Как владельцам сайтов не нарушить закон об обработке персональных данных и избежать штрафов?
С 1 сентября 2022 года, а также с 1 марта 2023 вступили в силу поправки в закон № 152 «О персональных данных». Появились новые требования к Политике по обработке персональных данных и трансграничной передаче, то есть отправки персональных данных на территорию иностранного государства. Если владелец сайта не будет соблюдать эти требования, он может получить штраф. Их существует более 10 видов, а общая сумма штрафов может достигать 18 миллионов рублей.
Что относится к персональным данным?
Персональные данные - это любые данные о человеке, по которым его можно опознать. Точного определения перс.данных в законе нет. Например, ваш плейлист без указания имени и фамилии к ним не относится, а вот адрес электронной почты - да.
Как избежать штафов?
- Создайте политику обработки персональных данных и разместите её на отдельной странице сайта.В документе должно быть прописано, какие данные и для чего вы собираете, а также, как вы планируете их использовать. Укажите в политике:
- ссылку на сайт, к которому она применяется;
- ФИО или название организации, которая получает согласие посетителя сайта;
- цели обработки персональных данных.
Если вы собираете cookie, это также нужно указать в политике как отдельную цель. Так как перечня персональных данных в законе нет, нельзя точно сказать, входят ли куки в понятие «персональных данных». Но на практике суды и Роскомназдор признают обработку информации, собираемой при помощи куки, обработкой персональных данных.
- Добавьте ссылку на политику обработки персональных данных в футер сайта. Политика должна быть доступна на каждой странице, где собираются данные пользователей
- Под каждой формой сбора данных разместите предупреждающий текст о сборе персональных данных. Разместите рядом с формой бокс для галочки, где будет написан текст: “Даю согласие на обработку своих данных”.
- Владелец сайта должен уведомить Роскомнадзор об обработке персональных данных. Это можно сделать на портале персональных данных. Если оператор уже подал такое уведомление — это нужно сделать заново по новой форме, утверждённой Приказом Роскомнадзора от 28.10.2022 № 180.Создайте регламент ответов на запросы посетителей сайта
- Пользователи могут запрашивать у владельцев сайта, для каких целей собирают их данные, как они обрабатываются, где хранятся и так далее. Раньше у компании был месяц для ответа на обращение, теперь — 10 рабочих дней.
- Подайте уведомление в РКН о трансграничной передачи персональных данных.Трансграничная передача персональных данных — это передача персональных данных на территорию иностранного государства: органу власти, иностранному физическому или юридическому лицу.
Что еще нужно сделать, если вы — юрлицо
Выше мы назвали главные требования, которые Роскомнадзор предъявляет ко всем сайтам — неважно, физическое вы лицо или юридическое. Ниже еще несколько групп требований, которые должны дополнительно выполнять юридические лица.
Что нужно еще сделать компаниям:
1. Назначить ответственных лиц и разработать пакет внутренних документов, регламентирующих процессы обработки и защиты персональных данных.Список необходимых нормативных документов по защите персональных данных
2. Подписать с сотрудниками согласие на обработку персональных данных и под роспись ознакомить их с внутренними документами по персональным данным.
3.Если произошла утечка персональных данных, оператор теперь обязан в течение 24 часов уведомить РКН: сообщить предполагаемые причины утечки и оценить вред. Затем в течение 72 часов провести расследование инцидента и сообщить о его результатах.В Минцифры готовят законопроекто внесении изменений в Кодекс административных правонарушений, согласно которым за утечки персональных данных компании будут штрафовать в размере до 3% от годовой выручки.
4.Защитить персональные данные техническими и организационными мерами: антивирусными системами, средствами межсетевого экранирования, разграничить права доступа. Всё это прописано в приказе № 21 Федеральной службы по техническому и экспортному контролю.