Новые штрафы до 15 миллионов за персональные данные: как обстоят дела спустя два месяца и что делать, чтобы не влететь
«У меня просто одна форма обратной связи на сайте. Да кому я нужен?» — так думают многие. Тем временем с 1 июня Роскомнадзор кратно поднял штрафы и планирует запустить бот для автоматического сканирования нарушений. Давайте посмотрим, что что стало известно спустя два месяца работы по новому закону.
Меня зовут Алексей Башук, я юрист по интеллектуальным правам, патентный поверенный РФ №2151, автор книги о защите интеллектуальных прав «Своровали? Накажи» и ТГ-канала «Клуб правообладателей».
Скорее всего, вы уже подписаны, но если еще нет — заходите, и погнали.
За что теперь штрафуют: конкретные суммы
Персональные данные — это любая информация, по которой можно определить человека. ФИО, телефон, email. Если их обработка идет неправильно, этого уже достаточно для штрафа.
100-300 тысяч рублей — за неуведомление Роскомнадзора о начале обработки. Да, теперь нужно официально уведомлять власти, что ваш сайт собирает контакты.
100-300 тысяч рублей — за сбор данных без согласия пользователя или за избыточный сбор. Например, для консультации достаточно имени и телефона, а компания зачем-то просит паспортные данные.
1-15 миллионов рублей — за утечку персональных данных. Сумма зависит от масштаба:
- До 10 тысяч пострадавших — 3-5 млн рублей
- До 100 тысяч — 5-10 млн рублей
- Свыше 100 тысяч — 10-15 млн рублей
- 1-3% от годовой выручки компании в случае повторной утечки
Кого это касается: спойлер — практически всех
Проверьте себя:
— Есть форма обратной связи на сайте?
— Собираете заявки через соцсети?
— Ведете базу клиентов в CRM?
— Работаете с юрлицами (записываете ФИО контактных лиц)?
— Используете Google Analytics или Яндекс.Метрику?
Если ответ хотя бы на один вопрос «да» — значит эта история касается и вас. А использование гугл-аналитики, к слову — вообще трансграничная передача персданных в недружественную страну. Если еще не отключали — отключите.
Что должно быть на сайте: 4 обязательных элемента
1. Политика обработки персональных данных
Документ должен содержать:
- общие цели;
- цели сбора персональных данных;
- правовые основания обработки персональных данных
- объем и категории обрабатываемых данных, категории субъектов персональных данных;
- порядок и условия обработки персональных данных;
- актуализация, исправление, удаление и уничтожение данных, ответы на запросы субъектов на доступ к персональным данным.
2. Согласие на обработку персональных данных
Отдельный документ. Это письменное подтверждение, что человек готов передать свои данные.
3. Правильные чекбоксы под всеми формами
Раньше все ставили «Отправляя заявку, вы соглашаетесь...». Теперь так нельзя.
Как должно быть:
- Отдельная галочка под каждой формой
- Галочка НЕ проставлена по умолчанию
- Без галочки форму отправить невозможно
- В тексте ссылки на политику и согласие
4. Уведомление об использовании cookies
Всплывающее окно о том, что сайт использует куки для аналитики и улучшения работы.
Ответы на частые вопросы
Как будут штрафовать?
Говорят, что Роскомнадзор вот-вот запустит бот для автоматического сканирования нарушений в сфере персданных. Но пока что официальной информации о запуске бота не было. Скорее всего, при запуске бота штрафы станут массовыми.
Кого освободили от подачи уведомления в Роскомнадзор?
Тут всего три исключения: обработка вручную без средств автоматизации; работа с информационными системами для обеспечения безопасности и обработка данных в целях транспортной безопасности.
А если на сайте нет формы обратной связи?
Не важно, компания собирает персданные через сайт или еще как-то. Даже если выясняет их через мессенджер и вносит в свою CRM — политика и согласие все равно нужны. Хотя с помощью сайта их делать гораздо проще.
Что делать, когда компания взаимодействует с персональными данными клиентов своих клиентов?
Тут два варианта. Первый в лоб, сложный: заключать с каждым контрагентом допсоглашение на передачу персданных, при этом у каждого контрагента должен быть соответствующий пункт в политике. Второй вариант попроще: попросить направлять клиентам ссылку на ваш сайт, где клиенты сразу будут оставлять заявку вам напрямую.
Что делать сейчас, если еще не занимались этим вопросом
1: Подготовить документы — политику и согласие на обработку персданных
2: Добавить правильные чекбоксы под все формы на сайте
3: Подать уведомление в Роскомнадзор через их официальный сайт
Если нужно проверить ваш сайт на соответствие новым требованиям — напишите мне в телеграм @bchlf. Посмотрим, проверим, если найдем риски — предложим решение.
Заодно проверим по части товарных знаков — там тоже компенсации до 10 миллионов рублей увеличивают.
Писать сюда:
Если тема защиты бизнеса от штрафов и компенсаций — у меня есть небольшой телеграм-канал «Клуб правообладателей».
Там мои заметки для предпринимателей и авторов. Как грамотно пользоваться авторскими правами, товарными знаками и патентами — чтобы зарабатывать деньги и не терять их на компенсациях и штрафах. Рекламы нет, канал маленький, зато уютный — заходите, если интересно.
Недавно написал и опубликовал в канале небольшую методичку «Как теряют миллионы на компенсациях и штрафах».
Как говорится, без смс и регистраций собрал просто в табличку типичные ошибки, на которых теряют деньги, и расписал, что по моей практике стоит делать заранее, чтобы не влететь. Гляньте, возможно пригодится.