С 1 июля 2017 года вступают в силу поправки в законе о персональных данных

Это важные поправки в закон 152-ФЗ для тех владельцев сайтов, кто занимается сбором и обработкой различных персональных данных — имен, фамилий, почтовых адресов и так далее. Для индивидуальных предпринимателей штрафы сейчас составляют порядка 10 000 рублей, а с 1 июля число нарушений возрастет, за которые суммарно может набежать аж до 300 000 рублей. Как этого избежать? Сначала нужно определить, являетесь ли вы операторами персональных данных.

Давайте сначала разберемся, что же такое персональные данные. Это информация, благодаря которой можно идентифицировать посетителя сайта. Сам закон не располагает конкретным списком всех данных, которые могут попадать под данное определение.

Однако, если рассуждать логически, то можно составить примерный список информации, которая может подходить под определение персональных данных:

• ФИО;
• различные адреса;
• данные о дате рождения;
• адреса e-mail;
• фотографии;
• телефоны;
• данные о профессии;
• данные об образовании;
• уровень заработной платы.

Если ваш сайт имеет различные формы, регистрацию, личные кабинеты, возможность отправлять сообщения и так далее — вы являетесь операторами персональных данных.

Причем, если, например, при наличии формы обратной связи нет ссылки, которая ведет на соглашение на обработку данных, штраф для компании составит 50 000 рублей. А отсутствие на веб-ресурсе политики конфиденциальности повлечет за собой штраф в размере 30 000 рублей для компаний и 10 000 рублей для индивидуальных предпринимателей.

Закон 152-ФЗ «О персональных данных» касается не только тех, кто обрабатывает персональные данные, но и тех, кто только занимается их сбором.

Для того, чтобы избежать штрафов, необходимо соблюдать несколько требований:

1. Данные должны храниться на территории Российской Федерации. По закону 242-ФЗ с 1 сентября 2015 года сохранять, извлекать, обновлять различные персональные данные российских граждан необходимо на территории РФ.Этот закон затрагивает как иностранные компании, так и российские компании, которые в своей работе используют иностранные хостинги, облачные технологии и так далее. Хотя, здесь в законе не все ясно. За конкретными разъяснениями вы можете обратиться в Роскомнадзор.
2. В формах на сайте, которые используются для сбора персональных данных, нужно размещать текст о соглашении на обработку этих данных. В нем также необходимо разместить ссылку на пользовательское соглашение. Текст его можно размещать на отдельной странице.Само пользовательское соглашение должно содержать:
   • данные об операторе персональных данных;
   • для чего собирается информация о пользователе;
   • список собираемых данных;
   • если обработка осуществляется с привлечением третьих лиц, то их данные тоже должны быть указаны в соглашении;
   • все действия, которые будут производиться с персональной информацией;
   • срок действия соглашения и способ того, как можно его отозвать.
3. Разместить на сайте на видном месте ссылку на политику конфиденциальности.
4. Обязательно показывать новым посетителям вашего сайта информацию о том, что вы собираете различные данные о них (кукисы, ip, информация о местоположении и так далее).
5. Необходимо уведомить Роскомнадзор о внесении вашей организации в реестр операторов персональных данных. Это необязательно, если вы, например, собираете данные только ваших работников для соблюдения требований трудового законодательства или храните и обрабатываете персональные данные только на бумаге.

Если вы являетесь юридическим лицом, то вам необходимо:

1. Назначить тех, кто будет отвечать за процесс обработки персональных данных и составить набор регламентирующих документов об обработке и защите данных пользователей.
2. Правильно осуществлять взаимодействие с физлицами, госорганами и так далее — подписывать обязательства о неразглашении данных, соглашение на их обработку, не игнорировать запросы физлиц по поводу обработки их личных данных.
3. Обеспечить защиту персональных данных с помощью антивирусов, сетевых экранов и других технических средств.

Чаще всего проверки соблюдения всех этих требований осуществляет Роскомнадзор.