Инструкция: как уберечь компанию от штрафов по закону о персональных данных Статьи редакции

Рекомендации от юриста, основателя сервиса по защите интернет-бизнеса E-docs Анара Костенко.

Роскомнадзор продолжает свою деятельность по «спасению» интернета, и на этот раз под прицелом оказались почти все владельцы сайтов. С 1 июля 2017 года в силу вступают новые изменения в Кодексе об административных правонарушениях (КоАП), которые ужесточат санкции по отношению ко всем лицам, собирающим персональные данные. Теперь штрафы будут достигать 295 тысяч рублей.

Чем это грозит владельцам сайтов

Начать стоит с разъяснения того, что такое персональные данные. В первую очередь под эту категорию попадают электронная почта, имя, фамилия и номер телефона. А с недавних пор Роскомнадзор начал относить к персональным данным адрес места жительства, IP и даже сведения, получаемые при помощи cookies.

Так, если ваш сайт собирает такую информацию, то Роскомнадзор автоматически относит вас к операторам персональных данных. То есть вы обязаны уведомить ведомство о наличии специальной документации, которая регламентирует вашу деятельность. А теперь подумайте, много ли осталось сайтов, в которых нет личного кабинета или формы сбора информации?

Неужели начнут штрафовать?

Штрафовали и раньше. Один из самых интересных кейсов произошел в октябре 2016 года, когда Тамбовская городская юридическая компания была оштрафована за сбор персональных данных. Уже тогда суд занял позицию Роскомнадзора, приравнял электронную почту и номер телефона к персональным данным и обязал компанию выплатить административный штраф в размере 1 тысячи рублей.

Да, всё верно, одна тысяча. И если раньше нарушители выплачивали не больше 10 тысяч, то с 1 июля штрафы смогут достигать 295 тысяч рублей для юридических лиц и 75 тысяч рублей — для физических лиц.

Что может послужить основанием для проверки сайта

Существуют два ключевых основания: жалоба и проведение плановых проверок. Согласно данным Роскомнадзора, по сравнению с 2013 годом количество жалоб выросло практически на 60% — c 10 016 обращений до 33 814. Стоит учитывать, что никто не застрахован от жалобы со стороны конкурентов. Растет и количество проводимых проверок: если в 2013 году их было 743, то в 2016 году — уже 2053.

Какие еще могут быть последствия

Помимо вышеупомянутых штрафов, сайт будет внесен в «Реестр нарушителей прав субъектов персональных данных», что грозит повышенным вниманием со стороны Роскомнадзора. Также следует приготовиться к проверкам документов о порядке обработки персональных данных, даже если вы внесены в «Единый реестр субъектов малого и среднего предпринимательства».

Как защитить себя от штрафов

К счастью, если все персональные данные вы получаете через сайт, то можете защитить себя от большинства штрафов и претензий самостоятельно. Чтобы сделать сбор персональных данных полностью легальным, достаточно выполнить ряд действий:

  1. Если ваш сайт расположен на зарубежных серверах, то вам следует перевести его на сервера на территории РФ. Адрес нахождения вашего сервера, если он вам неизвестен, можно узнать у хостинг-провайдера.
  2. Составьте «Политику обработки персональных данных», соответствующую законодательству и подходящую для вашего сайта. Этот документ регламентирует и описывает все действия, осуществляемые с персональной информацией пользователей сайта.
  3. Составьте локальные акты, регулирующие действия с персональными данными. Этот пункт поможет избежать большинства штрафов в случае проведения проверок со стороны Роскомнадзора.
  4. Добавьте во все формы обратной связи на сайте кнопку или галочку с текстом «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных». Подтверждение желательно сделать обязательным. Не стоит думать, что посетители перестанут оставлять свои данные — это только повысит доверие к сайту.
  5. Для полной защиты удостоверьтесь в том, что сайт собирает информацию посредством cookies только с разрешения посетителя (данные с IP и cookies Роскомнадзор также признает персональными).
  6. Предоставьте посетителям сайта возможности по распоряжению своими персональными данными через обращения по электронной почте. Для этого укажите email-адрес в «Политике обработки персональных данных» и опубликуйте его на сайте для общего доступа, чтобы каждый посетитель мог ознакомиться с правилами.
  7. Заполните и подайте уведомление в Роскомнадзор. Обязанность в уведомлении есть у многих владельцев сайтов и организаций (исключения описаны в п. 2 ст. 22 ФЗ «О персональных данных» №152-ФЗ). Форма уведомления есть на сайте РКН. Особое внимание обратите на порядок подачи уведомления.

Как правильно составить политику конфиденциальности

  • Укажите термины. В политике обработки персональных данных нужно сразу обозначить понятия, которые вы будете использовать: администрация сайта, пользователь, персональные данные, обработка персональных данных, конфиденциальность персональных данных, cookies, IP-адрес.
  • Перечислите категории персональных данных, которые вы собираете и обрабатываете (имя, электронная почта, номер телефона и так далее). Учитывайте все категории персональных данных, которые будете собирать и использовать.
  • Укажите цели сбора персональных данных. Основная цель — выполнение условий договора с пользователем, а также предоставление доступа к функциональности сайта.
  • Установите условия обработки персональных данных. Укажите сроки обработки, порядок охраны и основные нормативные акты, на основе которых составлен режим обработки персональных данных.
  • Предоставьте пользователям возможность удалить свои персональные данные при обращении. Опишите порядок предоставления такой возможности и способ связи с оператором персональных данных.
  • Укажите меры по защите персональных данных. Это может быть шифрование, установка паролей, хранение в защищенных местах и другие способы защиты информации.
  • Добавьте дополнительную информацию. Например, порядок изменения условий политики и разрешения споров.

Ознакомиться с шаблоном политики можно здесь.

Как заполнить и подать уведомление в Роскомнадзор

Уведомление об обработке персональных данных направляется в территориальный орган Роскомнадзора в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.

Перед отправкой уведомления советую проверить полноту и правильность его заполнения. Уведомление должно содержать следующую информацию:

  1. Наименование (фамилия, имя, отчество), адрес оператора.
  2. Цель обработки персональных данных.
  3. Категории персональных данных.
  4. Категории субъектов, персональные данные которых обрабатываются.
  5. Правовое основание обработки персональных данных.
  6. Перечень действий с персональными данными, общее описание используемых оператором способов обработки.
  7. Описание мер, предусмотренных статьями Федерального закона «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.
  8. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, номера их контактных телефонов, почтовые адреса и адреса электронной почты.
  9. Дата начала обработки персональных данных.
  10. Срок или условие прекращения обработки персональных данных.
  11. Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки.
  12. Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.
  13. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями, установленными Правительством Российской Федерации.

Для подачи уведомления нужно:

  1. Перейти по ссылке на сайт Роскомнадзора и заполнить форму.
  2. После заполнения отправить форму, нажав на соответствующую кнопку на сайте. Одновременно с отправкой вы получите форму для печати.
  3. Распечатать форму в двух экземплярах. Формы должны быть подписаны руководителем организации.
  4. Отправить подписанный бумажный вариант формы в территориальный орган РКН по месту регистрации (по почте или лично).
  5. Дождаться ответа от Роскомнадзора по почте (как правило, занимает не больше месяца). Также можно узнать о статусе заявки по телефону или с помощью специального сервиса на сайте Роскомнадзора.
0
71 комментарий
Написать комментарий...
VVV

1. Создаем mega-site.ru, пишем в контактах ООО "Конкурент" и ставим форму обратной связи без условий обработки.
2. Пишем жалобу на злобных конкурентов, нарушающих закон.

И это будет работать? Или по какому принципу они выясняют кого штрафовать?

Ответить
Развернуть ветку
Anar Kostenko

Можно не создавать сайт. Можно просто написать жалобу как физическое лицо, чьи данные были собраны без разрешения и надлежащих документов

Ответить
Развернуть ветку
VVV

Это если сайт конкурентов и правда нарушает. Тут вопрос в другом: каким образом устанавливается принадлежность компании к сайту?

Если исключительно по тому, что написано на сайте - то это какая-то ахинея получится. Все равно что на заборе писать.

Ответить
Развернуть ветку
Anar Kostenko

В любом случае ответственность несет администратор сайта.
Вопрос о привлечении к ответственности фактического владельца сайта (если он не совпадает с администратором сайта) не однозначен в практике: в некоторых случаях суды дополнительно возлагают ответственность и на владельца (лицо, которое указано на сайте), в некоторых случаях ответственность только у администратора. Нужно смотреть на конкретный пример.

Ответить
Развернуть ветку
VVV

В общем получается, что обезличенным форумам (например) можно ничего не делать?

Там администратор это Admin обычно.

Ответить
Развернуть ветку
Anar Kostenko

Мы сейчас говорим об администраторе с точки зрения закона. Это лицо, на которое зарегистрировано доменное имя.
Если у вас нет цели сбора персональных данных, рекомендуем требовать только обезличенные данные (например, только почту и псевдоним)

Ответить
Развернуть ветку
Anar Kostenko

Однако на практике, к несчастью, обезличенность или недостоверность сведений не играет роли, так как если хотя бы одно лицо из всего множества пользователей оставит информацию, которая может быть признана персональными данными, тогда возможно применение закона о персональных данных

Ответить
Развернуть ветку
68 комментариев
Раскрывать всегда