Изменения в законе о персональных данных

Кого будут штрафовать?

Операторов персональных данных. Оператор — любая организация, ИП и физическое лицо, которые обрабатывают персональные данные, например, собирает электронные адреса для рассылки.

Что такое персональные данные?

Любые данные о человеке, по которым его можно опознать. Точного перечисления персональных данных в законе нет, но, например, если логин пользователя нам ни о чем не говорит, то электронная почта — это уже персональные данные.

Часто используемые персональные данные

Неважно, используете ли вы эту информацию по отдельности или в сочетании — если вы как-то получаете ее от пользователей, вы — оператор персональных данных.

• Email 
• Телефон 
• Имя, фамилия, отчество (и по отдельности) 
• Адрес 
• Дата рождения 
• Фотография 
• Ссылка на персональный сайт и профиль в соцсетях 

Трактовка персональных данных расплывчатая, но исходя из позиции судов и Роскомнадзора даже cookie, данные об IP-адресе, местоположении без указания фамилии и имени являются персональными данными. В деле LinkedIn (который заблокировали за использование cookie, сведений о поведении пользователя на странице и сведений о местонахождении) и провайдера Скартел позиция судов и Роскомнадзора подтверждается.

Если на вашем сайте есть любая форма сбора данных — обратной связи, подписки на рассылку, регистрации или личный кабинет, это считается обработкой персональных данных.

Я не обрабатываю персональные данные, а только собираю

Хранение и сбор персональных данных тоже попадают под определение обработки. Даже если вы собираете данные и через пару минут удаляете, это будет считаться обработкой персональных данных.

Что делать с сайтом

Вам нужно сделать так, чтобы сайт соответствовал требованиям 152-ФЗ. Эти требования применимы для всех — физических лиц и компаний. Убедитесь, что вы соблюдаете следующие условия:

1. Хостинг и база данных с персональными данными должна располагаться на территории России. Об этом прямо говорят данные проверок Роскомнадзора (снова LinkedIn) и закон №242-ФЗ, который обязывает записывать, хранить, обновлять и извлекать персональные данные граждан РФ с использованием баз данных на территории России с 1 сентября 2015 года.

Это касается иностранных компаний с юридическим лицом в России и без него, а также российских компаний, которые пользуются иностранными хостинг-провайдерами, дата-центрами и облачными платформами. 

2. Под каждой формой сбора данных, включая сбор email, разместить текст «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных». В тексте должна быть ссылка на документ — Пользовательское соглашение, договор или согласие на обработку персональных данных. Текст самого документа можно разместить на отдельной странице.

3. Разместить на сайте в общем доступе (например, в подвале сайта) ссылку на документ — политику организации в отношении обработки персональных данных на сайте.

4. Показывать всем новым пользователям сайта предупреждение с текстом о том, что вы собираете метаданные пользователя (cookie, данные об IP-адресе и местоположении) для функционирования сайта и, если он не хочет, чтобы эти его данные обрабатывались, то должен покинуть сайт. 

5. Подать уведомление, чтобы внести организацию в реестр операторов персональных данных Роскомнадзора

Что еще нужно сделать, если вы — юридическое лицо

Выше мы назвали главные требования, которые Роскомнадзор предъявляет ко всем сайтам — неважно, физическое вы лицо или юридическое. Ниже еще несколько групп требований, которые должны дополнительно выполнять юридические лица.

Что нужно еще сделать компаниям:

1. Назначить ответственных лиц и разработать пакет внутренних документов, регламентирующих процессы обработки и защиты персональных данных.

2. Правильно отрегулировать взаимодействие с физическими лицами, государственными органами и контрагентами. Это значит, вам нужно:
 

• Подписать с сотрудниками обязательства о неразглашении персональных данных, согласие на обработку персональных данных и под роспись ознакомить их с внутренними документами по персональным данным. 
   
• Со всеми другими физическими лицами подписывать согласие на обработку персональных данных или добавлять пункты об обработке персональных данных в договоры, которые вы заключаете. 
   
• Заключать поручения на обработку персональных данных, если вы передаете кому-то данные физических лиц (например, рекламным агентствам). 
   
• Отвечать на запросы физических лиц по поводу обработки их персональных данных — не игнорировать, как часто делают. 

3. Защитить персональные данные техническими и организационными мерами — антивирусными системами, средствами межсетевого экранирования, разграничить права доступа. Все это прописано в приказе ФСТЭК №21.

В зависимости от требований проверять компанию могут разные инстанции: Роскомнадзор, ФСТЭК и ФСБ России. Самые редкие случаи проверки для частных организаций — проверка технической защиты персональных данных, это делает ФСБ в малом количестве.

Основной риск представляет Роскомнадзор, проводящий тысячи проверок в год.

Какие штрафы ждут за невыполнение закона с 1 июля

Если раньше сумма штрафов для юридических лиц не превышала 10000 рублей, то с 1 июля она спокойно может доходить до 300000 рублей. Если нарушений несколько, штрафов тоже будет несколько. Например, если вам напишет пользователь и попросит уточнить или удалить его персональные данные с вашего сайта, а вы не предоставите эту информацию, то штраф для физических лиц будет до 2000 рублей, для ИП — до 20000 рублей, для компаний — до 45000 рублей. Все штрафы можно посмотреть в поправках к закону. Как правило, вначале Роскомнадзор присылает «письмо счастья», в котором указывает выявленные нарушения на сайте, связанные с неправомерной обработкой персональных данных. Хотя в случае с астраханскими сайтами, которых оштрафовали за форму обратной связи на сайте, проверку просто начали по алфавиту.
Не ждите «письмо счастья». Начните выполнять все основные требования, чтобы избежать плачевных последствий и штрафов.

чек лист для доработки сайта