С 1 июля 2017 года в законодательство РФ внесены поправки, которые ужесточают ответственность за некорректный сбор, обработку и хранение персональных данных. Рассказываем, что нужно сделать, чтобы штрафы обошли вас стороной.
Что такое персональные данные?
Это любые данные о физическом лице, по которым его можно опознать. Например, логин вряд ли попадает под это определение, а вот имя, фамилия, номер телефона, почта и т.д. - уже точно персональные данные.
Кого могут оштрафовать?
Операторов персональных данных. Это любая реорганизация, ИП и даже физическое лицо, которое осуществляет сбор персональных данных. Например, у вас на сайте посетитель может подписаться на рассылку, оставив свой адрес электронной почты. В таком случае, вы уже являетесь оператором персональных данных.
Вы определенно являетесь таким оператором, если получаете от пользователей любые из этих данных:
- телефон
- ФИО вместе или по отдельности
- Адрес
- Дата рождения
- Фотография
- Ссылка на персональный сайт или аккаунт в социальных сетях
- Образование
- Семейное положение
- Уровень доходов
Это значит, что если у вас на сайте есть личный кабинет, форма регистрация, форма заявки и обратной связи, вам нужно привести сайт в порядок.
Даже cookies суд может признать персональными данными. Поэтому мы предлагаем обезопасить себя по всем фронтам.
Совет №1
База данных с персональными данными и хостинг должны располагаться в России.
Совет №2
Под каждой формой, где пользователю предлагается оставить свои персональные данные, разместите текст следующего содержания:
“Нажимая на кнопку “Отправить”, вы соглашаетесь на обработку персональных данных”.
Здесь обязательно расположите ссылку на ваш документ, в котором изложены правила обработки персональных данных.
Совет №3
Разместите данный документ на своем сайте. Он должен разъяснять пользователям вашу политику обработки персональных данных. Это может быть пользовательское соглашение, договор, согласие на обработку данных и т.д
Пример можете посмотреть на нашем сайте.
Совет №4
В политике обработки персональных данных должна содержаться следующая информация:
- Название оператора персональных данных. Если это компания, то все понятно. Если это физическое лицо, то ФИО.
- Имена ответственных лиц, которые могут осуществлять обработку данных внутри вашей компании.
- Адрес месторасположения оператора
- Цель обработки персональных данных (это очень важно, поскольку сбор данных без цели также является нарушением законодательства)
- Перечень персональных данных, которые вы собираете
- Список действий с персональными данными, на которые пользователь дает согласие
- Способы обработки персональных данных
- Срок, в течение которого действует согласие пользователя на обработку персональных данных
- Действия пользователя по отзыву своего согласия на обработку
Совет №5
Показывайте всем новым посетителям небольшое сообщение с текстом, смысл которого в том, что вы уведомляете пользователя о сборе метаданных (cookies, IP-адрес,месторасположение и т.д.), и если пользователь не согласен, то должен покинуть сайт.
Совет №6
Внесите свою организацию в реестр операторов персональных данных Роскомнадзора.
Сделать это можно с помощью заявления, подаваемого через сайт.
Есть ряд случаев, когда можно не подавать заявление в Роскомнадзор, но тогда будьте готовы юридически грамотно отстоять свою позицию в случае проверки:
- Вы получаете только ФИО пользователей
- Вы используете данные, которые пользователь сам сделал общедоступными
- Вы обрабатываете только данные своих сотрудников
Совет №7
Подготовьте внутренние документы: регламенты, приказы, договор с дата-центром, хостингом и т.д. Заверяет страницы сайта с политикой конфиденциальности и формой, которая соответствует требованиям закона, чтобы вас не обвинили в их отсутствии.
Не знаете, как это сделать? Мы можем оказать Для Вас профессиональные юридические услуги.Штрафы
Нарушение | Сумма |
---|---|
Обработка персональных данных в случаях, не предусмотренных законодательством Обработка персональных данных, несовместимая с целями сбора персональных данных | Для граждан - предупреждение или штраф от 1 000 до 3 000 рублей Для должностных лиц - штраф от 5 000 до 10 000 рублей Для юридических лиц - штраф от 30 000 до 50 000 рублей |
Обработка данных без письменного согласия пользователя | Для граждан - предупреждение или штраф от 3 000 до 5 000 рублей Для должностных лиц - штраф от 10 000 до 20 000 рублей Для юридических лиц - штраф от 15 000 до 70 000 рублей |
Непредоставление пользователям информации об обработке его персональных данных: отсутствие соответствующей политики в общем доступе | Для граждан - предупреждение или штраф от 1 000 до 2 000 рублей Для должностных лиц - штраф от 4 000 до 6 000 рублей Для ИП - штраф от 10 000 до 15 000 рублей Для юридических лиц - штраф от 20 000 до 40 000 рублей |
Невыполнение требования пользователя по удалению / уничтожению его персональных данных | Для граждан - предупреждение или штраф от 1 000 до 2 000 рублей Для должностных лиц - штраф от 4 000 до 10 000 рублей Для ИП - штраф от 10 000 до 20 000 рублей Для юридических лиц - штраф от 25 000 до 45 000 рублей |
Несоблюдение правил по опубликованию персональных данных или ограничения доступа к ним третьим лицам, сохранности и т.д. | Для граждан - предупреждение или штраф от 700 до 2 000 рублей Для должностных лиц - штраф от 3 000 до 10 000 рублей Для ИП - штраф от 5 000 до 20 000 рублей Для юридических лиц - штраф от 15 000 до 50 000 рублей |
Более подробно в ст. 13.11 КоАП РФ
Как видите, вопрос обработки персональных данных достаточно важен, чтобы уделить ему внимание. Есть вопросы? Будем рады проконсультировать.