Закон о персональных данных: что делать, чтобы Роскомнадзор не заблокировал сайт

С 1 июля 2017 года в силу вступают поправки к закону о персональных данных. Согласно этим изменениям, за нарушения порядка сбора персональных данных в разы возрастают штрафы.

Если раньше за неправильный порядок сбора данных штраф платили только юрлица и сумма составляла 10 тыс. рублей, то с 1 июля штраф может составлять до 300 тыс. рублей и грозит он всем владельцам сайтов — будь то крупный интернет-магазин или простой блог с формой подписки на рассылку.

За «особо тяжкие преступления» Роскомнадзор может заблокировать сайт, то есть фактически запретить компании вести бизнес. Как избежать новой угрозы — читайте ниже.

Кого касается закон о персональных данных

Закон касается всех, кто подпадает под понятие «оператор персональных данных». Для начала давайте разберемся, что такое персональные данные в понимании законодательства. Вот определение из закона 152-ФЗ «О персональных данных»:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

В переводе на человеческий язык это значит, что персональные данные — это любая информация о пользователей, по которой его можно идентифицировать:
— фамилия, имя, отчество или что-то одно из этого;
— электронная почта;
— дата рождения;
— фотография;
— ссылка на профиль в социальных сетях или на персональный сайт.

А также данные, которые собираются автоматически — cookie и IP-адреса.

То есть если у вас на сайте есть форма регистрации, подписка на рассылку, личный кабинет или даже форма обратной связи, согласно закону, вы подпадаете под понятие «оператор персональных данных».

И даже если полученные данные удаляются с вашего сайта через 5 минут после того, как были получены, это все равно считается обработкой персональных данных.

Закон о персональных данных: что делать, чтобы Роскомнадзор не заблокировал сайт
Вот что об этом сказано в первоисточнике:

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Как избежать штрафов по закону о персональных данных

Что нужно сделать на сайте, чтобы он он соответствовал обновленным требованиям в законе:

1. Выберите хостинг с серверами в России. Согласно закона № 242-ФЗ, данные пользователей должны храниться на территории РФ. Если сервера вашего хостинга находятся в другой стране, обратитесь в тех.поддержку, возможно, у хостинга уже есть решение этой проблемы, которое не противоречит закону.

2. Под каждой формой для сбора данных разместите текст о том, что, отправляя свои данные, пользователь соглашается на их обработку. Это можно реализовать в виде текста или чек-бокса. В тексте обязательно сделайте ссылку на Пользовательское соглашение. Его надо разместить на отдельной странице.

3. Настройте для пользователей оповещение о том, что вы собираете метаданные пользователя и данные об их местоположении. И если пользователь против этого, он должен уйти с сайта.

4. Создайте документ «Политика организации обработки персональных данных» и разместите ссылку на него, например, в подвале сайта.

5.Отправьте в Роскомнадзор уведомление о том, чтобы ваш сайт внесли в список операторов персональных данных. Это можно сделать тут. Ждать подтверждения статуса не обязательно.

Теперь это — минимальный набор требований, который должны выполнять как физические, так и юридически лица, чтобы избежать штрафов.

Что будет, если ничего не делать

Пока известны единичные случаи применения санкций к нарушителям. Например, некоторые астраханские сайты оштрафовали на 10 000 рублей за то, что они установили на сайте форму обратной связи. Компании из Астрахани первыми попали под удар нового закона, потому что им просто не повезло: Роскомнадзор начал проверку по алфавиту.

Во сколько тысяч обойдется каждое нарушение:

Обработка персональных данных в случаях, не предусмотренных законодательством, обойдется юридическим лицам штрафом от 30 до 50 тыс. рублей.

Обработка персональных данных без письменного согласия их владельца (если не поставить чек-бокс с галочкой) грозит штрафом 3-5 тыс. рублей для граждан и 15-70 тыс. рублей для юридических лиц. А если не предоставить владельцу персональных данных информацию о том, как они будут обрабатываться, то размер штрафа составляет 15-20 тыс. рублей для ИП и 20-40 тыс. рублей для юридических лиц.

Конечно, многие будут по-прежнему надеяться на технические сложности при исполнении закона — сайтов в рунете миллионы, и для отслеживания их всех нужны колоссальные ресурсы. Вряд ли авторы поправок учитывали это, если даже в самом законе остается много непонятных мест и “возможностей для маневра”.

Однако владельцам малого и среднего бизнеса нужно быть начеку. Впрочем, как и всегда, если вы имеете дело с российским законодательством.

0

Дата: Июн 20, 2017