1С - БИТРИКС СЕРТИФИЦИРОВАННЫЙ ПАРТНЕР
КОНТАКТЫ

Контакты

Офисы

Москва
г. Москва, ул. Бульвар
Энтузиастов, д. 2
Ростов-на-Дону
г. Ростов-на-Дону,
пер. Университетский 78, офис №1

Напиши нам

Даю согласие на обработку персональных данных

Поправки в закон о персональных данных могут лишить провинившихся операторов круглых сумм денег

С 1 июля 2017 года в силу вступят изменения, касающиеся обработки и хранения персональных данных. Федеральный закон №3_ФЗ, принятый 7 февраля, предвещает более жестокие меры для тех, кто нарушает политику конфиденциальности или обрабатывает персональные данные без письменного согласия.

Штрафы не просто разделили на категории по видам нарушений, но и увеличили их размеры в несколько раз.

Еще есть время исправить ошибки…

Всегда возникают вопросы такого плана, как: «А почему закон, уже поддержанный и одобренный, вступает в силу только через полгода?»

Сделано это для того, чтобы все, кто попадает под его юрисдикцию, смогли исправить возможные имеющиеся ошибки.

Давайте кратко разберем, за какие погрешности может наступить наказание в виде штрафа, взыскания компенсации или тюремного срока…

За что неминуемо наступит наказание:
  • Отсутствие на сайте политики конфиденциальности. Размер штрафа для ИП составит всего 10 тысяч. А вот компании придется расстаться с 30 тысячами.

  • Обработка персональных данных интернет-магазином или сайтом с информационными курсами без письменного согласия клиента: готовьтесь расстаться с 75 тысячами. За аналогичную оплошность директор компании или предприниматель должен будет заплатить около 20 тысяч.

Стоит упомянуть и о том, что с 1 июля каждый протокол о нарушениях будет рассмотрен в более быстрые сроки, соответственно наказание скорее найдет свою цель.

Случится это из-за смены исполняющего органа. Если ранее протоколы могла выписывать только прокуратура, то с указанной даты ими займется Роскомнадзор.

Стоит ли вам беспокоиться?

Конечно, если вы или ваш сайт не владеете персональными данными других людей, не о чем беспокоиться. Но как понять, какая именно информация называется конфиденциальной, а главное, как узнать действительно ли вы не являетесь оператором персональных данных?

Как не странно, но никакой закон не обговаривает перечень конфиденциальной информации, которую принято называть персональными данными. Но все мы прекрасно понимаем, что это: это данные, благодаря которым нас, простых смертных, можно идентифицировать.

Владение какой информацией автоматически делает вас оператором персональных данных:

  • Фамилия.

  • Имя.

  • Отчество.

  • Дата и/или место рождения.

  • Семейное положение.

  • Образование.

  • Профессия.

  • Уровень доходов.

  • Адрес.

  • Электронная почта.

  • Номер телефона.

  • Фотография.

  • Ссылка на страничку в социальной сети или персональный сайт.

Сайты, на которых имеются личные кабинеты, автоматически становятся носителями персональных данных. Стоит проанализировать возможное наличие ошибок, если на сайте необходимо зарегистрироваться, чтобы воспользоваться услугами и стать подписчиком на информацию, или необходимо заполнить анкету. При наличии обратной связи, кнопки заказа звонка или отправки сообщения сайт также попадает под эту категорию.

Физическое лицо не попадает под действие закона, если использует информацию для семейных и личных нужд. Если только он не передал эти данные коллекторам или не использовал их в других целях.

Персональные данные: как с ними работать, чтобы не преступить закон?

Каждый оператор должен придерживаться правил:

  • Обязательное наличие письменного согласия каждого подписчика/посетителя/клиента на обработку, хранение и распространение персональных данных.

  • Хранение информации обо всех персональных данных в закрытом доступе.

  • Запрашивать только действительно нужную информацию. Для электронной рассылки нужна только электронная почта, а вот домашний адрес или данные паспорта не нужны.

  • Использование данных только для оговоренных с клиентами целей.

  • Сообщить подписчику/посетителю/клиенту, при наличии запроса от него, сведения об имеющейся о нем информации, о том для каких целей она использовалась и передавалась ли она еще кому-нибудь.

  • По запросу удалять все имеющиеся данные: например, сведения, использующиеся для информирования о скидках и акциях.

  • Хранить базу данных, оберегая ее от взлома, утечки.

  • Проводить с сотрудниками мероприятия, которые научат их обрабатывать и охранять персональные данные.

  • Пройти регистрацию в Роскомнадзоре.

Регистрация в Роскомнадзоре: это обязательно?

Согласно новой поправке каждый оператор персональных данных обязан сообщить в Роскомнадзор, что намерен проводить обработку имеющейся у него информации о подписчике/посетителе/клиенте. Заявку на регистрацию необходимо подавать до начала работы с данными.

Уведомление о работе, связанной с обработкой персональных данных, подавать не нужно, если:

  • Ведется обработка только данных сотрудников.

  • Цель получения персональных данных только исполнение конкретного договора. Распространение, использование сведений для других целей исключено.

  • Сайт не запрашивал никакой информации – посетитель сам опубликовал ее в открытом доступе.

  • Сайту известны только ФИО, доступа к другим данным нет.

Что необходимо делать в первую очередь?

Если у вас имеется сайт-оператор, но вы до сих пор ничего не предприняли для максимальной защиты персональных данных и оптимизации ресурса, штраф не за горами.

Давайте разберемся, что необходимо предпринять владельцу сайта в первую очередь:

  • Подготовить публичные документы – пользовательское соглашение, политику конфиденциальности, правила продажи или обычный договор (оферту). Выложите их на сайте, чтобы к ним имелся общий доступ.

  • Чужие документы использовать можно только как ориентир, так как список необходимых данных, целей должен быть уникальным для каждого оператора.

  • Помните, что запрос данных, не отвечающих вашей цели, ведет к штрафу. Если ваш сайт занимается электронными рассылками, единственное, что вам может потребоваться это адрес электронной почты, другие сведения запрашивать вы не должны!

  • Запрашивайте у пользователя согласие на обработку, хранение персональных данных. Реализовать это можно с помощью поставленной в нужном месте галочки или отдельного пункта в договоре при оформлении заказа.

  • Составьте внутреннее распоряжение для сотрудников, прописывающее правила хранения персональных данных и ответственность, наступающую за их разглашение или распоряжение. Документы подобного рода выкладывать в общий доступ не нужно.

  • При необходимости отправьте уведомление в Роскомнадзор. Если вы уверены, что это не нужно, то убедитесь, что при проверке к вам не будет никаких нареканий. Пропишите, что персональные данные необходимы только для реализации конкретного договора. Пропишите, что на созданном ресурсе пользователи могут размещать данные в общем доступе исключительно по собственному желанию. Если вы сомневаетесь, являетесь ли вы оператором персональных данных, обезопасьтесь и пройдите регистрацию в Роскомнадзор.

Какие нюансы хранения персональных данных существуют?

Уже сейчас среди владельцев сайтов ходят слухи, что сервер должен быть только российским: хранение данных граждан России при хостинге в Европе – прямое нарушение закона.

Как не странно, доля правды здесь присутствует. Одновременно с этим законодательство не дает никаких конкретных разъяснений по данному вопросу. Существует отдельная статья про предоставление личных сведений на территорию зарубежного государства, но, несмотря на ее цель: разъяснение – материал сам порождает много противоречий. Поэтому если вы имеете хостинг в Европе, не намерены хранить и обрабатывать базы на отечественных серверах, советуем подстраховаться и отправить запрос в Роскомнадзор или Минкомсвязь. Есть еще один вариант: обращение к своему хостеру – опытная компания быстро найдет решение проблеме.

Бояться нечего, но предостеречься стоит

Паниковать не стоит, но задуматься нужно. Безосновательно никого штрафовать не будут, но, если вы реально нарушили закон о конфиденциальности, вам грозит как минимум штраф и как максимум тюремное заключение.

Уже сейчас, когда поправки еще не вступили в силу, имеется достаточное количество случаев нарушения правил обработки и хранения персональных данных.

В Тамбовской области юридическая компания оштрафована за своевольное (без согласия пользователя на использование личной информации) заполнение формы обратной связи.

Не смог избежать штрафа и директор управляющей компании, который с помощью юристов хотел взыскать с должников задолженности, согласие на обработку персональных данных у клиентов он не запрашивал.

Астраханские прокуроры выписывают штрафы сайтам за оформление списков клиентов обратной связи в алфавитном порядке.

Нарушителям может грозить не только штраф за нарушение норм обработки и хранения персональных данных, но и компенсация морального вреда, нанесенного пользователям, и временное заключение в тюрьму.

Возврат к списку