29.06.2017
Bracatus (1449 articles)
комментария 2
Поделиться

Что каждый владелец сайта должен успеть сделать до 1-го июля?

Что каждый владелец сайта должен успеть сделать до 1-го июля, чтобы не платить многотысячные штрафы? Мы озаботились этим вопросом, так как многие наши читатели проживают в России и являются владельцами интернет-магазинов, соответственно имеют дело с персональными данными, относительно которых в законодательстве произошли изменения. Эти изменения вступают в силу через несколько дней, поэтому осталось совсем мало времени. Мы обратились к специалисту, который согласился подробно разъяснить все нюансы законодательных изменений, а также составил список того, что каждый владелец сайта должен успеть сделать до 1 июля.


Словосочетание «Персональные данные» (ПД) скорее всего, слышал каждый владелец интернет бизнеса. Будь то интернет-магазин, информационный ресурс или другой сайт. Чем ближе 1 июля, тем больше владельцев сайтов переживают о грядущих переменах в законодательстве о «Персональных данных». В статье мы разберем самые важные вопросы по этой теме.

Ужесточение законодательства

Недавние решения судов, когда несколько компаний было оштрафовано за отсутствие согласия на обработку ПД, не внушают представителям бизнеса уверенности.

На сегодняшний день сумма штрафов за нарушение в области ПД невелика, но уже с 1 июля 2017 года штрафы вырастут многократно, а состав правонарушения будет увеличен и разбит на виды.

7 февраля 2017 года принят федеральный закон N 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Изменения вносятся в статью 13.11, которая касается нарушений законодательства РФ в области персональных данных.

Если сейчас статья состоит всего из 1 пункта и максимальный штраф по ней составляет 10 тысяч рублей, то с 1 июля пунктов в статье станет 7, а максимальный штраф может достигать 75 тысяч рублей. Если несколько нарушений, то и штрафов будет несколько.

Новые штрафы

Статья Штраф
ч.1 ст.13.11 КоАП

Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных

До 50 000 рублей
ч.2 ст.13.11 КоАП

Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных

До 75 000 рублей
ч.3 ст.13.11 КоАП

Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных

До 30 000 рублей
ч.4 ст.13.11 КоАП

Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

До 40 000 рублей
ч.5 ст.13.11 КоАП

Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки

До 45 000 рублей
ч.6 ст.13.11 КоАП

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния

До 50 000 рублей
ч.7 ст.13.11 КоАП

Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных

 до 6 000 рублей

Что такое персональные данные

Чтобы соблюдать закон, нужно понять что относится к Персональным данным. Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Четкого списка, что является ПД нет, это могут быть любые данные, по которым можно идентифицировать субъекта ПД. Как правило к таким данным можно отнести:

  • Фамилия, имя, отчество
  • Домашний адрес
  • Электронный адрес
  • Номер телефона
  • Дата / место рождения
  • Ссылки на социальные сети
  • Место работы
  • Должность
  • Национальность
  • Вероисповедание
  • Файлы cookies
  • IP адрес
  • И т.д.

Если на вашем сайте осуществляется сбор подобной информации, то поздравляю, вы являетесь оператором ПД. Сайты с личными кабинетами, формами регистрации, формами обратной связи, анкетами, интернет магазины и т.д. являются операторами ПД.


Что делать

Нужно приводить ваш сайт в соответствие с Федеральным законом №-152 «О персональных данных».

Независимо от направленности вашего сайта (интернет магазин, информационный ресурс, сайт услуг и т.д.), чтобы избежать штрафов, необходимо выполнить следующие условия:

1. Самое первое, что нужно — это получить от пользователя разрешение на обработку его персональных данных.

  • Сделать это можно путем размещения в форме, где пользователь оставляет свои ПД, фразу внизу блока: «Нажимая на кнопку «Заказать» Я даю свое согласие на обработку персональных данных. С Политикой конфиденциальности согласен». Фраза «Политикой конфиденциальности» нужно сделать ссылкой на страницу сайта, где будет размещена данная Политика. Название кнопки «Заказать» в вашем случае может быть другое, например «Оставить заявку» или «Перезвоните мне», это зависит от специфики вашего сайта.
  • Другой способ получения согласия – это размещение окошка для проставления галочки (отметки) возле фразы «Я даю свое согласие на обработку персональных данных. С Политикой конфиденциальности согласен». И все дальнейшие действия пользователя по передаче вам своих персональных данных (заполнению формы) должны быть невозможны без проставления им галочки (отметки) в окошке.
  • Если ваш сайт продает товар или услуги, то согласие возможно получить другим способом. Политика конфиденциальности прописывается отдельным пунктом в Публичной оферте на вашем сайте. Таким образом, при заполнении формы, пользователь также соглашается на обработку данных, только изменяется фраза под формой. Например: «Согласен с условиями Публичной оферты» где фраза «Публичной оферты»оформляется как ссылка на страницу сайта, где расположена данная Публичная оферта. Таким образом, вы можете совместить любой договор, (например, договор купли-продажи или договор оказания услуг) с политикой конфиденциальности в одном документе.

На сайте можно разместить и оба документа сразу, причем в Оферте в разделе про обработку данных сделать отсылку к странице сайта, где расположена Политика конфиденциальности. Тогда в тексте согласия пользователя добавится фраза, например: «Я даю свое согласие на обработку персональных данных. С Политикой конфиденциальности и Офертой согласен».

2. Разработать, утвердить и разместить на сайте Политику конфиденциальности (подходит абсолютно любому сайту) или Публичную оферту с прописанными в ней положениями о сборе и обработке ПД (подойдет больше интернет магазинам и сайтам с услугами).

В Политике конфиденциальности и в Публичной оферте важно прописать следующее:

  • Данные оператора ПД
  • Для каких целей собираются ПД
  • Перечень ПД, которые могут собираться
  • Перечень действий с ПД
  • Срок действия согласия субъекта
  • Способ отзыва согласия субъекта

Обязательно прописывается email и другие способы связи с оператором ПД, куда субъект может обратиться с требованием об удалении, изменении своих ПД.

3. Разработать и утвердить юридические документы в компании в отношении обработки ПД, утвердить локальные акты для сотрудников по работе с персональными данными.

Дополнительно можно назначить ответственное лицо за обработку персональных данных.

В случае, если к ПД имеют доступ третьи лица (например,рекламное агентство, с которым вы сотрудничаете), с таким лицом должно быть заключено соглашение об обеспечении безопасности ПД.

4. Необходимо убедиться, что ваш сайт находится на серверах в России. Но тут есть исключения. Ваш сайт может не находиться на серверах в России, если обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.

Если вы попадаете под эти исключения, то необходимо предупредить субъекта персональных данных в Политике конфиденциальности о том, где находятся сервера сайта, что возможно использование Трансграничной передачи ПД, и что он полностью согласен с этим.

5. Встать на учет, путем заполнения на сайте Роскомнадзорауведомления об обработке вами персональных данных.

Но и здесь есть исключения. Можно не уведомлять Роскомнадзор в случаях:

  • Если вы обрабатываете данные сотрудников
  • Если вы получаете ПД от субъекта только в связи с заключением и исполнением договора, стороной которого он является. Здесь хорошим примером служит публичная оферта. Если у вас интернет магазин или сайт услуг, субъект, соглашаясь с публичной офертой при заполнении формы, становится стороной договора. И вы как оператор ПД обязуетесь в оферте никуда его ПД не передавать, а использовать ПД только для выполнения своих обязательств по договору между вами
  • Если вы обрабатываете ПД субъектов общественного объединения или религиозной организации, при условии, что третьим лицам ПД не разглашаете без согласия субъекта
  • Если вы обрабатываете ПД субъекта, которые он сделал общедоступными. Другими словами, сам опубликовал их в общем доступе
  • Если ПД содержат только фамилию, имя и отчество

6. Разместить на сайте дисклеймер, уведомляющий посетителя, что его персональные данные обрабатываются в соответствии с Политикой конфиденциальности сайта. Если он не согласен с Политикой, то должен покинуть сайт. Дальнейшее пользование сайтом будет означать его согласие с обработкой ПД и Политикой конфиденциальности.

Это основные действия, которые помогут вам избежать штрафов и проблем с Роскомнадзором.


За подробными разъяснениями и консультацией обращайтесь к автору.

Автор: Терещенко Максим,
Основатель консалтинговой компании «Невские решения», юрист
Пресс-секретарь: Назарова Елена Евгеньевна
Вк: https://vk.com/maxim_bz
Сайт: https://nr-consult.ru


Bracatus


Комментарии

  1. Бендер 30.06.2017, 17:14
    Это просто уму непостижимо! Не завидую всем владельцам интернет магазинов
  2. Olya 30.06.2017, 18:16
    Ох, как же много спорных и неясных моментов! Интересно, что же будет завтра?

Написать комментарий

Войти с помощью: 

Ваши данные будут в безопасности! Ваш электронный адрес не будет опубликован. Другие данные также не будут переданы третьим лицам. Поля, обязательные для заполнения, отмечены так: *

*

десять − 4 =