Наверное, ни один вид бизнеса нельзя представить без собственного сайта, на котором собираются - email, телефоны и пр. Многие предприниматели уже столкнулись с изменениями в законе о персональных данных и получили первые штрафы. Давайте вместе разберемся с тем что произошло и что с этим делать!
Что случилось?
С 1 июля 2017 года в силу вступили изменения в 152-ФЗ «О персональных данных». Раньше, в статье 13.11 КоАП были предусмотрены штрафы в 10 тысяч рублей, а теперь штрафы стали не такими уж маленькими - до 295 тысяч рублей.
Почему?
Чиновники Роскомнадзора говорят, что вынуждены применить увеличение штрафов в связи с ужесточением законодательства в Евросоюзе. Те нарушения за которые предусмотрены новые штрафы - это нарушения, которые чаще всего встречались Роскомнадзору в течение последних 5 лет.
Примеры штрафов
Если на вашем сайте присутствует форма обратной связи, но нет соглашения на обработку персональных ПД - организация заплатит до 50 тысяч рублей.
Если на сайте нет политики конфиденциальности - готовьтесь заплатить до10 тысяч ИП и до 30 тысяч рублей (ООО).
Оператор персональных данных - это кто?
Операторы - мы с вами: любая организация, ИП и даже физ лица, которые собирают, хранят или обрабатывают персональные данные (email, телефоны и пр.).
Что считать персональными данными?
Точного и законодательно-утвержденного списка тех данных, которые называются персональными - нет. Но если разобраться, то это абсолютно любые данные о человеке, по которым его можно идентифицировать.
Однако, есть понятие часто используемых ПД. При этом - не имеет значения используете ли вы весь список или что-то отдельно. Если используете, то смело можете приравнять себя к операторам персональных данных.
7 часто используемых видов ПД:
1. Еmail
2. Телефон
3. ФИО
4. Адрес
5. Дата рождения
6. Фото
7. Ссылка на персональный сайт или профиль в социальных сетях.
Что сделать ИП/ООО/физ лицу, чтобы не получить штраф?
Шаг 1. Убедитесь в том, что база с персональными данными расположена на территории Российской Федерации.
Шаг 2. Разместите под каждой формой сбора данных на своем сайте текст:
«Нажимая на кнопку, вы даете согласие на обработку своих персональных данных».
Не забудьте сюда же вложить ссылку на Пользовательское соглашение, договор и конечно, согласие на обработку персональных данных. Сам документ - размещайте где вам удобно, можно даже на отдельной странице сайта.
Шаг 3. Разместите на сайте ссылку на документ: Политика организации в отношении обработки персональных данных. Опять же - сделайте это так как вам удобно (вполне подойдет подвал сайта).
Шаг 4. Уведомляйте новых посетителей сайта о том, что собираете метаданные (cookie, данные об IP-адресе и местоположении). Не забывайте давать своему посетителю выбор, если он не хочет раскрывать свои данные, то пусть лучше покинет сайт прямо сейчас.
Шаг 5. Подайте уведомление о внесении вашей организации в реестр операторов персональных данных. После подачи уведомления от вас ничего не требуется - считайте, что вы уже стали оператором персональных данных.
Кстати, проверить нет ли вас в списке операторов также можно прямо на сайте Роскомнадзора.
И ещё, Роскомнадзор собрал самые частые вопросы субъектов персональных данных.
Не нужно подавать уведомление в Роскомнадзор, если:
1. Вы используете персональные данные только в рамках требований трудового законодательства и не передаете эти ПД даже в банк (для оформления з/п проекта).
2. Заключаете с каждым клиентом или работником согласие на обработку персональных данных, конечно, без передачи таких данных 3-м лицам.
3. Вы обрабатываете только "бумажные" данные. Другими словами - данные на бумажных носителях.
Что ещё сделать организации, чтобы не получить штраф?
Шаг1. Назначить ответственных сотрудников, а также разработать пакет документов с чётко прописанным регламентом обработки персональных данных в организации.
Шаг 2. Навести порядок в отношениях с контрагентами/сотрудниками/физ лицами и пр. Сотрудников - обязать подписать соглашения о неразглашении ПД, обработку ПД и дать им ознакомиться с документами по ПД под роспись. С физ лицами - внести в договоры пункты об обработке персональных данных.
А также - не игнорируйте запросы физ лиц по обработке их ПД.
Шаг 3. Защищайте полученные ПД антивирусами, разграничьте права доступа.
Надеемся, наша статья внесла немного ясности в сложившуюся ситуацию и вы сможете предотвратить любые негативные последствия. Не ждите - действуйте!