Изменения в законе о персональных данных

Почти все владельцы сайтов обрабатывают персональные данные — например, собирают почтовые адреса для рассылки.
1 июля 2017 года вступают в силу изменения в законе о персональных данных, из-за которых в разы вырастут штрафы.

Сейчас по статье 13.11 есть только одно нарушение со штрафом 10000 рублей для юридических лиц. После 1 июля их станет семь и общий штраф может составить до 295000 рублей.

Почему сейчас? Все штрафы, которые вступают в силу с 1 июля, являются наиболее частыми нарушениями, которые Роскомнадзор выявлял в течение последних пяти лет. Ужесточение нашего законодательства связано с ужесточением законодательства в Евросоюзе.

Например, если в форме обратной связи нет ссылки на соглашение на обработку персональных данных, компания должна будет заплатить 50000 рублей. Если на сайте нет политики конфиденциальности, ИП оштрафуют на 10000 рублей, компанию — на 30000 рублей.

 

Кого будут штрафовать?


Операторов персональных данных. Оператор — любая организация, ИП и физическое лицо, которые обрабатывают персональные данные, например, собирает электронные адреса для рассылки.

 

Определение из закона 152-ФЗ «О персональных данных»:

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

 

Что такое персональные данные?


Любые данные о человеке, по которым его можно опознать. Точного перечисления персональных данных в законе нет, но, например, если логин пользователя нам ни о чем не говорит, то электронная почта — это уже персональные данные.

 

Определение из закона 152-ФЗ «О персональных данных»:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

 

Часто используемые персональные данные


Неважно, используете ли вы эту информацию по отдельности или в сочетании — если вы как-то получаете ее от пользователей, вы — оператор персональных данных.

  • Email 
  • Телефон 
  • Имя, фамилия, отчество (и по отдельности) 
  • Адрес 
  • Дата рождения 
  • Фотография 
  • Ссылка на персональный сайт и профиль в соцсетях 

Трактовка персональных данных расплывчатая, но исходя из позиции судов и Роскомнадзора даже cookie, данные об IP-адресе, местоположении без указания фамилии и имени являются персональными данными. В деле LinkedIn (который заблокировали за использование cookie, сведений о поведении пользователя на странице и сведений о местонахождении) и провайдера Скартел позиция судов и Роскомнадзора подтверждается.

Если на вашем сайте есть любая форма сбора данных — обратной связи, подписки на рассылку, регистрации или личный кабинет, это считается обработкой персональных данных.

 

Я не обрабатываю персональные данные, а только собираю


Хранение и сбор персональных данных тоже попадают под определение обработки. Даже если вы собираете данные и через пару минут удаляете, это будет считаться обработкой персональных данных.

 

Определение из закона 152-ФЗ «О персональных данных»:

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

 

Что делать с сайтом


Вам нужно сделать так, чтобы сайт соответствовал требованиям 152-ФЗ. Эти требования применимы для всех — физических лиц и компаний. Убедитесь, что вы соблюдаете следующие условия:

1. Хостинг и база данных с персональными данными должна располагаться на территории России. Об этом прямо говорят данные проверок Роскомнадзора (снова LinkedIn) и закон №242-ФЗ, который обязывает записывать, хранить, обновлять и извлекать персональные данные граждан РФ с использованием баз данных на территории России с 1 сентября 2015 года.

Это касается иностранных компаний с юридическим лицом в России и без него, а также российских компаний, которые пользуются иностранными хостинг-провайдерами, дата-центрами и облачными платформами. 

2. Под каждой формой сбора данных, включая сбор email, разместить текст «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных». В тексте должна быть ссылка на документ — Пользовательское соглашение, договор или согласие на обработку персональных данных. Текст самого документа можно разместить на отдельной странице.

3. Разместить на сайте в общем доступе (например, в подвале сайта) ссылку на документ — политику организации в отношении обработки персональных данных на сайте.

4. Показывать всем новым пользователям сайта предупреждение с текстом о том, что вы собираете метаданные пользователя (cookie, данные об IP-адресе и местоположении) для функционирования сайта и, если он не хочет, чтобы эти его данные обрабатывались, то должен покинуть сайт. 

5. Подать уведомление, чтобы внести организацию в реестр операторов персональных данных Роскомнадзора

 

 

Уведомление можно не подавать, если вы:

  • обрабатываете только данные работников и только для исполнения требований трудового законодательства (без передачи данных в банки, например, оформления зарплатного проекта) 
     
  • обрабатываете данные, заключая договор с каждым клиентом и работником, и не передаете данные третьим лицам 
     
  • обрабатываете персональные данные только на бумажных носителях.

Другие исключения, когда уведомление в Роскомнадзор можно не подавать, содержатся во втором пункте статьи 22 закона 152-ФЗ.

 

Что еще нужно сделать, если вы — юридическое лицо


Выше мы назвали главные требования, которые Роскомнадзор предъявляет ко всем сайтам — неважно, физическое вы лицо или юридическое. Ниже еще несколько групп требований, которые должны дополнительно выполнять юридические лица.

Что нужно еще сделать компаниям:

1. Назначить ответственных лиц и разработать пакет внутренних документов, регламентирующих процессы обработки и защиты персональных данных.

2. Правильно отрегулировать взаимодействие с физическими лицами, государственными органами и контрагентами. Это значит, вам нужно:
 

  • Подписать с сотрудниками обязательства о неразглашении персональных данных, согласие на обработку персональных данных и под роспись ознакомить их с внутренними документами по персональным данным. 
     
  • Со всеми другими физическими лицами подписывать согласие на обработку персональных данных или добавлять пункты об обработке персональных данных в договоры, которые вы заключаете. 
     
  • Заключать поручения на обработку персональных данных, если вы передаете кому-то данные физических лиц (например, рекламным агентствам). 
     
  • Отвечать на запросы физических лиц по поводу обработки их персональных данных — не игнорировать, как часто делают. 

3. Защитить персональные данные техническими и организационными мерами — антивирусными системами, средствами межсетевого экранирования, разграничить права доступа. Все это прописано в приказе ФСТЭК №21.

В зависимости от требований проверять компанию могут разные инстанции: Роскомнадзор, ФСТЭК и ФСБ России. Самые редкие случаи проверки для частных организаций — проверка технической защиты персональных данных, это делает ФСБ в малом количестве.

Основной риск представляет Роскомнадзор, проводящий тысячи проверок в год.

 

Какие штрафы ждут за невыполнение закона с 1 июля


Если раньше сумма штрафов для юридических лиц не превышала 10000 рублей, то с 1 июля она спокойно может доходить до 300000 рублей. Если нарушений несколько, штрафов тоже будет несколько. Например, если вам напишет пользователь и попросит уточнить или удалить его персональные данные с вашего сайта, а вы не предоставите эту информацию, то штраф для физических лиц будет до 2000 рублей, для ИП — до 20000 рублей, для компаний — до 45000 рублей. Все штрафы можно посмотреть в поправках к закону. Как правило, вначале Роскомнадзор присылает «письмо счастья», в котором указывает выявленные нарушения на сайте, связанные с неправомерной обработкой персональных данных. Хотя в случае с астраханскими сайтами, которых оштрафовали за форму обратной связи на сайте, проверку просто начали по алфавиту.
Не ждите «письмо счастья». Начните выполнять все основные требования, чтобы избежать плачевных последствий и штрафов.

чек лист для доработки сайта

Статьи по теме

None found

ساديات bakireporn.net لبن زبر سكس خلفي عربي freepornsearch.info سكس روسي عنيف avgie javsearch.mobi ムチムチでブリンブリンな肉触感 篠崎かんな صور سكس مص ولحس alteporno.com سكس محارم اخ مع اخته xxx friends wife pornomaniaz.com aunty saree navel images اباحي مصري freepornjournal.com زب طويل جدا desibaba. com joysporn.mobi www.vjav.com xxx hifi video juraporn.mobi mother and daughter xnxx bade acche lagte hai song video xxlfucktube.com tripura sexy video نفسي انيك thevael.com arabxx keezmovies.com nesaporn.net xnxx videos india نيك علي الهدوم top4tube.com فشخها myfreeblack.com analotube.info radhe maa sexy video actress aparna yourporn.name xxx lanka indian outdoor xnxx pornix.info thirrutu masala