Изменения в закон о персональных данных: что делать владельцам российских сайтов?

С 1 июля 2017 года вступили в силу изменения в 152-ФЗ «О персональных данных», в связи с чем в разы выросли штрафы за его нарушение. Разбираем что это вообще такое, кого затронет и, главное, что теперь делать.

Кто попадает под действие данного закона?

Все, кто обрабатывает персональные данные, вне зависимости от того, является ли он юридическим лицом, индивидуальным предпринимателем или физическим лицом.

Возможно вы не догадывались, но вы – оператор персональных данных, если на вашем сайте:

  1. Есть любая форма обратной связи, предусматривающая оставление пользователем своих персональных данных
  2. Вы используете e-mail маркетинг и предлагаете посетителям подписаться на вашу рассылку, оставив свой электронный адрес
  3. Вы осуществляете через сайт продажи: у вас есть корзина, возможность онлайн оплаты, оформления доставки и т.д.
  4. На вашем сайте предусмотрена система личного кабинета, возможна стандартная регистрация и/или авторизация через социальные сети

В целом, иметь сайт, не поддерживающий хотя бы одну из этих функций бессмысленно, поэтому если у вас есть сайт, то скорее всего вы действительно являете оператором персональных данных и попадаете под действие данного закона.

Что такое персональные данные и их обработка?

Обработка персональных данных

В 152-ФЗ под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному лицу. Более точного определения или примеров закон не дает, но сюда можно отнести: имя, фамилию, отчество (в том числе отдельно друг от друга), телефон, адрес электронной почты, почтовый адрес и даже ссылку на профиль в соц.сетях.

Обработка персональных данных – это любые действия, совершаемые с такими данными, в том числе их сбор, хранение, использование и передача. Посетитель оставил свой e-mail для почтовой рассылки или телефон и имя для того, чтобы вы перезвонили? Это все попадает под понятие обработки персональных данных.

Что делать?

На волне ожидания ужесточения наказания появились фирмы, предлагающие свои услуги по проверке сайтов на наличие нарушений закона. Владельцам предлагается также размещение необходимых документов и направление соответствующего уведомления в Роскомнадзор. Стоимость услуг подобных компаний варьируется от 500 рублей до 25 тысяч рублей (нет предела стоимости, возможно, вам удастся найти дороже).

Но, если честно, все необходимые мероприятия вполне можно проделать самостоятельно. Итак, что же делать новоявленным операторам персональных данных?

  • Под каждой формой связи на сайте разместите текст, что, нажимая на кнопку, пользователь дает согласие на обработку своих персональных данных. Данный текст должен содержать ссылку на страницу Вашего сайта, где размещен документ, регламентирующий вашу работу с персональными данными. Вы можете назвать его на свое усмотрение Политикой конфиденциальности, Пользовательским соглашением, Договором или согласием на обработку персональных данных. Содержательно данный документ должен включать:
    1. Наименование или ФИО, ИНН и адрес оператора персональных данных (т.е. вас). Если обработку данных по вашему поручению осуществляет другое лицо или организация, то и их данные тоже (например, если вы используете какой-то сервис)
    2. Перечень персональных данных, согласие на обработку которых дает вам пользователь
    3. Цели обработки персональных данных
    4. Срок действия согласия пользователя на обработку персональных данных
    5. Информация о способе отказа пользователя от обработки персональных данных
  • Разместите на своем сайте страницу на документ, определяющий политику вашей компании в отношении обработки персональных данных. Документ обязательно должен быть в общем доступе. Например, ссылку на него можно разместить в футере (подвале) сайта.
  • Убедитесь, что вы применяете для защиты персональных данных пользователей все необходимые технические и организационные меры (антивирусные программы, разграничения права доступа и т.д.). Полный перечень необходимых мер приведен в Приказе ФСТЭК РФ от 18.02.2013 № 21.
  • Подайте уведомление в Роскомнадзор для внесения вас в реестр как оператора персональных данных. Электронную форму заявления можно заполнить на сайте. Затем его обязательно необходимо распечатать, подписать, поставить печать и отправить в территориальный отдел Роскомнадзора по месту регистрации вашей компании (или вас лично в случае, если вы физ.лицо или ИП).
  • Убедитесь, что используемых вами хостинг и база данных (где хранятся сведения о пользователях вашего сайта и их персональные данные) находятся на территории Российской Федерации.
  • Для большей уверенности настройте на сайте автоматическое уведомление новых посетителей сайта о том, что вы собираете их метаданные (cookie, IP-адреса и данные о местоположении), а если они не хотят, чтобы его данные обрабатывались вами, посетитель должен покинуть сайт.

Если вы являетесь юридическим лицом, вам предстоит совершить еще ряд мероприятий:

  • Разработать внутренние документы, регламентирующие работу в сфере обработки персональных данных;
  • Внести в трудовые договоры с сотрудниками пункты о неразглашении персональных данных и согласии на обработку их собственных персональных данных, а также ознакомить под подпись с внутренними документами о персональных данных (из предыдущего пункта);
  • При заключении контрактов и договоров с контрагентами и клиентами предусмотреть в них пункты об обработке персональных данных, а также в случае передачи (например, рекламным агентствам) персональных данных своих клиентов давать им задание на обработку этих данных.

Что делать владельцам сайтов в связи с ужесточением ФЗ-152?

Что будет, если я ничего не сделаю?

Возможно, что ничего и не будет. Но если Роскомнадзор проверит ваш ресурс и увидит нарушение законодательства, это может грозить вам суммарным штрафом до 300 тысяч рублей и блокировкой сайта.

Пока не ясно, будет ли какая-то массовая проверка Роскомнадзором российских сайтов. Но, например, в Астрахани, сотрудники прокуратуры уже начали штрафовать владельцев сайтов еще до вступления в силу изменений в закон и, следовательно, роста штрафов. Примечательно, что жаловались фирмы, название которых начинается на букву «А», видимо, сработал алфавитный принцип.

Вместо заключения

Решение о том, делать что-то или нет, остается на ваше усмотрение. Но, если вы пока так ничего и не сделали, мы советуем все же предпринять необходимые меры, чтобы обезопасить себя, а не ждать «письмо счастья» из Роскомнадзора.

А если будут вопросы, обращайтесь!

UPD: По многочисленным просьбам трудящихся размещаем шаблоны необходимых документов: Политика компании в отношении обработки персональных данных и Согласие на обработку персональных данных.

Подпишись на обновление, это бесплатно!
Нажимая на кнопку вы даете свое согласие на обработку персональных данных
Поделиться:
1 комментариев
Игорь Петров • 10 июля 2017, 23:33
Интересно, сколько уже штрафов успели собрать.
Присоединиться к обсуждению...
Войти с помощью:
Нажимая на кнопку вы даете свое согласие на обработку персональных данных
Мы в социальных сетях: