1 июля 2017 - день X и «Закон о защите персональных данных» № 152-ФЗ

С 1 июля 2017 года вступают в силу поправки к статье 13.11 КоАП, связанные с нарушением закона о защите персональных данных. Коснутся эти поправки практически всех, у кого есть сайт, – для этого достаточно даже маленькой формы обратной связи, что уж говорить о полноценном аккаунте в интернет-магазине. Сами того не подозревая, вы уже давно можете являться «оператором персональных данных», а это уже серьезно!

Почему же все забеспокоились только сейчас, а веб-сайты, соответствующий закон и персональные данные существуют уже давно?

Во-первых, штрафы были в 3 и в 10 раз меньше. Сейчас за отсутствие политики конфиденциальности на сайте ИП заплатит 10 000 рублей вместо 1 000 рублей, а компания 30 000 рублей вместо 10 000 рублей – разница существенная. Но если вы будете обрабатывать данные без согласия клиента, платить придется ещё больше – 75 000 рублей!

Во-вторых, раньше можно было применить шутливое правило – строгость российских законов компенсируется необязательностью их исполнения. Особого контроля за соблюдением закона не было, многие компании просто проигнорировали эти правила. Теперь же есть конкретный ответственный орган, Роскомнадзор, который с недавних пор имеет соответствующие полномочия и ресурсы для активных проверок и штрафов.

Четкой формулировки понятия «Персональные данные (ПДн)» – нет, поэтому мы собрали для вас (и заодно для себя) 2 самых авторитетных мнения:

• Согласно закону № 152-ФЗ «О персональных данных» от 27.07.2006 ПДн — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Что такое «другая информация» – остаётся только гадать.
• Согласно разъяснению главы Роскомнадзора, Алексея Жарова, ПДн – это набор информации, позволяющий безошибочно идентифицировать пользователя как личность. Либо, если личность пользователя уже определена, безошибочно отнести требуемые данные именно к нему. К примеру, ФИО, фото, номер телефона, email позволяют идентицифировать человека с низкой вероятностью ошибки. При этом речь идёт именно о совокупности данных, а не о разрозненной информации.

Что необходимо сделать в ближайшее время?

• Разместить на сайте Политику конфиденциальности (или же Пользовательское соглашение, Официальное уведомление – названия могут отличаться). Шаблон можно найти в Интернете или же заказать у юристов. Мы уже разместили на своём сайте Политику конфиденциальности, ссылка в нижнем меню сайта доступна всем пользователям.
• Написать в Роскомнадзор и заполнить форму уведомления о том, что вы собираете персональные данные.

Что еще владельцы веб-сайтов обязаны делать согласно букве закона:

• Запрашивать только ту информацию (ПДн), которая необходима для конкретной цели. Для рассылки – электронный адрес, для отправки посылки – адрес и ФИО и так далее.
• Использовать эти данные только в тех целях, о которых пользователь был заранее предупрежден и на которые он согласился.
• По запросу пользователя сообщать, какие именно у вас есть ПДн, для чего они необходимы, и в чем состоит процесс обработки. По первому требованию – удалять эти данные.
• Хранить базы данных безопасным способом, причём обязательно на территории России, а также защищать их от взлома и утечки. При этом компания обязана обучить сотрудников работе с персональными данными. Незнание не освобождает от ответственности.