ВСЕ, ЧТО НУЖНО ЗНАТЬ О 152-ФЗ “О ПЕРСОНАЛЬНЫХ ДАННЫХ”. – Develop yourself

ВСЕ, ЧТО НУЖНО ЗНАТЬ О 152-ФЗ “О ПЕРСОНАЛЬНЫХ ДАННЫХ”.

МИНУС 300 000 ЗА ОТСУТСТВИЕ ГАЛОЧКИ НА САЙТЕ:

ЕЩЕ РАЗ О 152-ФЗ.

Несмотря на то, что сам закон был принят почти 10 лет назад, а поправки к нему почти полгода назад, половина предпринимателей о нем не знает, а вторая половина по сложившейся традиции на исполнение забила. Счастливые времена неведения закончились в сентябре: Роскомнадзор начал раздавать штрафы направо и налево всем компаниям, чьи интернет-представительства не соответствуют 152-ФЗ.

Чтобы понять масштабы бедствия, приводим некоторые

ШТРАФЫ:

20 000 – 75 000 – использование персональных данных без согласия;
10 000 – 30 000 – отсутствие политики конфиденциальности на сайте;
10 000 – 50 000 – несоответствие целей сбора данных заявленным;
15 000 – 40 000 – отказ от предоставления сведений о собранных данных пользователю;
10 000 – 50 000 – отказ от блокировки или удаления данных по требованию пользователя или Роскомнадзора.

При наличии нескольких нарушений штрафы суммируются. Неплохо, правда?

ЧТО ЕЩЕ СТОИТ ЗНАТЬ:

Во-первых, Роскомнадзор может составлять протокол без участия прокуратуры и сам направлять его в суд. А так как в России любой материал по публичному обвинению (КоАП или УК РФ), попавший в суд, считается истинным, то суды в этом случае выносят приговоры почти не глядя. То есть штрафы следуют обязательно.

Во-вторых, прятаться не получится. Если при выявлении нарушений на сайте Роскомнадзор не может связаться с компанией-владельцем, он оформляет обращение к хостинг-провайдеру, выясняет данные владельца домена и блокирует сайт до устранения несоответствий закону и выплаты штрафов.

КАК ПОНЯТЬ, ЧТО ВАС ЭТО КАСАЕТСЯ:

– если на вашем сайте установлена форма обратной связи, форма заказа обратного звонка, форма заявки или любая другая форма, в которую пользователь вводит e-mail, имя, телефон или другую информацию, по которой его теоретически можно идентифицировать.

– если вы осуществляете продажи через сайт и на сайте присутствуют сопутствующие модули: корзина, оплата товара, заказ доставки и т.п.

– если на вашем сайте есть возможность регистрации и авторизации пользователей (форумы, торренты, закрытый контент по паролю и т.п.) или есть возможность взаимодействия с сайтом через соц.сети – кнопки “Поделиться в facebook/ВК/Одноклассники…”, возможность авторизоваться через соц.сети и т.д.

– форма подписки на любого рода e-mail-рассылки.

ЧТО ЖЕ ДЕЛАТЬ,

чтобы не влететь на 300 000 в пользу государства:

1. РАЗМЕСТИТЬ ПОЛИТИКУ КОНФИДЕНЦИАЛЬНОСТИ НА САЙТЕ:

Политика конфиденциальности – это документ, который объяснит пользователям и Роскомнадзору для каких целей вы собираете персональные данные, где и как вы их будете хранить, будете ли передавать их кому-то еще и какие обязательства вы берете на себя по сохранности этих данных.

В ней должны быть прописаны:

– вид информации, которую вы собираете: персональная (имя, адрес, номер телефона, данные банковской карты и т.д.) или обезличенная (все, что не относится напрямую к человеку, но может помочь его идентифицировать – сведения о браузере, IP адресе, файлы cookie и т.д.)

– цели обработки: зачем вы собираете эти данные (для заключения договоров, для рассылки новостей, чтобы менеджеры могли перезвонить и т.д.)

– распространение персональных данных: будут ли данные передаваться кому-то еще и кому конкретно (отдел продаж, курьерская служба, прессцентр и т.д.)

– срок хранения полученной информации (тут важно указать реальный период: если данные нужны только для формирования заказа – так и пишем “храним два часа”, если они нужны для e-mail-маркетинга – то тоже так и пишем “храним годами, пока не отпишутся”)

– алгоритм отказа (объясните пользователю, каким образом он может удалить свои персональные данные, которые вы собрали; нет смысла делать из отписки квест – пользователь все равно найдет вариант, как отписаться, а вы рискуете получить бонусом к отписке еще судебный иск, штраф и блокировку сайта)

Как будет называться документ – не важно. Главное, чтобы он был на сайте и содержал вышеперечисленные пункты.

2. ПОЛУЧИТЬ СОГЛАСИЕ ПОЛЬЗОВАТЕЛЯ:

Под каждой формой сбора персональных данных на сайте теперь должен быть чекбокс “Я согласен с политикой конфиденциальности сайта” и “Я даю согласие на обработку персональных данных”. Чтобы обезопасить себя, попросите программиста запретить отправку формы без установленной галочки.

Так же не нужно пытаться обойтись без чекбокса, написав под формой что-то вроде “если я нажимаю на кнопку “отправить”, я согласен на обработку персональных данных” – пользователи в судах говорят, что эту надпись не заметили, и доказать обратное без чекбокса вы не сможете (еще раз напомним – это минус 75 000 рублей).

3. УВЕДОМИТЬ РОСКОМНАДЗОР:

Уведомлять Роскомнадзор не нужно только в случаях, если:

– осуществляется сбор данных сотрудников в рамках трудового договора

– осуществляется сбор данных пользователей для использования в рамках одного (!) договора

– если данные пользователя общедоступные (сам пользователь ранее разместил их в публичном доступе)

– если запрашивается только ФИО (правда, тут тоже есть условности, так что лучше подстраховаться)

Во всех остальных случаях ваша компания становится оператором персональных данных, о чем нужно сообщить в Роскомнадзор. Сделать это можно, заполнив электронную форму https://pd.rkn.gov.ru/operators-registry/notification/form/, распечатав ее и отправив по адресу вашего регионального отделения Роскомнадзора.

4. ОРГАНИЗОВАТЬ БЕЗОПАСНОЕ ХРАНИЛИЩЕ ДАННЫХ.

Единственное требование, четко обозначенное в законе – хранение персональных данных российских пользователей должно производится на серверах, расположенных в России. Эту информацию можно уточнить у вашего хостинг-провайдера и поменять его, если сервера находятся не на территории РФ.

Все остальные меры по сохранению персональной информации пользователей владелец сайта выбирает сам.

=============================

Если вам все равно кажется, что это слишком много геморроя и можно подождать, пока не припечет – ваш выбор, но еще раз напомним, что потенциально вы рискуете отдать 300 000 рублей и на неопределенный срок остаться без сайта.

Для вдохновения ниже ссылки на примеры Политики Конфиденциальности нескольких компаний. Если не получается даже с примером перед глазами или просто нет времени на это – 152ФЗ.РФ и другие интернет-сервисы в помощь.

Leave a Reply

Your email address will not be published. Required fields are marked *