Что нового в законе №152-ФЗ «О персональных данных» или как избежать штрафа в 295 000 рублей

Вместо одного нарушения со штрафом 10 000 рублей (для юрлиц по статье 13.11) после 1 июля их станет семь, и общий штраф может составить до 295 000 рублей.

Персональные данные — это

Точного понятия и перечня персональных данных в законе нет: к ним относят любую информацию, которая относится к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). Под этим абсолютно точно подразумеваются:

• Имя, фамилия, отчество (и по отдельности)
• Сведения об основном документе, удостоверяющем личность
• Дата и место рождения
• Адрес
• Телефон
• Email
• Фотография
• Ссылка на персональный сайт и профиль в соцсетях
• Семейное, социальное и имущественное положение
• Образование, профессия и др.

Как это относится к сайтам?

Кроме ФИО, телефона и e-mail, которые зачастую пользователь оставляет в формах обратной связи, к персональным данным также стали относить данные о поведении пользователя на сайте, cookie, сведения о его геопозиции и IP-адрес. Доказывает это судебная практика: в 2016 году в деле с рекрутинговым сервисом LinkedIn было вынесено решение заблокировать данный сервис из-за использования cookie, сведений о поведении пользователя на странице и сведений о местонахождении.

Итак, с 1 июля при отсутствии соглашения на обработку персональных данных в любой форме обратной связи, которую заполняет пользователь, компания подставляет себя под штраф в 50 000 рублей. Если на сайте нет политики конфиденциальности — под штраф в 30 000 рублей.

Как владельцам сайтов избежать штрафов: план действий

1. Во всех формах ввода данных (регистрация, заявка, подписка и др.) разместить надпись: «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных». В ней должна быть ссылка на документ (или страницу сайта) — Согласие на обработку персональных данных. Вместо согласия можно использовать единую публичную оферту, но в ней должно быть прописано в каких целях, какие данные обрабатываются (всё, согласно ч.4 ст.9 152-ФЗ). А также обязательно в документе указать email, куда пользователь сайта может обратиться за тем, чтобы отозвать свое согласие и удалить персональные данные.
2. Владельцу компании необходимо утвердить приказом Политику в отношении обработки персональных данных и разместить её на сайте. Самая простая реализация — добавить в футере сайта ссылку на соответствующий документ или страницу.
3. Всех новых пользователей сайта предупреждать, что сайт собирает метаданные пользователя (cookie, данные об IP-адресе и местоположении). Если пользователь не желает, чтобы эти его данные обрабатывались, то должен покинуть сайт.
4. Узнать, где хранится база данных сайта. Закон № 242-ФЗ обязывает собирать, систематизировать, накоплять, хранить, уточнять (обновлять, изменять), извлекать персональные данные граждан РФ путем использования баз данных на территории РФ. Т. е. законом запрещено собирать и хранить эти данные за рубежом. Узнать о том, где находится база данных сайта можно у своего хостинг-провайдера.
5. Подать уведомление об обработке персональных данных в Роскомнадзор. Имея доступ к персональным данным (в том числе имея сайт), компания является оператором персональных данных. Подтверждать статус оператора в Роскомнадзоре не нужно, однако необходимо его об этом уведомить, чтобы организацию внести в реестр операторов персональных данных. Сделать это можно перейдя по ссылке.

Что еще

Это главные требования, которые Роскомнадзор предъявляет ко всем сайтам — и неважно, физическое вы лицо или юридическое. Однако для юридических лиц есть еще ряд требований Роскомнадзора — и это уже, как говорится, совсем другая история.