Инструкция: как уберечь компанию от штрафов по закону о персональных данных Информация Рекомендации от юриста, основателя сервиса по защите интернет-бизнеса E-docs Анара Костенко. Роскомнадзор продолжает свою деятельность по «спасению» интернета, и на этот раз под прицелом оказались почти все владельцы сайтов. С 1 июля 2017 года в силу вступают новые изменения в Кодексе об административных правонарушениях (КоАП), которые ужесточат санкции по отношению ко всем лицам, собирающим персональные данные. Теперь штрафы будут достигать 295 тысяч рублей. Чем это грозит владельцам сайтов Начать стоит с разъяснения того, что такое персональные данные. В первую очередь под эту категорию попадают электронная почта, имя, фамилия и номер телефона. А с недавних пор Роскомнадзор начал относить к персональным данным адрес места жительства, IP и даже сведения, получаемые при помощи cookies. Так, если ваш сайт собирает такую информацию, то Роскомнадзор автоматически относит вас к операторам персональных данных. То есть вы обязаны уведомить ведомство о наличии специальной документации, которая регламентирует вашу деятельность. А теперь подумайте, много ли осталось сайтов, в которых нет личного кабинета или формы сбора информации? Неужели начнут штрафовать? Штрафовали и раньше. Один из самых интересных кейсов произошел в октябре 2016 года, когда Тамбовская городская юридическая компания была оштрафована за сбор персональных данных. Уже тогда суд занял позицию Роскомнадзора, приравнял электронную почту и номер телефона к персональным данным и обязал компанию выплатить административный штраф в размере 1 тысячи рублей. Да, всё верно, одна тысяча. И если раньше нарушители выплачивали не больше 10 тысяч, то с 1 июля штрафы смогут достигать 295 тысяч рублей для юридических лиц и 75 тысяч рублей — для физических лиц. Что может послужить основанием для проверки сайта Существуют два ключевых основания: жалоба и проведение плановых проверок. Согласно данным Роскомнадзора, по сравнению с 2013 годом количество жалоб выросло практически на 60% — c 10 016 обращений до 33 814. Стоит учитывать, что никто не застрахован от жалобы со стороны конкурентов. Растет и количество проводимых проверок: если в 2013 году их было 743, то в 2016 году — уже 2053. Какие еще могут быть последствия Помимо вышеупомянутых штрафов, сайт будет внесен в «Реестр нарушителей прав субъектов персональных данных», что грозит повышенным вниманием со стороны Роскомнадзора. Также следует приготовиться к проверкам документов о порядке обработки персональных данных, даже если вы внесены в «Единый реестр субъектов малого и среднего предпринимательства». Как защитить себя от штрафов К счастью, если все персональные данные вы получаете через сайт, то можете защитить себя от большинства штрафов и претензий самостоятельно. Чтобы сделать сбор персональных данных полностью легальным, достаточно выполнить ряд действий: Если ваш сайт расположен на зарубежных серверах, то вам следует перевести его на сервера на территории РФ. Адрес нахождения вашего сервера, если он вам неизвестен, можно узнать у хостинг-провайдера. Составьте «Политику обработки персональных данных», соответствующую законодательству и подходящую для вашего сайта. Этот документ регламентирует и описывает все действия, осуществляемые с персональной информацией пользователей сайта. Составьте локальные акты, регулирующие действия с персональными данными. Этот пункт поможет избежать большинства штрафов в случае проведения проверок со стороны Роскомнадзора. Добавьте во все формы обратной связи на сайте кнопку или галочку с текстом «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных». Подтверждение желательно сделать обязательным. Не стоит думать, что посетители перестанут оставлять свои данные — это только повысит доверие к сайту. Для полной защиты удостоверьтесь в том, что сайт собирает информацию посредством cookies только с разрешения посетителя (данные с IP и cookies Роскомнадзор также признает персональными). Предоставьте посетителям сайта возможности по распоряжению своими персональными данными через обращения по электронной почте. Для этого укажите email-адрес в «Политике обработки персональных данных» и опубликуйте его на сайте для общего доступа, чтобы каждый посетитель мог ознакомиться с правилами. Заполните и подайте уведомление в Роскомнадзор. Обязанность в уведомлении есть у многих владельцев сайтов и организаций (исключения описаны в п. 2 ст. 22 ФЗ «О персональных данных» №152-ФЗ). Форма уведомления есть на сайте РКН. Особое внимание обратите на порядок подачи уведомления. Как правильно составить политику конфиденциальности Укажите термины. В политике обработки персональных данных нужно сразу обозначить понятия, которые вы будете использовать: администрация сайта, пользователь, персональные данные, обработка персональных данных, конфиденциальность персональных данных, cookies, IP-адрес. Перечислите категории персональных данных, которые вы собираете и обрабатываете (имя, электронная почта, номер телефона и так далее). Учитывайте все категории персональных данных, которые будете собирать и использовать. Укажите цели сбора персональных данных. Основная цель — выполнение условий договора с пользователем, а также предоставление доступа к функциональности сайта. Установите условия обработки персональных данных. Укажите сроки обработки, порядок охраны и основные нормативные акты, на основе которых составлен режим обработки персональных данных. Предоставьте пользователям возможность удалить свои персональные данные при обращении. Опишите порядок предоставления такой возможности и способ связи с оператором персональных данных. Укажите меры по защите персональных данных. Это может быть шифрование, установка паролей, хранение в защищенных местах и другие способы защиты информации. Добавьте дополнительную информацию. Например, порядок изменения условий политики и разрешения споров. Ознакомиться с шаблоном политики можно здесь. Как заполнить и подать уведомление в Роскомнадзор Уведомление об обработке персональных данных направляется в территориальный орган Роскомнадзора в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Перед отправкой уведомления советую проверить полноту и правильность его заполнения. Уведомление должно содержать следующую информацию: Наименование (фамилия, имя, отчество), адрес оператора. Цель обработки персональных данных. Категории персональных данных. Категории субъектов, персональные данные которых обрабатываются. Правовое основание обработки персональных данных. Перечень действий с персональными данными, общее описание используемых оператором способов обработки. Описание мер, предусмотренных статьями Федерального закона «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, номера их контактных телефонов, почтовые адреса и адреса электронной почты. Дата начала обработки персональных данных. Срок или условие прекращения обработки персональных данных. Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки. Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями, установленными Правительством Российской Федерации. Для подачи уведомления нужно: Перейти по ссылке на сайт Роскомнадзора и заполнить форму. После заполнения отправить форму, нажав на соответствующую кнопку на сайте. Одновременно с отправкой вы получите форму для печати. Распечатать форму в двух экземплярах. Формы должны быть подписаны руководителем организации. Отправить подписанный бумажный вариант формы в территориальный орган РКН по месту регистрации (по почте или лично). Дождаться ответа от Роскомнадзора по почте (как правило, занимает не больше месяца). Также можно узнать о статусе заявки по телефону или с помощью специального сервиса на сайте Роскомнадзора. Источник: vc.ru/p/personal-data-law
Все таки данная инструкция больше относится к легальным организациям, чем к онлайникам и пиратским сайтам. Как же всё таки быть с киносайтами? Хватит ли одной политики конфиденциальности без написания заявления в РКН?
А если оставлять возможность регистрации только через соц сети, а в личных кабинетах убрать все поля связанные с личными данными, тогда по сути никакого сбора и нет?
сайт/сервер хуки собирает? Сбор есть! Сайт/сервер собирает данные по IP пользователя? Сбор есть! Тут простая смена вывода полей в профиле и регистрации не спасет.
А хуки можно вывести окошком, что это такое и что для продолжения просмотра юзер должен согласится с ними.
Согласится, что его браузер будет хранить хуки? и что при посещении сайта они будут закачиваться с кеша браузера у него на сайте? Конечно можно, но только зачем? Пока что как вариант - политика конфиденциальности на сайте, и чтобы ссылка на данный документ была на всех страницах сайта в доступном для пользователей месте.
Меня например достали всякие окна - то разрешить местоположение, то разрешить куки, то сайт не доверенный. Я сам знаю куда я захожу и что мне делать, кто не знают это их личные проблемы!
Мой сайт молодой, лично я подожду как они начнут штрафы раздавать, кроме пиратов и адалтников мало кто интересуется законами. Это они 90% всех сайтов должны будут оштрафовать, я подожду серию штрафов, потом и думать буду, к тому времени умные люди что нибудь придумают, ДЛЕ скорей всего примут меры в своих ЦМСках.
К сожалению это не объяснить той куче дуболомов, которые придумывают подобные шняги. То ли еще будет...
Скорее это нужно объяснять той куче долбоящеров, которые юзают инет и тычут во все подряд, а потом катают жалобы, типа "че за х..ня, у меня во весь экран голые бабы вылезли и чтоб их удалить мне надо смс отправить, я отправил, денег кучу содрали, а банер остался"))))
Если есть форма комментариев, в которой нужно указать имя и email, то это уже "персональные данные". Если использовать комментарии от vk или disqus? Или убрать поле Имя и email, оставить только поле комментарий? Яндекс метрика не показывает ip вроде как, а google analytics не знаю (напишите, кто знает). Владелец сайта (оператор персональных данных) должен указать в политике конфиденциальности "фио и адрес регистрации по месту жительства". т.е. теперь все будут знать владельца сайта? Представим ситуацию: юзеру не понравился пост на сайте, он заходит на страницу "политика конфиденциальности", находит адрес владельца сайта и решает разобраться с ним. Такое не возможно? Александр Жаров в интервью "Лента.ру" ответил, что персональные данные это набор информации, позволяющий безошибочно идентифицировать вас как личность. Либо, если ваша личность уже определена, безошибочно отнести требуемые данные именно к вам. Например, фотография, ФИО, номер телефона и адрес электронной почты позволяют идентифицировать человека достаточно точно. А фотография и имя «Оля» персональными данными считаться не могут, как и отдельно взятый адрес электронной почты или номер телефона. Речь идет именно о совокупности данных. Получается можно в форме комментраиев использовать только поле email без поля Имя?
Вообщем все об этом говорят, но никто ничего не делает... Никто даже толком не понимает, можно ли использовать в добавлении комментария поля эмейл и имя... И как вообще себя вести, если у тебя не интернет магазин а тот же киносайт или торрент трекер... Просто убрать регистрацию и повесить комменты типа cackle ?
мне одному непонятно, кого они будут штрафовать если у меня домен зарегистрирован на левый паспорт, хостинг забугром, а соединяюсь с ними я через цепочку впн?
таким макаром можно весь иностранный сегмент заблокировать, не думаю что каждый сайт будет ради этого арендовать серв еще и в РФии, чтобы соблюсти закон