Изменения в ФЗ «О персональных данных», 152-ФЗ
Веб-студия «AlparySoft R&D» спешит донести до Вашего сведения изменения, касающиеся работы с персональными данными пользователей сайтов. Своевременное информирование и применение на практике законодательных изменений позволит избежать лишней головной боли и возможных проблем со стороны контролирующего органа и подарит пользователям Вашего сайта ощущение заботы и защищенности.
Итак, что же нового произошло в области обращения с персональными данными?
С 1 июля 2017 года вступили в силу поправки к ст. 13.11 «Нарушение законодательства РФ в области персональных данных» Кодекса РФ об административных правонарушениях.
Что было раньше:
- отсутствие детализации нарушений, уплата единовременного штрафа;
- сумма максимального штрафа составляла 500 руб. - для физических лиц и 10 тыс. руб.- для юридических;
- составление протоколов силами прокуратуры.
Как стало теперь:
- уплата штрафа за каждое нарушение в отдельности;
- увеличен максимальный совокупный штраф: для физических лиц - 15,5 тыс. руб., для юридических - 290 тыс. руб.;
- составление протоколов силами Роскомнадзора.
Какие могут быть последствия?
Если Ваш сайт каким-либо образом собирает информацию о персональных данных посетителей (процедура регистрации для входа в личный кабинет, оформление заявки на звонок и др.), Вы рискуете на собственном примере испытать действие новых поправок и проверить сумму выписываемых штрафов.
Варианты решения:
1. Проанализировать свою принадлежность к операторам персональных данных, т.е. к людям и организациям, которые организуют и(или) обрабатывают персональные данные, а также определяют цели и состав данных для обработки, операции, совершаемые данными.Вы можете причислить себя к операторам персональных данных, если:
- на Вашем сайте пользователь может оставить адрес электронной почты или телефонный номер для получения новостных рассылок или уведомлений;
- возможность комментирования доступна только после регистрации;
- на сайте имеется форма для обратной связи или поля для заполнения заявки на обратный звонок;
- вы работаете с таким типом информации, которая позволяет тем или иным образом идентифицировать личность пользователя.
Кроме того, к персональным данным относится информация о местоположении пользователя, его cookie и IP-адрес.
2. Понять и решить, какие персональные данные будут основополагающими, а без каких можно обойтись. Избыточная информация (данные паспорта, домашний адрес и т.д.) может вызвать лишние вопросы Роскомнадзора и привести к неблагоприятным последствиям.
3. Сформулировать и опубликовать на сайте правила, которыми руководствуетесь при обработке персональных данных - «Политика конфиденциальности».
Базовые моменты «Политики конфиденциальности»:
- указать вид и назначение собираемой информации. Кроме того, нужно указать, какая информация аккумулируется в ходе работы с сайтом (например, IP-адрес, дата и время URL-перехода, cookie и т. д.);
- пояснить, как пользователь сможет управлять своими персональными данными;
- указать, каким способом обеспечивается защита персональных данных от несанкционированного доступа третьих лиц;
- проинформировать о порядке передачи персональных данных третьим лицам. Также должны быть обозначены случаи, предусмотренные законодательством;
- предусмотреть процесс информирования клиентов в случае внесения изменений в «Политику конфиденциальности»;
- проинформировать о возможности и порядке размещения личных изображений пользователей;
- если организация является юридическим лицом, необходимо разработать и выпустить приказ о назначении ответственного за обработку сотрудника и составить регламент;
- расположить под каждой формой ввода личных данных текст: «Я даю согласие на обработку персональных данных в соответствии с «Политикой безопасности» (гиперссылка на данный документ)», рядом с которым нужно установить поле для отображения согласия;
- уведомить Роскомнадзор о том, что ваша организация обрабатывает персональные данные.
Вопрос- Ответ
Вопрос: Я не занимаюсь обработкой каких-то данных, я только собираю адреса для рассылки. Должен ли я следовать обновленным правилам?
Ответ: Да, сбор данных - это один из этапов обработки.
В: Я использую зарубежный хостинг, как мне избежать наказания за нарушение закона о персональных данных?
О: Вы обязаны сначала разместить данные в базе, которая физически располагается в России. После этого допустима обработка на иностранных хостингах.
В: Если я веду блог на blogspot или другой платформе, на меня распространяются нововведения?
О: Если Вы не размещаете в общем доступе чужие персональные данные, можете спокойно продолжать свою деятельность.
Порядок действий в соответствии с изменениями от 01 июля 2017 года
- Для физического лица или ИП:
- разработать и опубликовать на сайте «Политику конфиденциальности»;
- во всех формах, подразумевающих сбор персональных данных, указать ссылку на «Политику конфиденциальности» и согласие на обработку данных;
- проинформировать Роскомнадзор о своей принадлежности к операторам персональных данных.
- Для юридического лица:
- разработать и опубликовать на сайте актуальную «Политику конфиденциальности» Вашей организации;
- во всех формах, подразумевающих сбор персональных данных, указать ссылку на «Политику конфиденциальности» и согласие на обработку данных;
- выпустить приказ о назначении ответственного за обработку персональных сотрудника;
- известить Роскомнадзор о том, что вы являетесь оператором персональных данных.
Следуя этим правилам, Вы проявите уважение к посетителям Вашего сайта и обезопасите себя от лишних подозрений Роскомнадзора, которые могут привести к внушающим штрафам. Не забывайте информировать посетителей Вашего сайта о действующей "Политике безопасности", которой придерживается Ваша организация.