Новые штрафы по закону «О персональных данных» многократно вырастут с 1 июля 2017 года

пост опубликован

Внесённые в феврале поправки в статью 13.11 КоАП о нарушении закона о «Персональных данных» вступят в силу с 1 июля этого года. Нововведения коснутся всех, кто собирает, обрабатывает и хранит любые персональные данные. Персональные данные — это любые данные о человеке, по которым его можно идентифицировать. Такими данными могут быть:

  • Фамилия имя отчество или физический адрес,
  • Адрес электронной почты или номер телефона,
  • Дата, место рождения или фотографии человека,
  • Ссылки на аккаунт в соцсети или персональный сайт,
  • Профессия, образование или уровень доходов,
  • Семейное положение и т.д.

Каждый владелец сайта, на котором есть личный кабинет или любая форма для ввода персональных данных — оператор персональных данных. Таким образом, подавляющее большинство владельцев сайтов являются операторами персональных данных. С учётом того, что штрафы выросли в десятки раз, нужно срочно вносить правки.

Персональные данные — это любые данные о человеке, по которым его можно идентифицировать.
Персональные данные — это любые данные о человеке, по которым его можно идентифицировать.

Например, если Индивидуальный предприниматель не разместит на своём сайте Политику конфиденциальности, то ему грозит штраф на 10 000 рублей, аналогичный штраф для компании — 30 000 рублей. Обработка Интернет-магазином персональных данных без согласия Клиента грозит юридическому лицу штрафом до 75 000 рублей.

Что сделать владельцу сайта?

  • Подготовьте публичные документы (Пользовательское соглашение, Политика конфиденциальности и другие) и разместите их на сайте так, чтобы они были доступны на всех страницах. Для примера можете зайти на сайт крупной компании и посмотреть их документы. Но не используйте чужие документы. Помните, что ваша задача не написать лишнего – иначе штраф.
  • Реализуйте решение, позволяющее однозначно установить, что человек согласился на обработку персональных данных в установленном объёме. Это может быть галочка в форме регистрации или предупреждение при оформлении заказа. Для надёжности можно заверите веб-страницы у нотариуса.
  • Добавьте в должностные инструкции пункт о хранении персональных данных и ответственности сотрудников, которые с ними работают. Обучите сотрудников работе с персональными данными.
  • Если нужно, отправьте уведомление в Роскомнадзор. Если уверены, что уведомление отправлять не нужно, оформите документы так, чтобы это было понятно при проверке. Пропишите в политике, что используете персональные данные только для исполнения конкретного договора. Или укажите, что создаете ресурс, на котором данные размещаются в общем доступе по желанию пользователя.

Кому нужно регистрироваться в Роскомнадзоре?

По закону операторы персональных данных должны уведомить Роскомнадзор. Сделать это нужно до начала обработки данных или как можно скорее. Роскомнадзор внесет информацию об операторе в общий реестр и будет выдавать по запросу. Уведомление можно не подавать, если:

  • обрабатываются только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более — распространяться;
  • человек сам опубликовал эти данные в общем доступе;
  • у вас есть только ФИО клиента и больше ничего.

Что делать владельцу сайта?

Как минимум нужно постоянно делать это:

  • получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных;
  • публиковать в открытом доступе информацию обо всём, что касается персональных данных клиентов и посетителей;
  • запрашивать только те данные, которые нужны для конкретной цели;
  • использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
  • сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
  • удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
  • хранить базы данных в надежном месте, защищать их от взлома и утечки;

Кто будет оплачивать штрафы?

Даже если ваш сайт обслуживает веб-студия или удаленный специалист, штраф всё равно выпишут на ту компанию или Индивидуального предпринимателя, которые указаны на сайте.

Хранить персональные данные можно только на серверах на территории России?

В законе нет ясности, и есть противоречия по этому вопросу. С одной стороны, собирать, обрабатывать и хранить базы данных нужно на российских серверах. Но при этом есть отдельная статья про трансграничную передачу данных.



По мотивам: https://journal.tinkoff.ru/personalnye-dannye/ (особая благодарность Тинькову)