С середины лета закон о персональных данных коснется всех у кого есть собственные ресурсы в интернете – не считаясь с формой собственности, и частных и юрлиц. Что за нюансы таит в себе ФЗ, что лучше запомнить и как защититься от взыскания? Давайте разберемся.
Сбор каких персональных данных проводят сайтовладельцы? К ним приравниваются, казалось бы, вполне безобидные окна связи с владельцем сайта и подписок на рассылку новостей ресурса. С 1 июля 2017 г. такой сбор сведений поспособствует росту взысканий, ввиду нововведений в ФЗ No 152.
Существующая статья 13.11 штрафует на десять тысяч рублей только за одно нарушение и лишь юр.лиц. После первого июля число нарушений увеличится до семи, за каждое сайтовладельца возможно ожидает штраф. В денежном эквиваленте его размер составит 295 тыс. руб.
Подобное ужесточение связано с подобными переменами в Евросоюзе. Теперь закон будет включать наказания за самые частые нарушения, найденные в течение 5 лет Роскомнадзором. Перемены последуют уже в июле.
Кто же будет подвержен взысканиям? Взысканиям подвергнутся операторы персональных данных (ОПД), под этим словосочетанием скрывается любое лицо – юр-, физ-, ИП, собирающее и занимающееся обрабатыванием персональных данных (ПД) у пришедших на ресурс (сбор почты для последующих новостных писем).
Официально
Следуя букве законодательного акта, ОПД – это госорган или муниципальный орган, юр.лицо или физ.лицо, в самостоятельном порядке или совместно с другими лицами проводящие сбор и обработку ПД. ОПД также определяется с целью обработки персональных данных, их составом, и действиями, которые следует выполнять с полученными данными. (ФЗ No 152 «О персональных данных»).
Что скрывается под словосочетанием «персональные данные»? Право трактует его как любые инфоданные о гражданине, по которым его возможно опознать. Но конкретного перечисления ее нет, что дает свободу для трактовки. К примеру, узнать личность пользователя по его логину вряд ли удастся, но логин с указанием знака @- это уже наименование электронной почты посетителя, что приравнивается к персональным данным. Вот почему, присутствие на портале окна обратной связи, которая требует от посетителя оставления почты или оформления подписки, создание личного кабинета – приравнивается к обрабатыванию ПД.
Официально
Снова заглянем в ФЗ No 152 «О персональных данных», он гласит, что персональные данные – любые сведения, прямо или косвенно относимые к определенному или определяемому физлицу, являющегося субъектом этих персональных данных.
ОПД будут считаться все использующие личные данные посетителей как по частным критериям, так и в комбинации:
Даже несмотря на то, что точных трактовок нет, учитывая судебную позицию, Роскомнадзор будет относить к личным данным и сбор cookie-файлов, сведений об адресе IP, и местонахождении посетителя ресурса без указания Ф.И.О.
Но при этом действие законного акта не распространяется на информацию, указываемую в личностных и семейных целях. В то же время передача чужого номера коллекторским службам, публикация в Сети объявления с заведомо чужим номером с целью мести или вредительства – будет являться нарушением закона.
Означенная позиция Роскомнадзора подтверждается выясненными обстоятельствами, ввиду которых был заблокирован LinkedIn. Ресурс использовал cookie-файлы пришедших, отслеживал поведение и их местоположение. Аналогичные обстоятельства вскрылись и в деле провайдера «Скартел».
Сбор персональных данных, с дальнейшим их сохранением, попадает под терминологию «обработка персональных данных». Сюда же приравнивается и ситуация, где инфоданные собираются, но затем стираются.
Официально
Под обработкой ПД понимается любое действие или же операция, их совокупность, совершаемые с применением для автоматизирования процесса или без , с персональными данными, к которым относят сбор, запись, упорядочивание, накопление, сохранение и уточнение (изменение, обновление), извлечение, пользование, передача (распространение, предоставление, доступ) обезличивание, блокирование, удаление, уничтожение персональных данных (ФЗ No 152).
До наступления середины лета, к 01.07.2017, сайтовладельцам потребуется обновить ресурсы для приведения их в соответствии с условиями ФЗ No 152. Они одинаковы и для физлиц, и для компаний. Мы перечислим основные положения закона.
Ресурсы хостинга и его базы инфоданных, в которых "складируются" персональные сведения обязаны быть расположены на территории РФ. Об этом говорят результаты проверок, проводимых Роскомнадзором в деле LinkedIn, и ФЗ, который обязует хранить, обновлять и извлекать ПД граждан РФ с использованием баз данных на российской территории с 01.09.15.
Это требование распространяется и на иностранные фирмы, в статусе «юрлицо» или без , и на российские, сотрудничающих с зарубежными поставщиками хостинга и дата-центров или же пользующихся облачными серверами за рубежом. Основная проблема для законопослушных граждан и владельцев бизнеса в том, что требования Роскомнадзора пока не представляют ясности, и о многом приходится догадываться самостоятельно.
Чтобы избежать правонарушений стоит обратиться в Роскомнадзор или же в Минкомсвязи, но стоит быть готовым к тому, что потребуется время на получение ответа. Можно попробовать обратиться непосредственно к своему хостинг-провайдеру, который, скорее всего, уже располагает решениями проблемы.
Непосредственные изменения на ресурсах затронут «окна» сбора личных данных. Под ними надо поместить текстовку «Указывая галочку (нажав на кнопку), вы соглашаетесь на обработку своих персональных данных». Важна и url, открывающая пользовательское соглашение , согласие пользователя на обработку его персональных данных. Причем, оно должно полноценно открываться в окошке браузера.
Согласно части 4 статьи 9 ФЗ No 152, в соглашении должны быть :
При составлении вышеперечисленных документов запрещено брать за основу чужие. Списки получаемых данных, как и цели, для которых проводится сбор, должны быть свои у каждого ресурса. Нельзя запрашивать лишние данные – это приравнивается к нарушению и может послужить поводом для штрафных санкций.
Руководствуясь второй частью статьи 9 этого же закона, требуется указание сведений о том, как субъект персональных данных сможет аннулировать свое данное ранее согласие.
Потребуется техническое решение для формы, позволяющее четко зафиксировать полученное соглашение посетителя ресурса на обработку его персональных данных.
Таким знаком сможет стать «знак галочки» в регистрационном окне или в окне подтверждения заказа. Для 100% надежности лучше заверить страницы у нотариуса.
На ресурсе в общем доступе обязателен url на оргполитику организации, отражающую отношение ее к обработке персональных данных.
Все новые посетители сайта обязательно должны видеть предупреждение о том, что сайт ведет сбор сведений о них (coolie-файлы, адрес IP, сведения о местонахождении). Если посетитель против такого сбора данных, он должен покинуть ресурс.
Также следует официально уведомить Роскомнадзор о том, что на вашем сайте проводится сбор данных посетителей. Ваш сайт и вас внесут в реестр ОПД Роскомнадзора. Уведомление можно отправить через сайт Роскомнадзора.
Уведомление не потребуется, если ваш портал:
Имеются и другие исключения (второй п. 22 статьи ФЗ No152). Так, подтверждать статус ОПД в Роскомнадзоре не потребуется, потому что компании и физлица уже являются ими, если осуществляют доступ к ПД.
Закон выдвигает определенные условия и к юрлицам, так, они обязаны:
В зависимости от условий работы ресурса, его проверку могут осуществлять Роскомнадзор, ФСТЭК и ФСБ РФ. В особых случаях ФСБ может выполнить проверку технической защищенности ПД у частных компаний, но это бывает очень редко. Главной угрозой для владельцев сайтов остается Роскомнадзор, который осуществляет до нескольких тысяч проверок ежегодно.
Ранее величина штрафа не была выше 10 тыс. рублей, с первого июля же она может составлять до 300 тысяч рублей. Причем взыскания суммируются для каждого нарушения.
Так, если будет проигнорирована просьба посетителя сайта в уточнении или же удалении его ПД с ресурса, то взыскание будет равно двум тысячам рублям для физлиц, 20 тысяч для ИП и 45 тысяч рублей – для юрлиц.
Для начала, владелец сайта получает письмо из Роскомнадзора, в котором перечислены найденные нарушения. Может потребоваться предоставление дополнительных документов.
Если и при осуществлении проверки выявляются нарушения, то Роскомнадзор имеет право ограничить доступ к порталу, оштрафовать владельца и очень редко, но остановить деятельность фирмы.
Комментарии сайтовладельцев по поводу нововведений в ФЗ No 152 в сети и вовсе рознятся. Кто-то советует успокоиться, заявляя, что никаких штрафов не будет. Кто-то приводит в примеры случаи наложения штрафов. Например, в Тамбовской области была оштрафована юр.фирма за отсутствие указания факта согласия посетителей сайта на сбор и обработку их ПД. Суд поддержал решение прокуратуры.
В Астрахани штрафуют сайтовладельцев, за некорректные формы обратной связи, «двигаясь» по алфавитному списку местных ресурсов.
Еще одного владельца УК подвергли взысканию денежных средств за передачу ПД неплательщиков юристам, для составления исковых заявлений.
Не стоит забывать, что нарушение процесса сбора и обработки ПД может повлечь за собой штрафные санкции, необходимость в выплате компенсации за моральный вред или даже уголовную ответственность.
