FAQ: изменения в законе о персональных данных

С 1 июля вступают в силу изменения в закон № 152-ФЗ «О персональных данных». Об основных изменениях читайте в статье, здесь ответы на популярные вопросы.

Если на странице есть Яндекс.Метрика или Google Analytics, то нужно предупреждать посетителя о том, что собираются персональные данные?

Да, нужно установить дисклеймер и политику конфиденциальности.

Логи на сайте, где есть ip, – это персональные данные? Нужно предупреждать клиента, что они собираются?

Да, используйте дисклеймер и политику конфиденциальности.

В формах сбора персональных данных на сайте нужно ссылаться на политику обработки персональных данных или на согласие на обработку?

Нужно ссылаться на согласие на обработку.

Сookie и другие метаданные посетителей: средняя геолокация, браузер, система, поведение на сайте, источник - персональные данные. Вот позиция судов по этому вопросу:

Если собираются только cookie или ip, нужно ли регистрироваться на сайте Роскомнадзора как оператор?

Да, за неуведомление Роскомнадзора штраф 5 000 рублей

В пункте 2 статьи 13.11 КоАП РФ указано, что согласие должно быть получено в письменном виде. Это так?

Письменная форма согласия требуется, если:

  • осуществляется передача данных третьим лицам
  • когда происходит сбор специальных персональных данных
  • при автоматизированной обработке персональных данных (например, кредитная заявка)

Что должно быть в форме согласия на обработку персональных данных?

  • ФИО и адрес физического лица, номер документа, удостоверяющего личность, дата выдачи документа
  • наименование/ФИО /адрес оператора, получающего согласие на обработку данных
  • цель обработки
  • перечень персональных данных (в содержание документа после перечня можно указать: “и иная информация”)
  • наименование / ФИО / адрес юридического лица, осуществляющего обработку персональных данных по поручению оператора
  • перечень действий с персональными данными
  • срок в течение которого действует согласие на обработку и срок отзыва
  • подпись субъекта персональных данных

Частые ошибки:

  • Указаны “все цели”, “все данные”, “для всех лиц” – нет конкретики
  • Не указан срок обработки

Где найти хороший пример согласия на обработку персональных данных и политики конфиденциальности?

Например, на сайте сервиса b-152.ru:

Где хранятся данные сайтов, созданных на Платформе?

Созданные на Платформе страницы находятся в дата-центре «Берзарина» компании "Селектел". Адрес дата-центра: Москва, ул. Берзарина, д. 36, стр. 3.

Что если не добавить политику конфиденциальности, согласие на обработку персональных данных и не зарегистрироваться на сайте Роскомнадзора?

Последует:

  • Наложение штрафов на ответственное лицо и организацию
  • Запрет обрабатывать персональные данные – приостановка деятельности
  • Блокировка сайта

Как изменились штрафы?

До 1 июля 2017 штрафы были 10 000, с 1 июля 2017 – штрафы достигают 300 000 рублей. Раньше Роскомнадзор мог накладывать штраф за одну статью, теперь - сумма штрафов может суммироваться по всем семи статьям КоАП РФ.

Кто проверяет?

Сейчас есть три регулятора:

  • Роскомнадзор - проверяет то как мы обрабатываем персональные данные и что не нарушаем права физических лиц при их обработке
  • ФСТЭК России - проверяет техническую защиту в государственных и информационных системах
  • ФСБ России - проверяет применение криптографических средств защиты и шифрования при обработке персональных данных

Теперь Роскомнадзор имеет право заводить административные дела без прокураторы.

Как присходит проверка?

Раньше Роскомнадзор отправлял в прокуратуру материалы для изучения. У прокуратуры было три месяца, чтобы передать их в суд. Теперь Роскомнадзор вправе передавать дела в суд напрямую.

Что проверяет и запрашивает на проверках Роскомнадзор?

Перед проверкой Роскомнадзор высылает перечень необходимых документов. В перечне четыре блока:

  • общие сведения
  • кадровые сведения
  • информационные сведения
  • интернет-сервисы

Есть план проверок?

На сайте центрального аппарата Роскомнадзора нет сводного плана проверок по всей России на этот год. Планы есть на сайте территориальных органов Роскомнадзора в разделе “План деятельности”.

Рекомендации:

  • проведите анализ существующих документов по персональным данным, проверьте на актуальность
  • добавьте или обновите информацию в реестре операторов персональных данных
  • отвечайте на запросы физических лиц по персональным данным;
  • поставьте на сайте дисклеймер об обработке cookie
  • поставить в форму заявки “галочку” о согласии на обработку персональных данных
ЧТО ЕЩЁ ПОЧИТАТЬ