С 1 июля вступают в силу изменения в закон № 152-ФЗ «О персональных данных». Об основных изменениях читайте в статье, здесь ответы на популярные вопросы.
Если на странице есть Яндекс.Метрика или Google Analytics, то нужно предупреждать посетителя о том, что собираются персональные данные?
Да, нужно установить дисклеймер и политику конфиденциальности.
Логи на сайте, где есть ip, – это персональные данные? Нужно предупреждать клиента, что они собираются?
Да, используйте дисклеймер и политику конфиденциальности.
В формах сбора персональных данных на сайте нужно ссылаться на политику обработки персональных данных или на согласие на обработку?
Нужно ссылаться на согласие на обработку.
Cookie - это персональные данные?
Сookie и другие метаданные посетителей: средняя геолокация, браузер, система, поведение на сайте, источник - персональные данные. Вот позиция судов по этому вопросу:
Если собираются только cookie или ip, нужно ли регистрироваться на сайте Роскомнадзора как оператор?
Да, за неуведомление Роскомнадзора штраф 5 000 рублей
В пункте 2 статьи 13.11 КоАП РФ указано, что согласие должно быть получено в письменном виде. Это так?
Письменная форма согласия требуется, если:
- осуществляется передача данных третьим лицам
- когда происходит сбор специальных персональных данных
- при автоматизированной обработке персональных данных (например, кредитная заявка)
Что должно быть в форме согласия на обработку персональных данных?
- ФИО и адрес физического лица, номер документа, удостоверяющего личность, дата выдачи документа
- наименование/ФИО /адрес оператора, получающего согласие на обработку данных
- цель обработки
- перечень персональных данных (в содержание документа после перечня можно указать: “и иная информация”)
- наименование / ФИО / адрес юридического лица, осуществляющего обработку персональных данных по поручению оператора
- перечень действий с персональными данными
- срок в течение которого действует согласие на обработку и срок отзыва
- подпись субъекта персональных данных
Частые ошибки:
- Указаны “все цели”, “все данные”, “для всех лиц” – нет конкретики
- Не указан срок обработки
Где найти хороший пример согласия на обработку персональных данных и политики конфиденциальности?
Например, на сайте сервиса b-152.ru:
Где хранятся данные сайтов, созданных на Платформе?
Созданные на Платформе страницы находятся в дата-центре «Берзарина» компании "Селектел". Адрес дата-центра: Москва, ул. Берзарина, д. 36, стр. 3.
Что если не добавить политику конфиденциальности, согласие на обработку персональных данных и не зарегистрироваться на сайте Роскомнадзора?
Последует:
- Наложение штрафов на ответственное лицо и организацию
- Запрет обрабатывать персональные данные – приостановка деятельности
- Блокировка сайта
Как изменились штрафы?
До 1 июля 2017 штрафы были 10 000, с 1 июля 2017 – штрафы достигают 300 000 рублей. Раньше Роскомнадзор мог накладывать штраф за одну статью, теперь - сумма штрафов может суммироваться по всем семи статьям КоАП РФ.
Кто проверяет?
Сейчас есть три регулятора:
- Роскомнадзор - проверяет то как мы обрабатываем персональные данные и что не нарушаем права физических лиц при их обработке
- ФСТЭК России - проверяет техническую защиту в государственных и информационных системах
- ФСБ России - проверяет применение криптографических средств защиты и шифрования при обработке персональных данных
Теперь Роскомнадзор имеет право заводить административные дела без прокураторы.
Как присходит проверка?
Раньше Роскомнадзор отправлял в прокуратуру материалы для изучения. У прокуратуры было три месяца, чтобы передать их в суд. Теперь Роскомнадзор вправе передавать дела в суд напрямую.
Что проверяет и запрашивает на проверках Роскомнадзор?
Перед проверкой Роскомнадзор высылает перечень необходимых документов. В перечне четыре блока:
- общие сведения
- кадровые сведения
- информационные сведения
- интернет-сервисы
Есть план проверок?
На сайте центрального аппарата Роскомнадзора нет сводного плана проверок по всей России на этот год. Планы есть на сайте территориальных органов Роскомнадзора в разделе “План деятельности”.
Рекомендации:
- проведите анализ существующих документов по персональным данным, проверьте на актуальность
- добавьте или обновите информацию в реестре операторов персональных данных
- отвечайте на запросы физических лиц по персональным данным;
- поставьте на сайте дисклеймер об обработке cookie
- поставить в форму заявки “галочку” о согласии на обработку персональных данных