Все российские сайты стоит обновить до 1 июля

Все российские сайты стоит обновить до 1 июля

С середины лета закон о персональных данных коснется всех у кого есть собственные ресурсы в интернете – не считаясь с формой собственности, и частных и юрлиц. Что за нюансы таит в себе ФЗ, что лучше запомнить и как защититься от взыскания? Давайте разберемся.

Сбор каких персональных данных проводят сайтовладельцы? К ним приравниваются, казалось бы, вполне безобидные окна связи с владельцем сайта и подписок на рассылку новостей ресурса. С 1 июля 2017 г. такой сбор сведений поспособствует росту взысканий, ввиду нововведений в ФЗ No 152.

Существующая статья 13.11 штрафует на десять тысяч рублей только за одно нарушение и лишь юр.лиц. После первого июля число нарушений увеличится до семи, за каждое сайтовладельца возможно ожидает штраф. В денежном эквиваленте его размер составит 295 тыс. руб.

Подобное ужесточение связано с подобными переменами в Евросоюзе. Теперь закон будет включать наказания за самые частые нарушения, найденные в течение 5 лет Роскомнадзором. Перемены последуют уже в июле.

Зона риска

Кто же будет подвержен взысканиям? Взысканиям подвергнутся операторы персональных данных (ОПД), под этим словосочетанием скрывается любое лицо – юр-, физ-, ИП, собирающее и занимающееся обрабатыванием персональных данных (ПД) у пришедших на ресурс (сбор почты для последующих новостных писем).

Официально

Следуя букве законодательного акта, ОПД – это госорган или муниципальный орган, юр.лицо или физ.лицо, в самостоятельном порядке или совместно с другими лицами проводящие сбор и обработку ПД. ОПД также определяется с целью обработки персональных данных, их составом, и действиями, которые следует выполнять с полученными данными. (ФЗ No 152 «О персональных данных»).

Персональные данные

Что скрывается под словосочетанием «персональные данные»? Право трактует его как любые инфоданные о гражданине, по которым его возможно опознать. Но конкретного перечисления ее нет, что дает свободу для трактовки. К примеру, узнать личность пользователя по его логину вряд ли удастся, но логин с указанием знака @- это уже наименование электронной почты посетителя, что приравнивается к персональным данным. Вот почему, присутствие на портале окна обратной связи, которая требует от посетителя оставления почты или оформления  подписки,  создание личного кабинета – приравнивается к обрабатыванию ПД.

Официально

Снова заглянем в ФЗ No 152 «О персональных данных», он гласит, что персональные данные – любые сведения, прямо или косвенно относимые к определенному или определяемому физлицу, являющегося субъектом этих персональных данных.

Часто используемые персональные данные

ОПД будут считаться все использующие личные данные посетителей как по частным критериям, так и в комбинации:

  • Ф.И.О;
  • местонахождение по факту;
  • буквенный ID email;
  • Цифровой ID персонального номера телефона;
  • сведения, когда родился гражданин и где;
  • Фотоизображение физлица;
  • адрес персонализированного ресурса;
  • указание адреса профиля человека в соцсети;
  • Наименование профессии;
  • Указание полученного образования, уровня доходов, семейного положения.

Даже несмотря на то, что точных трактовок нет, учитывая судебную позицию, Роскомнадзор будет относить к личным данным и сбор cookie-файлов, сведений об адресе IP, и местонахождении посетителя ресурса без указания Ф.И.О.

Но при этом действие законного акта не распространяется на информацию, указываемую в личностных  и семейных целях. В то же время передача чужого номера коллекторским службам, публикация в Сети объявления с заведомо чужим номером с целью мести или вредительства – будет являться нарушением закона.

Судебные прецеденты

Означенная позиция Роскомнадзора подтверждается выясненными обстоятельствами, ввиду которых был заблокирован LinkedIn. Ресурс использовал cookie-файлы пришедших, отслеживал поведение  и их местоположение. Аналогичные обстоятельства вскрылись и в деле провайдера «Скартел».

Собирать, но не обрабатывать

Сбор персональных данных, с дальнейшим их сохранением, попадает под терминологию «обработка персональных данных». Сюда же приравнивается и ситуация, где инфоданные собираются, но затем стираются.

Официально

Под обработкой ПД понимается любое действие или же операция, их совокупность, совершаемые с применением для автоматизирования процесса  или без , с персональными данными, к которым относят сбор, запись, упорядочивание, накопление, сохранение и уточнение (изменение, обновление), извлечение, пользование, передача (распространение, предоставление, доступ) обезличивание, блокирование, удаление, уничтожение персональных данных (ФЗ No 152).

Обновить сайт

До наступления середины лета, к 01.07.2017, сайтовладельцам потребуется обновить ресурсы для приведения их в соответствии с условиями ФЗ No 152. Они одинаковы и для физлиц, и для компаний. Мы перечислим основные положения закона.

Хостинг в России

Ресурсы хостинга и его базы инфоданных, в которых "складируются" персональные сведения обязаны быть расположены на территории РФ. Об этом говорят результаты проверок, проводимых Роскомнадзором в деле LinkedIn, и ФЗ, который обязует хранить, обновлять и извлекать ПД граждан РФ с использованием баз данных на российской территории с 01.09.15.

Это требование распространяется и на иностранные фирмы, в статусе «юрлицо» или без , и на  российские, сотрудничающих с зарубежными поставщиками хостинга и дата-центров или же пользующихся облачными серверами за рубежом. Основная проблема для законопослушных граждан и владельцев бизнеса в том, что требования Роскомнадзора пока не представляют ясности, и о многом приходится догадываться самостоятельно.

Чтобы избежать правонарушений стоит обратиться в Роскомнадзор или же в Минкомсвязи, но стоит быть готовым к тому, что потребуется время на получение ответа. Можно попробовать обратиться непосредственно к своему хостинг-провайдеру, который, скорее всего, уже располагает решениями проблемы.

Обновленные формы

Непосредственные изменения на ресурсах затронут «окна» сбора личных данных. Под ними надо  поместить текстовку «Указывая галочку (нажав на кнопку), вы  соглашаетесь на обработку своих персональных данных». Важна и url, открывающая  пользовательское соглашение , согласие пользователя на обработку его персональных данных. Причем, оно должно полноценно открываться в  окошке браузера.

Согласно части 4 статьи 9 ФЗ No 152, в соглашении должны быть :

  • Сведения об ОПД, получающем согласие субъекта персональных данных, состоящие из Ф.И.О., места нахождения;
  • Наименование цели, с какой производится сбор и обработка данных;
  • Перечисление ПД, которые разрешает обрабатывать их субъект;
  • Если ОПД поручает сбор и обработку данных иному лицу, то требуется указание его Ф.И.О, адреса;
  • Перечисление планируемых действий с ПД субъекта, на которые он дает разрешение;
  • Общее описание методов обработки данных ОПД;
  • Указание сроков, в течение которых действительно полученное согласие субъекта персональных данных и способ отзыва согласия (если иное не установлено ФЗ).

При составлении вышеперечисленных документов запрещено брать за основу чужие. Списки получаемых данных, как и цели, для которых проводится сбор, должны быть свои у каждого ресурса. Нельзя запрашивать лишние данные – это приравнивается к нарушению и может послужить поводом для штрафных санкций.

Руководствуясь второй частью статьи 9 этого же закона, требуется указание сведений о том, как субъект персональных данных сможет аннулировать  свое данное ранее согласие.

Потребуется техническое решение для формы, позволяющее четко зафиксировать полученное соглашение посетителя ресурса на обработку его персональных данных.

Таким знаком сможет стать «знак галочки» в регистрационном окне или в окне подтверждения заказа. Для  100% надежности лучше заверить страницы  у нотариуса.

Политика в отношении обработки данных

На ресурсе в общем доступе обязателен url на оргполитику организации, отражающую отношение ее к обработке персональных данных.

Предупреждение о сборе данных

Все новые посетители сайта обязательно должны видеть предупреждение о том, что сайт ведет сбор сведений о них (coolie-файлы, адрес IP, сведения о местонахождении). Если посетитель против такого сбора данных, он должен покинуть ресурс.

Уведомить Роскомнадзор

Также следует официально уведомить Роскомнадзор о том, что на вашем сайте проводится сбор данных посетителей. Ваш сайт и вас внесут в реестр ОПД Роскомнадзора. Уведомление можно отправить через сайт Роскомнадзора.

Уведомление не потребуется, если ваш портал:

  • Проводит лишь обработку данных работников и лишь для исполнений нужд и требований ТК (сведения не передаются вами в банки и т. д.) например, для ведения зарплатного проекта;
  • Выполняет обработку данных с заключением соглашения (с контрагентами, с работниками), при этом, ПД не передаются другим лицам;
  • Обработка данных производятся лишь на бумажных носителях.

Имеются и другие исключения (второй п. 22 статьи ФЗ No152). Так, подтверждать статус ОПД в Роскомнадзоре не потребуется, потому что компании и физлица уже являются ими, если осуществляют доступ к ПД.

Требования для юрлиц

Закон выдвигает определенные условия и к юрлицам, так, они обязаны:

  • Разработать внутренний распорядок обработки и защиты ПД, с указанием отвечающих за соблюдение его ответственных;
  • Ознакомить сотрудников с порядком, с получением от них заверения в письменном виде о неразглашении ПД;
  • Получить согласование письменное на обработку ПД у физлиц, добавив перечисленные пункты во вновь составленные соглашения;
  • Составлять и подписывать поручения на обработку ПД при факте передачи их контрагентам;
  • Не оставлять без внимания полученные запросы физлиц по поводу обработки их ПД;
  • Организовать защищенность ПД с применением антивирусной программы, делая разграничения по правам доступа.

Зона риска

В зависимости от условий работы ресурса, его проверку могут осуществлять Роскомнадзор, ФСТЭК и ФСБ РФ. В особых случаях ФСБ может выполнить проверку технической защищенности ПД у частных компаний, но это бывает очень редко. Главной угрозой для владельцев сайтов остается Роскомнадзор, который осуществляет до нескольких тысяч проверок ежегодно.

Ранее величина штрафа не была выше 10 тыс. рублей, с первого июля же она может составлять до 300 тысяч рублей. Причем взыскания суммируются для каждого нарушения.

Так, если будет проигнорирована просьба посетителя сайта в уточнении или же удалении его ПД с ресурса, то взыскание будет равно двум тысячам рублям для физлиц, 20 тысяч для ИП и 45 тысяч рублей – для юрлиц.

Для начала, владелец сайта получает письмо из Роскомнадзора, в котором перечислены найденные нарушения. Может потребоваться предоставление дополнительных документов.

Если и при осуществлении проверки выявляются нарушения, то Роскомнадзор имеет право ограничить доступ к порталу, оштрафовать владельца и очень редко, но остановить деятельность фирмы.

Прецеденты

Комментарии сайтовладельцев по поводу нововведений в ФЗ No 152 в сети и вовсе рознятся. Кто-то советует успокоиться, заявляя, что никаких штрафов не будет. Кто-то приводит в примеры случаи наложения штрафов. Например, в Тамбовской области была оштрафована юр.фирма за отсутствие указания факта согласия посетителей сайта на сбор и обработку их ПД. Суд поддержал решение прокуратуры.

В Астрахани штрафуют сайтовладельцев, за некорректные формы обратной связи, «двигаясь» по алфавитному списку местных ресурсов.

Еще одного владельца УК подвергли взысканию денежных средств за передачу ПД неплательщиков юристам, для составления исковых заявлений.

Не стоит забывать, что нарушение процесса сбора и обработки ПД может повлечь за собой штрафные санкции, необходимость в выплате компенсации за моральный вред или даже уголовную ответственность.

Поделитесь записью:

Похожие записи:

Комментарии (0)

    Опубликовать комментарий