ВСЕ, ЧТО НУЖНО ЗНАТЬ О 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ».

МИНУС 300 000 ЗА ОТСУТСТВИЕ ГАЛОЧКИ НА САЙТЕ:

ЕЩЕ РАЗ О 152-ФЗ.

Несмотря на то, что сам закон был принят почти 10 лет назад, а поправки к нему почти полгода назад, половина предпринимателей о нем не знает, а вторая половина по сложившейся традиции на исполнение забила. Счастливые времена неведения закончились в сентябре: Роскомнадзор начал раздавать штрафы направо и налево всем компаниям, чьи интернет-представительства не соответствуют 152-ФЗ.

Чтобы понять масштабы бедствия, приводим некоторые

ШТРАФЫ:

20 000 — 75 000 — использование персональных данных без согласия;
10 000 — 30 000 — отсутствие политики конфиденциальности на сайте;
10 000 — 50 000 — несоответствие целей сбора данных заявленным;
15 000 — 40 000 — отказ от предоставления сведений о собранных данных пользователю;
10 000 — 50 000 — отказ от блокировки или удаления данных по требованию пользователя или Роскомнадзора.

При наличии нескольких нарушений штрафы суммируются. Неплохо, правда?

ЧТО ЕЩЕ СТОИТ ЗНАТЬ:

Во-первых, Роскомнадзор может составлять протокол без участия прокуратуры и сам направлять его в суд. А так как в России любой материал по публичному обвинению (КоАП или УК РФ), попавший в суд, считается истинным, то суды в этом случае выносят приговоры почти не глядя. То есть штрафы следуют обязательно.

Во-вторых, прятаться не получится. Если при выявлении нарушений на сайте Роскомнадзор не может связаться с компанией-владельцем, он оформляет обращение к хостинг-провайдеру, выясняет данные владельца домена и блокирует сайт до устранения несоответствий закону и выплаты штрафов.

КАК ПОНЯТЬ, ЧТО ВАС ЭТО КАСАЕТСЯ:

— если на вашем сайте установлена форма обратной связи, форма заказа обратного звонка, форма заявки или любая другая форма, в которую пользователь вводит e-mail, имя, телефон или другую информацию, по которой его теоретически можно идентифицировать.

— если вы осуществляете продажи через сайт и на сайте присутствуют сопутствующие модули: корзина, оплата товара, заказ доставки и т.п.

— если на вашем сайте есть возможность регистрации и авторизации пользователей (форумы, торренты, закрытый контент по паролю и т.п.) или есть возможность взаимодействия с сайтом через соц.сети — кнопки “Поделиться в facebook/ВК/Одноклассники…”, возможность авторизоваться через соц.сети и т.д.

— форма подписки на любого рода e-mail-рассылки.

ЧТО ЖЕ ДЕЛАТЬ,

чтобы не влететь на 300 000 в пользу государства:

1. РАЗМЕСТИТЬ ПОЛИТИКУ КОНФИДЕНЦИАЛЬНОСТИ НА САЙТЕ:

Политика конфиденциальности — это документ, который объяснит пользователям и Роскомнадзору для каких целей вы собираете персональные данные, где и как вы их будете хранить, будете ли передавать их кому-то еще и какие обязательства вы берете на себя по сохранности этих данных.

В ней должны быть прописаны:

— вид информации, которую вы собираете: персональная (имя, адрес, номер телефона, данные банковской карты и т.д.) или обезличенная (все, что не относится напрямую к человеку, но может помочь его идентифицировать — сведения о браузере, IP адресе, файлы cookie и т.д.)

— цели обработки: зачем вы собираете эти данные (для заключения договоров, для рассылки новостей, чтобы менеджеры могли перезвонить и т.д.)

— распространение персональных данных: будут ли данные передаваться кому-то еще и кому конкретно (отдел продаж, курьерская служба, прессцентр и т.д.)

— срок хранения полученной информации (тут важно указать реальный период: если данные нужны только для формирования заказа — так и пишем “храним два часа”, если они нужны для e-mail-маркетинга — то тоже так и пишем “храним годами, пока не отпишутся”)

— алгоритм отказа (объясните пользователю, каким образом он может удалить свои персональные данные, которые вы собрали; нет смысла делать из отписки квест — пользователь все равно найдет вариант, как отписаться, а вы рискуете получить бонусом к отписке еще судебный иск, штраф и блокировку сайта)

Как будет называться документ — не важно. Главное, чтобы он был на сайте и содержал вышеперечисленные пункты.

2. ПОЛУЧИТЬ СОГЛАСИЕ ПОЛЬЗОВАТЕЛЯ:

Под каждой формой сбора персональных данных на сайте теперь должен быть чекбокс “Я согласен с политикой конфиденциальности сайта” и “Я даю согласие на обработку персональных данных”. Чтобы обезопасить себя, попросите программиста запретить отправку формы без установленной галочки.

Так же не нужно пытаться обойтись без чекбокса, написав под формой что-то вроде “если я нажимаю на кнопку “отправить”, я согласен на обработку персональных данных” — пользователи в судах говорят, что эту надпись не заметили, и доказать обратное без чекбокса вы не сможете (еще раз напомним — это минус 75 000 рублей).

3. УВЕДОМИТЬ РОСКОМНАДЗОР:

Уведомлять Роскомнадзор не нужно только в случаях, если:

— осуществляется сбор данных сотрудников в рамках трудового договора

— осуществляется сбор данных пользователей для использования в рамках одного (!) договора

— если данные пользователя общедоступные (сам пользователь ранее разместил их в публичном доступе)

— если запрашивается только ФИО (правда, тут тоже есть условности, так что лучше подстраховаться)

Во всех остальных случаях ваша компания становится оператором персональных данных, о чем нужно сообщить в Роскомнадзор. Сделать это можно, заполнив электронную форму https://pd.rkn.gov.ru/operators-registry/notification/form/, распечатав ее и отправив по адресу вашего регионального отделения Роскомнадзора.

4. ОРГАНИЗОВАТЬ БЕЗОПАСНОЕ ХРАНИЛИЩЕ ДАННЫХ.

Единственное требование, четко обозначенное в законе — хранение персональных данных российских пользователей должно производится на серверах, расположенных в России. Эту информацию можно уточнить у вашего хостинг-провайдера и поменять его, если сервера находятся не на территории РФ.

Все остальные меры по сохранению персональной информации пользователей владелец сайта выбирает сам.

=============================

Если вам все равно кажется, что это слишком много геморроя и можно подождать, пока не припечет — ваш выбор, но еще раз напомним, что потенциально вы рискуете отдать 300 000 рублей и на неопределенный срок остаться без сайта.

Для вдохновения ниже ссылки на примеры Политики Конфиденциальности нескольких компаний. Если не получается даже с примером перед глазами или просто нет времени на это — 152ФЗ.РФ и другие интернет-сервисы в помощь.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Перейти к верхней панели