГТС

Если собираются только cookie или ip, нужно ли регистрироваться на сайте Роскомнадзора как оператор?

Да, за неуведомление Роскомнадзора штраф 5 000 рублей

В пункте 2 статьи 13.11 КоАП РФ указано, что согласие должно быть получено в письменном виде. Это так?

Письменная форма согласия требуется, если:

• осуществляется передача данных третьим лицам
• когда происходит сбор специальных персональных данных
• при автоматизированной обработке персональных данных (например, кредитная заявка)

Что должно быть в форме согласия на обработку персональных данных?

• ФИО и адрес физического лица, номер документа, удостоверяющего личность, дата выдачи документа
• наименование/ФИО /адрес оператора, получающего согласие на обработку данных
• цель обработки
• перечень персональных данных (в содержание документа после перечня можно указать: “и иная информация”)
• наименование / ФИО / адрес юридического лица, осуществляющего обработку персональных данных по поручению оператора
• перечень действий с персональными данными
• срок в течение которого действует согласие на обработку и срок отзыва
• подпись субъекта персональных данных

Частые ошибки:

• Указаны “все цели”, “все данные”, “для всех лиц” – нет конкретики
• Не указан срок обработки

Где найти хороший пример согласия на обработку персональных данных и политики конфиденциальности?

Например, на сайте сервиса b-152.ru:

• согласие на обработку персональных данных
• политика конфиденциальности

Где хранятся данные сайтов, созданных на Платформе?

Созданные на Платформе страницы находятся в дата-центре «Берзарина» компании "Селектел". Адрес дата-центра: Москва, ул. Берзарина, д. 36, стр. 3.

Что если не добавить политику конфиденциальности, согласие на обработку персональных данных и не зарегистрироваться на сайте Роскомнадзора?

Последует:

• Наложение штрафов на ответственное лицо и организацию
• Запрет обрабатывать персональные данные – приостановка деятельности
• Блокировка сайта

Как изменились штрафы?

До 1 июля 2017 штрафы были 10 000, с 1 июля 2017 – штрафы достигают 300 000 рублей. Раньше Роскомнадзор мог накладывать штраф за одну статью, теперь - сумма штрафов может суммироваться по всем семи статьям КоАП РФ.

Кто проверяет?

Сейчас есть три регулятора:

• Роскомнадзор - проверяет то как мы обрабатываем персональные данные и что не нарушаем права физических лиц при их обработке
• ФСТЭК России - проверяет техническую защиту в государственных и информационных системах
• ФСБ России - проверяет применение криптографических средств защиты и шифрования при обработке персональных данных

Теперь Роскомнадзор имеет право заводить административные дела без прокураторы.

Как присходит проверка?

Раньше Роскомнадзор отправлял в прокуратуру материалы для изучения. У прокуратуры было три месяца, чтобы передать их в суд. Теперь Роскомнадзор вправе передавать дела в суд напрямую.

Что проверяет и запрашивает на проверках Роскомнадзор?

Перед проверкой Роскомнадзор высылает перечень необходимых документов. В перечне четыре блока:

• общие сведения
• кадровые сведения
• информационные сведения
• интернет-сервисы

Есть план проверок?

На сайте центрального аппарата Роскомнадзора нет сводного плана проверок по всей России на этот год. Планы есть на сайте территориальных органов Роскомнадзора в разделе “План деятельности”.

Рекомендации:

• проведите анализ существующих документов по персональным данным, проверьте на актуальность
• добавьте или обновите информацию в реестре операторов персональных данных
• отвечайте на запросы физических лиц по персональным данным;
• поставьте на сайте дисклеймер об обработке cookie
• поставить в форму заявки “галочку” о согласии на обработку персональных данных