Многие пользователи сейчас озабочены изменениями в законе, который касается обработки персональных данных. 1 июля 2017 года новые поправки вступят в силу, поэтому мы решили рассказать вам о том, что изменится, и какие действия можно предпринять для того, чтобы минимизировать вероятность неприятных последствий.
Изменения
Федеральный закон «О персональных данных» был принят летом 2006 года. Несмотря на то, что закон действует уже 11 лет, многие пользователи до недавнего времени о нем не слышали.
Всеобщий интерес к этому закону связан с увеличением штрафов за нарушение правил по обработке персональных данных: с 1 июля 2017 года они будут значительно увеличены, при этом за каждое нарушение полагается свой штраф. И если у вас несколько сайтов, то сумма штрафов может быть внушительной.
Если сейчас штраф за нарушение правил, касающихся персональных данных, составляет 10 тысяч рублей максимум, то уже с 1 июля 2017 года ситуация изменится, и максимальный штраф за обработку персональных данных не по правилам будет составлять 75 тысяч рублей. Законодатель утвердил семь составов правонарушений.
Также теперь изменился орган, который может привлекать к ответственности за правонарушения: до принятия поправок возбуждением административных дел занималась прокуратора, теперь ответственным органом станет сам регулятор, то есть Роскомнадзор, что может привести к увеличению количества выписываемых штрафов.
Ознакомиться с содержанием новых поправок вы можете на официальном интернет-портале правовой информации: в статье 13.11 «Нарушение законодательства Российской Федерации в области персональных данных» перечислены все правонарушения и последующие штрафы.
При нарушении правил сбора, хранения или распространения персональных данных ответственность несет лицо, которое нарушило это правило, а именно оператор персональных данных.
Оператор персональных данных
Оператором персональных данных считается компания, ИП или даже физическое лицо, которое запрашивает у своих клиентов какие-либо личные данные, которые могут идентифицировать этого клиента: например, фамилию, имя, отчество (вместе и по отдельности), электронный адрес, телефон для связи, адрес проживания (при регистрации в интернет-магазине) и так далее. Персональными данными могут также считаться cookies, IP-адрес и местоположение (геолокация). После сбора данных оператор занимается их обработкой.
В первую очередь под это определение попадают все, кто использует персональные данные клиентов (частных лиц) для того, чтобы продвигать свои товары и услуги. То есть это интернет-магазины, финансовые сервисы, такси, приложения для мобильных телефонов и так далее.
Что необходимо сделать
Для того, чтобы максимально снизить или даже исключить шанс каких-либо санкций, вам необходимо учесть и сделать следующее:
- Если вы поняли, что вы или ваша компания являетесь оператором персональных данных, то вам необходимо проверить, должны ли вы уведомлять контролирующий орган (Роскомнадзор, сокращенно РКН) о своем статусе, так как в законе существует ряд исключений, когда уведомлять РКН не нужно. Прочитать о них вы можете в ч. 2 ст. 22 ФЗ «О персональных данных».
- Персональные данные клиента обрабатываются только с его согласия, поэтому вы должны определить, каким образом вы будете получать это согласие. Согласие должно быть конкретным, информированным и сознательным. Субъект обработки персональных данных (ваш клиент) может дать свое согласие в любой форме, которая позволит подтвердить факт его получения. Но помните, что клиент всегда вправе отозвать свое согласие, в результате чего вы должны незамедлительно прекратить обработку.
- Обратите внимание, что согласие на обработку персональных данных нужно получать и у своих работников. Ваша компания должна получить согласие на обработку персональных данных работника после того, как тот ознакомится с документами компании, устанавливающими порядок обработки персональных данных. Однако и в этом случае есть ряд исключений, прочитать которые вы можете в разъяснениях РКН от 14.12.2012 года.
- Помните о том, что вы должны обеспечить безопасность персональных данных. Меры безопасности зависят от способа обработки. Если вы обрабатываете данные автоматизированно, то вам необходимо привлечь технических специалистов, согласно Постановлению Правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 №1119, а также Приказу ФСТЭК РФ от 18.02.2013 №21.
Если же вы обрабатываете данные без автоматизации, то вам необходимо выполнить рекомендации, предусмотренные ст. 19 ФЗ «О персональных данных» и пп. 13-15 Положения, утвержденного Постановлением Правительства РФ от 15.09.2008 №687.
Политика обработки данных
Особое внимание следует обратить на п. 3 статьи 13.11 «Нарушение законодательства Российской Федерации в области персональных данных». Вы как оператор, собирающий персональные данные, обязаны опубликовать и дать доступ к документу, который определяет вашу политику в отношении обработки персональных данных. Если вы этого не сделаете, то вам грозит штраф до 30 тысяч рублей.
Поэтому вам необходимо любой сбор данных, осуществляемый через формы на сайте, сопровождать ссылкой на политику обработки этих данных, а также иметь подтверждение того, что клиент согласен на обработку данных, которые он ввел. На вашем сайте должен быть документ, в котором посетители вашего сайта могут прочитать о политике обработки данных либо о политике конфиденциальности. Либо вы можете опубликовать пользовательское соглашение, в котором будут упомянуты все необходимые пункты об обработке данных.
В документе вы должны рассказать о политике вашей компании в отношении сбора, хранения, обработки и передачи персональных данных, а также для каких целей вы эти данные собираете. Обратите внимание, что если вы не укажете цели сбора данных (либо указанные цели будут не соответствовать истинным), то вам может быть выписан штраф в размере до 50 тысяч рублей (согласно п. 3 статьи 13.11 «Нарушение законодательства Российской Федерации в области персональных данных»).
Поэтому вам обязательно нужно указать в документе следующее:
- название вашей организации или ваши ФИО, а также адрес;
- цель сбора и обработки данных;
- список персональных данных, которые вы собираете;
- перечень действий с персональными данными, на выполнение которых заполняющий дает свое согласие;
- срок, в течение которого действует согласие на обработку данных, а также способ отзыва согласия.
После создания такого документа вам необходимо разместить на своем сайте ссылку на него. Как правило, ее ставят либо в самом конце страницы (подвале), либо при заполнении анкеты, рядом с чек-боксом, где пользователь выражает свое согласие на обработку данных. Еще один возможный вариант: разместить рядом с кнопкой отправки данных предложение «Заполняя эту форму, вы даете согласие на обработку ваших персональных данных» или «Заполняя эту форму, вы соглашаетесь с Политикой конфиденциальности», указав внутри ссылку на соответствующий документ.
Также крайне важно получить согласие у пользователя на обработку его данных. Поэтому рядом с любой формой, даже если форма с электронным адресом, необходимо поставить чек-бокс либо, как было сказано выше, просто надпись «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных».
Что еще предпринять
Если вы хотите максимально обезопасить свой сайт от возможных штрафов, то мы рекомендуем:
- размещать сайт и базу данных с персональными данными на хостинге, находящемся в России;
- позаботиться о безопасности вашего сайта, защите данных от взлома; регулярно проверяйте сайт на наличие вирусов;
- дать возможность клиентам уточнять любые вопросы, касающиеся обработки персональных данных, а также их удаления;
- уведомлять о сборе метаданных (cookies, IP-адрес, геоданные) на своем сайте (если у вас установлены какие-либо счетчики сбора данных).
Итак, в этой статье мы рассказали обо всех основных моментах, касающихся нововведений в законе о персональных данных. Обращаем ваше внимание, что каждый случай уникален и требует принятия индивидуальных мер. Поэтому при возникновении вопросов советуем вам проконсультироваться с юристом и специалистом по безопасности.
Комментарии
Если ПДн хранятся в БД на хостинге. Должен ли хостинг выполнять требования законодательства по защите ПДн?
Наша компания предоставляет хостинг (услуга по предоставлению возможности для размещения клиентом его информации на нашем сервере, подключенном к сети Интернет) в соответствии с законодательством РФ на основании лицензии на оказание телематических услуг связи и с использованием соответствующего оборудования. Как оператор персональных данных при обработке персональных данных наших клиентов мы применяем необходимые правовые, организационные и технические меры по обеспечению безопасности персональных данных.
Клиенты, размещающие информацию на серверах нашей компании, самостоятельно несут ответственность за содержание размещаемой ими на ресурсах компании информации. В случае использования клиентом наших услуг с целью сбора, хранения и обработки информации, содержащей персональные данные, а также иной конфиденциальной информации, клиент должен за свой счет обеспечить безопасность таких данных в соответствии с действующим законодательством.
Иными словами, администратор/владелец сайта, на котором хранятся и обрабатываются персональные данные, самостоятельно несет ответственность за сохранность персональных данных, хранящихся и обрабатывающихся на его сайте данных и должен самостоятельно организовывать защиту таких данных.
Надеюсь этого достаточно? Или всё же уведомлять нужно? Может проверите домашнее задание?
В этой статье мы даем общие рекомендации и советы, однако каждая ситуация уникальна и требует принятия индивидуальных мер. Наша компания не специализируется на оказании юридических консультаций, поэтому мы рекомендуем Вам обсудить данные вопросы с юристом.
Да пока вообще мало кто понимает, как эти поправки будут работать (наверняка как и сами законодатели). Советы на всех сайтах примерно одинаковые, а как будет на самом деле - узнаем после 1 июля...
А шаблон - вы прочитали, что в нем сказано? Посмотрите, чтобы точно про цель сбора ПНд было сказано - с 1 июля за неуказание цели (или если она не соответствует заявленной) полагается отдельный штраф. Правда, как проверять они это будут - вопрос...
Небольшой эксперимент с Вашего позволения (просто мне было интересно). Создаю новый аккаунт здесь же. ТаймВеб Community получает моё имя и адрес электронной почты (персональные данные). На почту приходит письмо с паролем. Авторизуюсь, пишу что хочу. Никакого упоминания об использовании моих данных либо моего согласия на это использование нет ни в момент регистрации, ни в письме. Можете прокомментировать, пожалуйста, это?
Спасибо за наблюдательность и Ваш вопрос!
В настоящий момент Политика ООО "ТаймВэб" в отношении обработки персональных данных находится здесь: https://timeweb.com/upload/docs/personal_data.pdf
(Вы можете найти эту ссылку внизу страницы на нашем сайте https://timeweb.com/ru/ )
Сейчас мы как раз работаем над включением ссылки в форму регистрации Timeweb Community.
Хорошего Вам дня и отличного настроения!
Если будут еще какие-нибудь вопросы или замечания, обязательно пишите.
Мне очень понравилось, как Кристина Лихова плавно и изящно воспользовалась широко известным манипулятивным приемом (типа всем же известно что такое ПДн) и полностью обошла стороной ключевой вопрос ВСЕХ своих дальнейших рассуждений - а что же такое собственно говоря ПДн (персональные данные)? Кто является субъектом ПДн? И т.п.
К сожалению, законодатель сильно схалтурил, и лучше было бы, если бы вообще не принимал такого закона. Вот определение ПДн в пункте 1 статьи 3 закона: "персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)". Как вы думаете, из этого чего-нибудь понятно с первого раза?
Тогда вот вам главенствующий документ, из-за которого и пошел весь этот цирк с ПДн - конвенция о защите физических лиц при обработке персональных данных, в которой пункт а статьи 2 гласит: "персональные данные" означают информацию, касающуюся конкретного или могущего быть идентифицированным лица ("субъекта данных").
Таким образом, ПДн может быть признана совокупность данных, позволяющих идентифицировать (определить) конкретного субъекта.
Причем здесь логин и пароль? Причем здесь адрес электронной почты? Причем здесь сбор любой информации через формы на сайте?
- ну что, Кристина Лихова, расскажи нам, что же такое ПДн? Где ссылки на первоисточники?
Спасибо за ваш отзыв и ваше мнение. Статья была подготовлена компетентными специалистами нашей компании, которые также имеют свою аргументированную точку зрения.
Мы с уважением относимся к мнению наших пользователей и ожидаем того же от них. В настоящий момент мы не увидели с вашей стороны аргументированной позиции, поэтому считаем, что дальнейшая переписка не будет носить конструктивный характер. Если же вы посчитаете нужным ее продолжить, делайте это, пожалуйста, корректно. Напоминаем, что Community - ресурс, на котором пользователи обмениваются своими мнениями, а не переходят на личности. Спасибо!
Я вам аргументированно заявил о вашей некомпетентности по данному вопросу. Вы моих аргументов не видите? - посмотрите внимательно, я указал вам на первоисточники - закон и конвенцию. Ответить есть по существу?
Я на личности не перехожу. Речь идет о том, что вы вводите в заблуждение пользователей. И данный подход к сожалению является системным.
Есть у вас есть собственное аргументированное мнение относительно закона о персональных данных, мы предлагаем вам написать отдельную статью, посвященную этому вопросу. С момента публикации данного материала прошло более 1,5 лет, и нашим пользователям наверняка будет интересно вернуться к обсуждению этой темы.
Community - открытая площадка, где каждый пользователь может опубликовать свою статью (при условии, что она отвечает нашим правилам: https://timeweb.com/ru/community/articles/kak-napisat-statyu-v-community-ili-zadat-vopros ).