152-ФЗ “О персональных данных” относительно недавно претерпел некоторые изменения, и если раньше за его несоблюдение максимум, что ждало предпринимателя — это штраф до 10 тысяч рублей, то сегодня размеры штрафов выросли до почти 300 тысяч рублей. Стоит также не забывать, что есть еще и GDPR, штрафы за нарушения которого могут исчисляться МИЛЛИОНАМИ ЕВРО!
Как же избежать проблем, связанных 152-ФЗ и не напороться на штраф?
Кто может получить штраф?
Закон касается всех, кого можно назвать оператором персональных данных. Оператором является юридическое лицо или ИП, которые так или иначе собирают, хранят и обрабатывают персональные данные своих клиентов.
Иными словами, если на Вашем сайте есть форма обратной связи или, например, Вы занимаетесь e-mail рассылкой по заранее собранным адресам электронной почты своих клиентов, то поздравляем — Вы попадаете в категорию операторов персональных данных и Вам крайне необходимо следить за соответствием ФЗ.
Впрочем, есть и некоторые исключения, которые мы обозначим и снабдим примерами для Вашего лучшего понимания.
- Если Вы являетесь физическим лицом и собираете персональные данные для личных или семейных нужд, то под действие закона Вы не попадаете. Пример: Вы занимаетесь организацией Встречи Выпускников, и по этому случаю Вы ищете и записываете номера своих одноклассников для того, чтобы позже их обзвонить. В таком случае Вам нечего бояться.
- Закон не распространяется на архивное хранение. Пример: если Вы являлись сотрудником компании, потом уволились и какие-то Ваши документы попали в архив компании, последняя в данном случае не является оператором Ваших персональных данных.
- Вне зоны действия закона находятся компании, которые работают с данными, содержащими государственную тайну.
Форма обратной связи, личный кабинет, форма заказа обратного звонка, форма заявки, форма подписки на рассылку по e-mail, Яндекс Метрика или тому подобные сервисы. Если хотя бы одно из всего вышеперечисленного, то Вы уже являетесь оператором персональных данных.
Какая информация попадает под категорию “персональные данные”?
В 152-ФЗ четкий ответ на данный вопрос отсутствует. Но из всего в нем изложенного становится очевидно, что персональные данные — это любая информация, по которой можно идентифицировать пользователя. То есть персональными данными можно считать: ФИО, дату рождения, адрес, телефон, адрес электронной почты, Ваше фото, ссылка на Ваш профиль в социальных сетях, список заказанных товаров и услуг, cookies, данные о Вашем местоположении, IP-адрес.
В то же время Ваши логин и пароль не считаются самостоятельными персональными данными, так как их легко придумать, а идентификация по ним не является простой задачей. Но в совокупности с другими данными, логин и пароль могут попасть в категорию персональных данных.
Штрафы
Размер штрафа варьируется в зависимости от того, кем было совершено нарушение и его серьезность. Если Вы на своем сайте собираете cookie-файлы пользователей, но при этом не предупреждаете их об этом, то Вам грозит штраф до 75 тысяч рублей. На сайте отсутствует активная ссылка на политику обработки Ваших персональных данных? — Штраф до 30 тысяч рублей. С более подробным перечнем нарушений и соответствующих им штрафов можно посмотреть вот здесь!
Стоит помнить, что сбор данных — процесс, к которому нужно подходить крайне серьезно, так как ситуации могут возникнуть разные. Например, Вы заказали рекламную рассылку у агентства, которое предоставляет услуги подобного толка. И уже после того, как рассылка осуществлена, это же агентство может перепродать Вашу базу данных другим клиентам. Штраф за подобное нарушение будете платить Вы, а не агентство, так как Вы являетесь заказчиком.
Как соблюдать 152-ФЗ?
Шаг 1.
Регистрация в качестве оператора персональных данных.
Обратитесь в Роскомнадзор и подайте уведомление об обработке персональных данных. Это необходимо сделать ДО того, как Ваш сайт начнет функционировать и собирать персональные данные пользователей. Уведомление можно отправить в электронном виде через сайт Роскомнадзора или в бумажном виде в местное отделение структуры.
Шаг 2.
Проверьте наличие политики обработки персональных данных.
Составление политики для человека, который не особо разбирается в данной сфере, может оказаться весьма трудоемким процессом. Поэтому либо воспользуйтесь помощью специалиста, либо прибегните к помощи специальных сервисов-конструкторов. После того, как политика обработки готова, Вам необходимо разместить активную ссылку на нее на сайте.
Шаг 3.
Составьте согласие на обработку персональных данных.
Оно должно быть составлено в свободной форме. Главное, чтобы в документе присутствовали:
- название и адрес Вашей компании;
- цель обработки персональных данных пользователей;
- перечень персональных данных, запрашиваемых у пользователя;
- наименование лица, которое осуществляет обработку персональных данных;
- подробный перечень действий, которые будут совершаться с персональными данными;
- срок, в течении которого будет действовать согласие пользователя.
Шаг 4.
Дайте ссылку на реестр операторов персональных данных.
После того, как Роскомнадзор зарегистрирует Вас как оператора и внесет информацию о Вас в реестр, Вам будет присвоен уникальный номер. Данный факт подтверждает, что Вы обязуетесь действовать в соответствии с 152-ФЗ.
Шаг 5.
Повесьте на сайт уведомление о сборе cookies и других данных.
Cookies, информация о местоположении пользователя и его IP-адрес — этот перечень и должен быть указан в уведомлении. Прочитав и закрыв подобное уведомление, пользователь соглашается с условиями пользования Вашим сайтом. В противном случае он должен покинуть его.
Шаг 6.
Приведите в порядок документацию.
Роскомнадзор устраивает плановые и внеплановые проверки, а также дистанционно наблюдает за сайтами и проводит профилактику нарушений. В ходе проверок сотрудники Роскомнадзора напрямую общаются с предпринимателями и могут запросить дополнительные документы, например копию устава и справку о статусе оператора как субъекта малого предпринимательства с указанием типа предприятия.
Если у Вас не окажется запрашиваемых документов, Роскомнадзор может принять меры — от штрафа до приостановления деятельности Вашего сайта. Если Вы хотите ознакомиться с полным перечнем документов, которые могут представлять интерес для Роскомнадзора, то Вы можете перейти по ссылке.
В последнее время всё большее значение представляет правовая безопасность сайта. Нарушения закона "О персональных данных" или авторских прав может привести к штрафам в несколько сотен тысяч рублей. Проверить ваш сайт и сделать документацию можно здесь.