1 июля 2017 года ужесточается законодательство о персональных данных.
В законодательстве произошли большие изменения, но про них практически не говорят и нет исчерпывающей информации.
Что является персональными данными?
Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). Так выглядит трактовка термина в законе 152-ФЗ «О персональных данных» и она более чем размытая.
Исходя из позиции судов и Роскомнадзора, персональными данными является любая информация вплоть до пользовательских данных. Именно на позицию судов за неимением более чётких трактовок необходимо ориентироваться.
Если в форме обратной связи есть поле «Имя» или «Представьтесь», то вкупе с автоматически передаваемыми cookie и другими метаданными это будет являться персональными данными.
Государство предприняло самый значимый шаг в законодательстве о ПДн со времени появления самого закона 152-ФЗ. С 1 июля 2017 года вступит в силу закон 13-ФЗ от 07.02.2017, вносящий поправки в КоАП. Ужесточается ответственность за нарушения, которые могут допустить операторы (читаем — бизнес) в работе с ПДн.
Если коротко, то штрафы выросли почти на порядок (до 75 тысяч рублей). Причём за нарушения, которые допустить очень легко и которые видны на каждом шагу. Проверяющим и надзорным органам в том числе.
Так же привлечь к ответственности стало существенно проще. Если раньше это можно было сделать через прокуратуру (которой этими вашими ПДн заниматься некогда), то сейчас возбудить дело об административном правонарушении может непосредственно регулятор — Роскомнадзор.
Именно 1 июля 2017 года, будут кратно увеличены число и размер штрафов за нарушения требований обработки персональных данных. Если раньше сумма штрафов в большинстве случаев не превышала 10 000 рублей, то теперь она может спокойно доходить до 300 000 рублей.
Теперь штрафовать Роскомнадзор может не по одной статье 13.11 Кодекса об административных правонарушениях (КоАП), а по семи:
| Номер статьи | Текст статьи | Возможный штраф | В каких случаях накладывается штраф |
|---|
| ч.1 ст.13.11 КоАП |
Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных |
До 50 000 рублей на юридических лиц |
- Когда через сайт собираются сканы паспортов и иных документов. Роскомнадзор считает именно сканы документов избыточной информацией.
- Обработка не в тех целях, когда это требуется (например, взяли для исполнения договора, но попутно рассылаем email-рассылки)
|
| ч.2 ст.13.11 КоАП |
Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных |
До 75 000 рублей для юридических лиц |
- Сбор, хранение и обработка специальных персональных данных (сведения о здоровье, о вероисповедании, политических взглядах и тд) на сайте без явного согласия на обработку таких данных.
- Проведение онлайн-скоринга его данных (включая IP, cookie и сведения из аккаунтов в соц.сетях) без явного согласия на обработку персональных данных в целях скоринга
- Отсутствие в согласии или оферте списка третьих лиц, кому могут передаваться персональные данные
- Неисполнение требований к форме согласия на обработку персональных данных, описанных в ч.4 ст.9 152-ФЗ
|
| ч.3 ст.13.11 КоАП |
Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных |
До 30 000 рублей для юридических лиц |
- Отсутствие на сайте или странице мобильного приложения общедоступной ссылки на Политику организации в отношении обработки персональных данных.
|
| ч.4 ст.13.11 КоАП |
Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных |
До 40 000 рублей для юридических лиц |
- Игнорирование запросов физических лиц по поводу обработки и защиты их персональных данных.
- Ответ на запрос в сроки, превышающие установленные законом
- Предоставление ложной информации
|
| ч.5 ст.13.11 КоАП |
Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки |
До 45 000 рублей для юридических лиц |
- Игнорирование запросов физических лиц и Роскомнадзора по поводу прекращения обработки персональных данных и их уничтожении
- Нарушение сроков предоставления ответов на поступившие запросы
|
| ч.6 ст.13.11 КоАП |
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния |
До 50 000 рублей для юридических лиц |
- Отсутствие списка лиц, допущенных к такой обработке
- Отсутствие раздельного хранения данных
|
| ч.7 ст.13.11 КоАП |
Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных |
до 6 000 рублей для должностных лиц |
|
Роскомнадзор получил право выносить административные дела по вышеперечисленным статьям нарушений без Прокуратуры. То есть теперь от штрафа точно не отделаться.
Что делать владельцу сайта?
Минимум, который нужно сделать чтобы не попасть на штрафы и не получить блокировку сайта.
- Под каждой формой ввода данных на сайтах (форма регистрации, заявки, обратной связи и т.д.) разместить текст: «Нажимая на кнопку НАЗВАНИЕ_КНОПКИ, я даю согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на сам документ. В качестве примера согласия можно посмотреть наше согласие. Вместо согласия можно использовать единую публичную оферту, но в ней будет нужно прописать, в каких целях, какие данные обрабатываются, то есть указать всё,согласно ч.4 ст.9 152-ФЗ. В этом случае обязательно хранить логи, чтобы в случае чего доказать Роскомнадзору, что тот или иной пользователь действительно заходил на сайт и оставлял там свои персональные данные.
- Владельцу сайта необходимо утвердить приказом Политику в отношении обработки персональных данных и разместить её в своём офисе, на сайте в общем доступе. Проще всего это реализовать, вставив ссылку на документ в футер. При этом с данным документом регистрирующийся не должен соглашаться при заполнении формы.
- Перенести сайт на территорию РФ и узнать у технической поддержки хостинг-провайдера или ЦОДа адрес месторасположения вашего сервера (узнать вплоть до здания). Эту информацию Роскомнадзор умеет проверять, так как также контролирует операторов связи, обмануть его не получится.
- Указать email, куда физическое лицо может обратиться за тем, чтобы его персональные данные были удалены, заблокированы и вообще куда он может задать вопрос по персональным данным. Можно всё отправлять и на общую почту, но вы тогда должны проконтролировать, что письмо, касающееся персональных данных, будет отфильтровано и не проигнорировано.
- Агентству и владельцу сайтов необходимо подать уведомление об обработке персональных данных (форма тут) и помимо всего прочего указать там адреса местонахождения баз персональных данных и перечень персональных данных, которые в ней содержатся.
Хотим сказать, что это лишь неполный список требований Роскомнадзора к компаниям, но его достаточно, чтобы начать решать данный вопрос.
Мы, как компания занимающаяся разработкой и поддержкой сайтов, можем помочь внести изменения на сайт:
Вариант №1 (сокращенный):
- создать страницу с информацией о персональных данных (подобрать и отредактировать текст);
- разместить эту страницу в футере сайта;
- вставить в формах флаг/согласие на обработку персональных данных (до 3х форм: форма обратной связи, заказать звонок/расчет и пр)
СТОИМОСТЬ: 5.500 рублей
СРОК: до 2 р/дней
Вариант №2(расширенный):
Включает Вариант№1 плюс хранение ПДн в текстовом документе на хостинге и в БД.
ПДн: name, ip, page, time, date
СТОИМОСТЬ: 5.500 рублей + 3.500 рублей за каждую форму
СРОК: до 3 р/дней
ВНИМАНИЕ: Вариант №2 - для интернет-магазинов, Оценка работ осуществляется отдельно, в зависимости от того как реализованы модули интернет-магазина, регистрации или самой CMS.
