Лого vc.ru

Инструкция: как уберечь компанию от штрафов по закону о персональных данных

Инструкция: как уберечь компанию от штрафов по закону о персональных данных

Рекомендации от юриста, основателя сервиса по защите интернет-бизнеса E-docs Анара Костенко.

Роскомнадзор продолжает свою деятельность по «спасению» интернета, и на этот раз под прицелом оказались почти все владельцы сайтов. С 1 июля 2017 года в силу вступают новые изменения в Кодексе об административных правонарушениях (КоАП), которые ужесточат санкции по отношению ко всем лицам, собирающим персональные данные. Теперь штрафы будут достигать 295 тысяч рублей.

Чем это грозит владельцам сайтов

Начать стоит с разъяснения того, что такое персональные данные. В первую очередь под эту категорию попадают электронная почта, имя, фамилия и номер телефона. А с недавних пор Роскомнадзор начал относить к персональным данным адрес места жительства, IP и даже сведения, получаемые при помощи cookies.

Так, если ваш сайт собирает такую информацию, то Роскомнадзор автоматически относит вас к операторам персональных данных. То есть вы обязаны уведомить ведомство о наличии специальной документации, которая регламентирует вашу деятельность. А теперь подумайте, много ли осталось сайтов, в которых нет личного кабинета или формы сбора информации?

Неужели начнут штрафовать?

Штрафовали и раньше. Один из самых интересных кейсов произошел в октябре 2016 года, когда Тамбовская городская юридическая компания была оштрафована за сбор персональных данных. Уже тогда суд занял позицию Роскомнадзора, приравнял электронную почту и номер телефона к персональным данным и обязал компанию выплатить административный штраф в размере 1 тысячи рублей.

Да, всё верно, одна тысяча. И если раньше нарушители выплачивали не больше 10 тысяч, то с 1 июля штрафы смогут достигать 295 тысяч рублей для юридических лиц и 75 тысяч рублей — для физических лиц.

Что может послужить основанием для проверки сайта

Существуют два ключевых основания: жалоба и проведение плановых проверок. Согласно данным Роскомнадзора, по сравнению с 2013 годом количество жалоб выросло практически на 60% — c 10 016 обращений до 33 814. Стоит учитывать, что никто не застрахован от жалобы со стороны конкурентов. Растет и количество проводимых проверок: если в 2013 году их было 743, то в 2016 году — уже 2053.

Какие еще могут быть последствия

Помимо вышеупомянутых штрафов, сайт будет внесен в «Реестр нарушителей прав субъектов персональных данных», что грозит повышенным вниманием со стороны Роскомнадзора. Также следует приготовиться к проверкам документов о порядке обработки персональных данных, даже если вы внесены в «Единый реестр субъектов малого и среднего предпринимательства».

Как защитить себя от штрафов

К счастью, если все персональные данные вы получаете через сайт, то можете защитить себя от большинства штрафов и претензий самостоятельно. Чтобы сделать сбор персональных данных полностью легальным, достаточно выполнить ряд действий:

  1. ​Если ваш сайт расположен на зарубежных серверах, то вам следует перевести его на сервера на территории РФ. Адрес нахождения вашего сервера, если он вам неизвестен, можно узнать у хостинг-провайдера.
  2. Составьте «Политику обработки персональных данных», соответствующую законодательству и подходящую для вашего сайта. Этот документ регламентирует и описывает все действия, осуществляемые с персональной информацией пользователей сайта.
  3. Составьте локальные акты, регулирующие действия с персональными данными. Этот пункт поможет избежать большинства штрафов в случае проведения проверок со стороны Роскомнадзора.
  4. Добавьте во все формы обратной связи на сайте кнопку или галочку с текстом «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных». Подтверждение желательно сделать обязательным. Не стоит думать, что посетители перестанут оставлять свои данные — это только повысит доверие к сайту.
  5. Для полной защиты удостоверьтесь в том, что сайт собирает информацию посредством cookies только с разрешения посетителя (данные с IP и cookies Роскомнадзор также признает персональными).
  6. Предоставьте посетителям сайта возможности по распоряжению своими персональными данными через обращения по электронной почте. Для этого укажите email-адрес в «Политике обработки персональных данных» и опубликуйте его на сайте для общего доступа, чтобы каждый посетитель мог ознакомиться с правилами.
  7. Заполните и подайте уведомление в Роскомнадзор. Обязанность в уведомлении есть у многих владельцев сайтов и организаций (исключения описаны в п. 2 ст. 22 ФЗ «О персональных данных» №152-ФЗ). Форма уведомления есть на сайте РКН. Особое внимание обратите на порядок подачи уведомления.

Как правильно составить политику конфиденциальности

  • Укажите термины. В политике обработки персональных данных нужно сразу обозначить понятия, которые вы будете использовать: администрация сайта, пользователь, персональные данные, обработка персональных данных, конфиденциальность персональных данных, cookies, IP-адрес.
  • Перечислите категории персональных данных, которые вы собираете и обрабатываете (имя, электронная почта, номер телефона и так далее). Учитывайте все категории персональных данных, которые будете собирать и использовать.
  • Укажите цели сбора персональных данных. Основная цель — выполнение условий договора с пользователем, а также предоставление доступа к функциональности сайта.
  • Установите условия обработки персональных данных. Укажите сроки обработки, порядок охраны и основные нормативные акты, на основе которых составлен режим обработки персональных данных.
  • Предоставьте пользователям возможность удалить свои персональные данные при обращении. Опишите порядок предоставления такой возможности и способ связи с оператором персональных данных.
  • Укажите меры по защите персональных данных. Это может быть шифрование, установка паролей, хранение в защищенных местах и другие способы защиты информации.
  • Добавьте дополнительную информацию. Например, порядок изменения условий политики и разрешения споров.

Ознакомиться с шаблоном политики можно здесь.

Как заполнить и подать уведомление в Роскомнадзор

Уведомление об обработке персональных данных направляется в территориальный орган Роскомнадзора в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.

Перед отправкой уведомления советую проверить полноту и правильность его заполнения. Уведомление должно содержать следующую информацию:

  1. ​Наименование (фамилия, имя, отчество), адрес оператора.
  2. Цель обработки персональных данных.
  3. Категории персональных данных.
  4. Категории субъектов, персональные данные которых обрабатываются.
  5. Правовое основание обработки персональных данных.
  6. Перечень действий с персональными данными, общее описание используемых оператором способов обработки.
  7. Описание мер, предусмотренных статьями Федерального закона «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.
  8. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, номера их контактных телефонов, почтовые адреса и адреса электронной почты.
  9. Дата начала обработки персональных данных.
  10. Срок или условие прекращения обработки персональных данных.
  11. Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки.
  12. Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.
  13. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями, установленными Правительством Российской Федерации.

Для подачи уведомления нужно:

  1. Перейти по ссылке на сайт Роскомнадзора и заполнить форму.
  2. После заполнения отправить форму, нажав на соответствующую кнопку на сайте. Одновременно с отправкой вы получите форму для печати.
  3. Распечатать форму в двух экземплярах. Формы должны быть подписаны руководителем организации.
  4. Отправить подписанный бумажный вариант формы в территориальный орган РКН по месту регистрации (по почте или лично).
  5. Дождаться ответа от Роскомнадзора по почте (как правило, занимает не больше месяца). Также можно узнать о статусе заявки по телефону или с помощью специального сервиса на сайте Роскомнадзора.

Присылайте колонки, соответствующие требованиям редакции, на secret@vc.ru.

После этой статьи хочется удалить не только свои сайты, но и расторгнуть договор с провайдером и забыть о существовании интернета нагуй.
Ведь все это не смешно, т.к. года полтора назад наблюдал как черти из Роспотребнадзора разводили директора агентства на 35 килорублей за то, что в моем интернет-справочнике, о существовании которого он и не знал, значилось что агентство продавало путевки в Турцию и Египет.

0

Защита персональных данных во всем мире становится все более актуальной, так что необходимо удовлетворять запросам населения и государства, так сказать)

0

Данные нужно защищать, но самим об этом думать.
А всех трутней надо по возможности слать.
Обходить все ограничения, прятаться, обманывать их.
Быть blackhat. Good blackhat.

0

Не увидела кому это пишу... человеку который на этом зарабатывает...

Им выгодно нагонять жути и заставлять бизнес прыгать на цырлах перед регуляторами. Крупные бизнес вероятно вынужден прыгать. А мелкий лучше учить обходить все ограничения, шифроваться, водить их за нос, не попадаться на глаза.

0

Да, мы полностью согласны, поэтому и написали подробную инструкцию)

0

> во всем мире становится все более актуальной

где-то еще, "во всем мире" (кроме Северной Кореи), есть требование хранить данные на серверах в своей стране?

0

Операторы и агентства также забывали убирать указанные страны из "каталога стран" на сайте, из новостей на сайтах - убирали из меню, но оставляли страницы стран в доступе (с заказанной и осуществленной оптимизацией, т.е. на них переходили по ссылкам из поисковиков).

На практике показало, что спрятать/скрыть какую-либо информацию можно только частично, и далеко не сразу - а с учетом тормозов Яндекса в обновлении индекса так и вовсем очень не сразу.

Напишите про COPPA внятный чек-лист, если можно
А то в последнем сезоне "Силиконовой долины" тема отрисовалась довольно жуткой, как и цены на консультации с тамошними лоерами

Думаю, про COPPA должен знать каждый стартапер, как и про обработку персональных данных в Штатах

Про COPPA постараемся написать в скором времени, после чек-листа по GDPR для рынка ЕС!

0

Берешь и делаешь. Лоеры и коппа это вот именно, что для стартаперов.

0

Большое спасибо за подробную инструкцию, стало гораздо понятнее что и как делать.

Всегда рады помочь, следите за новыми публикациями;)

0

можно в двух словах об основных отличиях от похожего закона в ЕС?

Два главных отличия:
1) Штрафы в несколько раз больше;
2) Усиленная защита персональных данных детей;
3) Упрощение системы информирования пользователей (отход от browser-wrap соглашений)
P.S. GDPR вступает в силу 25-го мая 2018 года

Меня интересует возможность выполнения двух заведомо исключающих друг друга требования (для сайтов и сервисов, предоставляющих возможность обмена сообщениями):
- Предоставление пользователям возможности удалить свои персональные данные при обращении;
- Необходимость хранения информации о пользователях, чтобы потом эти данные сливать по запросу.

0

Сообщения != персональные данные, поидее.

Т.е. по запросу вы должны будете удалить его ПД, но сами сообщения должны остаться в обезличенном виде.

0

Если читать закон о защите персональных данных, то сообщения с определенного конкретного адреса/эккаунта не может быть информацией "в обезличенном виде", обеличенная информация, это когда все хранится без разделения на пользователей (по псевдонимам/адресам/эккаунтам) - в одной куче. Зная чей-то адрес/псевдоним/аккаунт получаешь уже не "обезличенную" информацию, а информацию о конкретной персоне.
Статья 2.
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Статья 3. п.1
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

0

То есть любая информация о человеке, включая его сообщения, должна удаляться по его требованию.

0

Спасибо, тут понятнее (последняя реплика).

0

> ​Если ваш сайт расположен на зарубежных серверах, то вам следует перевести его на сервера на территории РФ. Адрес нахождения вашего сервера, если он вам неизвестен, можно узнать у хостинг-провайдера.

То есть Amazon Web Services и тому подобные сервисы теперь запрещены?

0

Запрещена обработка (хранение, распространение, сбор и т.д) персональных данных граждан России вне территории РФ.

0

Да, я к тому что сейчас почти любой сайт как минимум хранит электронную почту. Абсолютное большинство пользователей AWS сюда попадает.

Электронная почта (или любой другой вид информации) будет относится к персональным данным, если с ней будет идти хотя бы еще один пункт (имя, номер телефона, как пример). Но в целом, тенденция в ужесточении контроля к трансграничной передачи персональных данных прослеживается во всем мире.

0

А что есть имя? Т.е. если у меня на сайте комменты где форма для них Имя+мыло, но в имени пишут Ники, а не реальные данные - тоже коссается?
Надо переименовать поле Имя в Псевдоним?

0

Персональные данные - это информация, которая относится о определенному лицу. Если по информации можно определить лицо, то такая информация признается персональными данными. В каждом отдельном случае будет решать правоприменительный орган. По кейсу из статьи, например, почту и имя признали персональными данными.

0

Можно сделать базу данных на российском сервере для хранения и обработки персональных данных российских пользователей, а зарубежный сервис будет обращаться к этой базе данных. Данные должны храниться в РФ, чтобы переговоры о выдаче данных не затягивались и можно было всегда устроить "маски-шоу".

0

1. Создаем mega-site.ru, пишем в контактах ООО "Конкурент" и ставим форму обратной связи без условий обработки.
2. Пишем жалобу на злобных конкурентов, нарушающих закон.

И это будет работать? Или по какому принципу они выясняют кого штрафовать?

0

Можно не создавать сайт. Можно просто написать жалобу как физическое лицо, чьи данные были собраны без разрешения и надлежащих документов

0

Это если сайт конкурентов и правда нарушает. Тут вопрос в другом: каким образом устанавливается принадлежность компании к сайту?

Если исключительно по тому, что написано на сайте - то это какая-то ахинея получится. Все равно что на заборе писать.

0

В любом случае ответственность несет администратор сайта.
Вопрос о привлечении к ответственности фактического владельца сайта (если он не совпадает с администратором сайта) не однозначен в практике: в некоторых случаях суды дополнительно возлагают ответственность и на владельца (лицо, которое указано на сайте), в некоторых случаях ответственность только у администратора. Нужно смотреть на конкретный пример.

В общем получается, что обезличенным форумам (например) можно ничего не делать?

Там администратор это Admin обычно.

0

Мы сейчас говорим об администраторе с точки зрения закона. Это лицо, на которое зарегистрировано доменное имя.
Если у вас нет цели сбора персональных данных, рекомендуем требовать только обезличенные данные (например, только почту и псевдоним)

0

Однако на практике, к несчастью, обезличенность или недостоверность сведений не играет роли, так как если хотя бы одно лицо из всего множества пользователей оставит информацию, которая может быть признана персональными данными, тогда возможно применение закона о персональных данных

И как быть с cloudflare?
Хостинг то в РФ, но вот домен ведет на cloudflare. Реальный IP роскомнадзор не сможет узнать. Что они будут делать в этом случае?

0

Тоже интересен этот вопрос.

0

Для тупых поясните плс.
Если мы говорим про обычные массовые форумы и блоги, и там есть формы комментов, и регистрация на сайте для получения внутреннего кабинета, но вообще нет цели собирать данные (просто техническая процедура для регистрации кабинета), нужно ли волноваться?
И хватит ли поменять название поля Имя, на Псевдоним (если кроме этого еще собирается email)?

0

В этом и состоит проблема, так как правоприменительный орган может посчитать даже такую информацию идентифицирующей.

0

Правоприменительный орган попросил меня хранить логи, в которых есть IP, который теперь персональные данные - что делать?

0

В данном случае вы будете являться оператором персональных данных и к вам будут применяться требования законодательства. Чтобы понять как себя обезопасить-советую обратить внимание на раздел статьи "Как защитить себя от штрафов", в нем я постарался подробно изложить суть требований.

0

Если так дела и дальше пойдут, то скоро появится статья УК "за ложь в интернете" и можно будет повышать производительность труда бесплатной рабочей силой.

0

Можно ли политику об обработке ПД добавить в общее пользовательское соглашение, а юзеру при регистрации нужно будет только подтвердить согласие с пользовательским соглашением?

Можно посмотреть на "больших братьев", например вк. Никаких галочек при регистрации, но в пользовательском соглашении есть пункт 5.8, в котором в конце идёт "Поскольку Администрация Сайта осуществляет обработку персональных данных Пользователя в целях исполнения настоящих Правил, в силу положений законодательства о персональных данных согласие Пользователя на обработку его персональных данных не требуется."

0

На самом деле очень интересный вариант.
Ссылка для ленивых: vk.com/terms

0

>> А с недавних пор Роскомнадзор начал относить к персональным данным адрес места жительства, IP и даже сведения, получаемые при помощи cookies.

Я так понимаю Google с их Google Analytics уже оштрафовали? Или как говорит Клименко, закон у нас избирательно работает?

0

С 1 июля все вступает в силу. Сейчас штрафы никому не интересны и роскомнадзор не может их выписывать.

0

Анар, вопрос: для двух разных доменов одной компании можно использовать одно соглашение на основном домене?

P.S. поправьте на вашем сайте нумерацию пунктов в п. 8
РАЗРЕШЕНИЕ СПОРОВ, в Политике

0

На каждом сайте должна быть своя Политика, так как это отдельный ресурс, на котором происходит сбор персональных данных.
P.S. Там не должно быть нумерации, так как это рекомендации по заполнению

0

Не понимаю в чем кипишь?
Такой закон и в ЕС есть.
Под кнопкой "отправить" форме обратной связи, ставишь такой текст:
"Нажимая на кнопку, Вы соглашаетесь на обработку персональных данных в соответствии с Условиями"
Слово "Условиями" делаешь ссылку на такой текст на сайте:
avtogsm.ru/terms-of-confidentiality-s1129.html
Все кто хотите можете его скопировать, я не против.

И да хостинг в России должен быть, но для сайта это только в плюс так как пинг меньше, а значит поисковики будут вас больше любить так как скорость загрузки сайта уже фактор ранжирования, так с лихвой окупите разницу в цене хостинга у нас - там.

0

Ваша политика была создана индивидуально для вашей деятельности и сайта. Она подходит только для интернет-магазинов, у которых есть личный кабинет и которые собирают определенные вами персональные данные в определенных вами целях. Невозможно написать одну политику для всех.

При этом политика - это не панацея от всех бед. Помимо информирования своих пользователей оператор должен позаботиться о безопасности и это касается безопасности не только самих данных, но и безопасности информационных систем, при помощи которых данные обрабатываются.

Условно, Политика конфиденциальности и соглашение на сайте - front, локальные акты, в которых предусмотрены организационные и технические меры - back. Роскомнадзор проверяет все документы.
P.S. да, это все условности, но таковы требования регулятора.

Согласен, наша политика для интернет-магазинов только подходит, что касается технической стороны то это вообще для любого бизнеса очень важно, чтоб не утащили клиентскую базу из за sql дырки в crm например.

Также важно грамотное администрирование, мы например пользуемся компанией masterhost, у них очень грамотно налажена система администрирования серверов, конкретным сервером занимается не админ напрямую имея root, а все через специализированную систему делается, в том числе обновление систем, очень кстати важно все и всегда обновлять, потому как уязвимости обнаруживаются у даже зарекомендовавшего себя ПО.

0

Пара вопросов:
- Что если сайт находится на зарубежном сервера, но непосредственно база данных с пользователями на Российском?

- Как будут штрафовать иностранные компании, работающие с Российскими клиентами, не имеющие российских юридических лиц?

0

1) Запрещена обработка (хранение, распространение, сбор и т.д) персональных данных граждан России вне территории РФ. Хранение лишь малая часть регламентируемых действий.
2)Требования Закона «О персональных данных» распространяются на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке персональных данных на территории РФ.
Вопрос о том, являются ли сайты представительствами - спорный, но с 1 сентября 2015 года в Законе введены новые требования (главным является требование о локализации данных). В соответствии с требованиями, иностранный ресурс, который обрабатывает персональные данные российских граждан с нарушениями (например, не имеет серверов в РФ для хранения баз данных с персональными данными) может быть заблокирован по решению суда. Данные требования, как пример, были выставлены РКН для LinkedIn

0

"​Если ваш сайт расположен на зарубежных серверах, то вам следует перевести его на сервера на территории РФ. Адрес нахождения вашего сервера, если он вам неизвестен, можно узнать у хостинг-провайдера."
Это относится и к негосударственным сайтам?

0

Это относится ко всем сайтам, собирающим персональные данные граждан РФ

0

Недавно спор с таким комментарием видел toster.ru/q/432895#comment_1408410

0

Если при регистрации не указывается адрес проживания, место рождения или явно гражданство, как определить, что пользователь гражданин РФ? И что делать в такой ситуации?

0

Анар, а какой порядок ответственности в случае нарушения? Компании выписывают штраф и все? Или блокируют ресурс до выполнения всех необходимых пунктов? Если компания заплатила штраф и ничего не изменила, что происходит тогда?

Будет ли правомерно написать в соглашении на сайте - Принимая данное соглашение, вы обязуетесь отправить туда-то согласие на признание ваших персональных данных используемых на сайте общедоступными?

0

Имеется в виду письменное согласие на реальный адрес.

0

Согласие на обработку - это, пожалуй главное основание для самой обработки персональных данных (хотя есть и исключения, когда согласие не нужно, которых сейчас касаться не будем - они есть в законе)

Согласие должно быть конкретным, информированным и сознательным (часть 1 статьи 9 Закона). По идее согласие может быть дано в любой форме, но доказать дачу такого согласия, очевидно, только при письменной форме, в эквиваленте для сайтов - путем проставления "галочки". При этом простой текст а ля "даю согласие на обработку своих персональных данных" или "соглашаюсь с политикой конфиденциальности" не будет отвечать критерию информированности.
Не будет отвечать критериям и молчаливое согласие на обработку, мол пользователь не возражает.
Пословица "молчание - знак согласия" не работает в праве)

0

Роман, порядок следующий: Роскомнадзор направляет администратору домена предписание, которое содержит примерно следующее:
... в рамках реализации службой (Роскомнадзором) возложенных полномочий были выявлены признаки нарушения положений ФЗ "О персональных данных" таким-то интернет-ресурсом. Далее констатируется факт обработки персональных данных и излагаются требования, которые оператор обязан выпонить, иными словами направить в Роскомнадзор документы, которые подтвержают выполнение требований. Для оператора - администратора домена такие требования изложены в статье 18 и 18.1 указанного закона.

Выполнение данных требований подтверждается локальными актами, иными документами и сведениями. Например, для администратора домена актуальным является предоставление в Роскомнадзор информации о том, что обработка персональных данных осуществляется с использованием баз данных на территории РФ (требование о локализации). Важным является также предоставление локальных актов, которыми подтверждаются меры по статье 18.1.

Особнностью является то, что протоколы по административным нарушениям составляет сам Роскомнадзор. Неустранение в срок нарушения указанного в предписании, влечет наложение штрафа.

Что касается блокировки ресурса, то за непредоставление, несвоевременное предоставление (срок 30 дней) или предоставление в неполном объеме она возможна, но только по решению суда.

0

Спасибо большое за информаци!

0

А гугл бац и письмо рлскомнсдзора в спам кладет. И вы не знаете ни чего

0

Да, с таким законом судя по всему можно будет заблокировать 95% зарубежного интернета.

0

Как Роскомнадзор будет проверять где обрабатываются данные пользователя? Айпишник на сайте может быть российский, но что с данными происходит после отправки - проследить можно только имея доступ к серверам.

0

Вот мне тоже интересно. Реальный IP спрятан за cloudflare. РКН присылает свои требования. Я пишу, да все ок, мамой клянусь все на серверах РФ лежит. И все? Или РКН начнет спрашивать про хостера или попросит root доступ к серверу? Как они все это проверяют?

0

Авторизация пользователей в системах комментирования (типа hypercomments) попадает под закон? Ведь при этом пользователь идентифицирует себя однозначно, и владелец сайта, работая с комментариями, обрабатывает персональные данные, так?

0

Не совсем понятно как будут определять владельца сайта, в случае нарушений? По домену, хостингу или данным на самом сайте?

0

У нас скромное маркетинговое агентство.
Сайт на домене com.
Я гражданин Украины и агентство зарегистрировано в Украине.
Работаем по всему миру и рунет в том числе.

Этот закон имеет какое-либо отношение к нашей фирме?
У каждой страны свои законы.
Так закон какой страны нам нужно выполнить по поводу сбора персональных данных?

И какие в принципе санкции к нам могут быть?

Прямой эфир
Голосовой помощник выкупил
компанию-создателя
Подписаться на push-уведомления