Изменения в законе о персональных данных: что делать, если у вас есть сайт
С 1 июля вступают в силу изменения в закон № 152-ФЗ «О персональных данных». Что было, что стало и что теперь делать владельцам сайтов – разбираемся далее.
Что было?
Операторов персональных данных
Из закона: “Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.”
То есть оператором персональных данных может быть частное лицо, индивидуальный предприниматель или организация, которая обрабатывает персональные данные. Например, через форму заявки на своем сайте собирает имя, фамилию, номер телефона или почту.
Штрафовали за неправильную обработку персональных данных
Из закона: “Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.”
То есть обработка персональных данных – это, например, собор номеров телефонов и адресов электронных почт в форме заявки на вашем лендинге.
Что будет?
С 1 июля 2017 году увеличивается размер штрафов. Оштрафуют за:
1
Обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных.
Например, взяли электронную почту для исполнения договора, а отправляем email-рассылки.
Сколько штраф?
- До 3 000 рублей для физических лиц
- До 50 000 рублей для юридических лиц
2
Обработку персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных.
Например, проведение онлайн-скоринга данных пользователя (IP, cookie и аккаунтов в социальных сетях) без согласия на обработку персональных данных.
Сколько штраф?
- До 5 000 рублей для физических лиц
- До 75 000 рублей для юридических лиц
3
Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных
Например, на сайте не размещена политика конфиденциальности.
Сколько штраф?
- До 1 500 рублей для физических лиц
- До 30 000 рублей для юридических лиц
4
Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных.
Например, посетитель сайта спрашивает об обработке и защите его персональных данных, а ему не отвечают.
Сколько штраф?
- До 2 000 рублей для физических лиц
- До 40 000 рублей для юридических лиц
5
Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки
Например, посетитель сайта просит удалить его персональные данные, но этого не происходит.
Сколько штраф?
- До 2 000 рублей для физических лиц
- До 40 000 рублей для юридических лиц
6
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния.
Например, нет списка лиц допущенных к обработке персональных данных.
Сколько штраф?
- До 2 000 рублей для физических лиц
- До 50 000 рублей для юридических лиц
Полная информация о штрафах за неправильную обработку персональных данных в статье 13.11 Кодекса об административных правонарушениях.
Что делать?
Требований к владельцам сайтов большой список.
То, что нужно сделать в первую очередь:
- Убедиться, что серверы, на которых хранится информация, размещены на территории России.
Все лендинги, размещенные на доменах Платформы LP хранятся на российских серверах. Адрес дата-центра: Москва, ул. Берзарина, д. 36, стр. 3.
- Утвердить политику конфиденциальности – политику в отношении обработки персональных данных, и разместить её на сайте – обычно ссылку на документ дают в футере. А также указать почту, куда посетитель может задать вопрос о персональных данных, и обратиться, если хочет удалить или заблокировать свои персональные данные.
Политика конфиденциальности Платформы LP
- Под каждой формой на лендинге, где пользователь оставляет свои данные, разместить текст о согласии пользователя на обработку его персональных данных со ссылкой на документ. Согласие можно оформить как отдельный документ – список обязательных пунктов в ч.4 ст. 9 закона 152-ФЗ «О персональных данных»
О том, как разместить согласие на обработку персональных данных в форме Платформы
Если вы собираете метаданные пользователей (cookie, данные об IP-адресе и местоположении), предупреждайте пользователей о том, что вы делаете это в целях поддержания функционирования сайта. Предупреждение должно содержать следующую пометку: если пользователь не хочет, чтобы его данные обрабатывались, он должен покинуть сайт.
Подать уведомление на сайте Роскомнадзора и внести организацию в реестр операторов персональных данных. Форма уведомления здесь. Список тех, кому можно не подавать заявку в 22 статье закона № 152-ФЗ «О персональных данных»
Полный список требований в тексте закона № 152-ФЗ «О персональных данных»