Как составить контент-план
Оставляя свои контактные данные в этой форме, вы даете свое согласие на обработку персональных данных
12/06/2017

Как избежать штрафов и блокировки сайта
за нарушение законодательства в области защиты персональных данных

В последнее время владельцы сайтов обеспокоены грядущими изменениями в законодательство в области защиты персональных данных. Мы в Svoemedia к нововведениям подготовились основательно: проанализировали нормативные акты и судебную практику, заручились мнением юристов и подготовили формы документов, которые необходимо размещать на сайте для того, чтобы исключить риски быть наказанными за нарушения.

Делимся этой информацией и с вами.
Ирина Сорогина
Ирина Сорогина
SMM-специалист Svoemedia.ru
is@svoemedia.ru

Что такое персональные данные и кто является оператором персональных данных?

Обратимся к Федеральному закону «О персональных данных» от 27.07.2006 N 152-ФЗ, который дает следующие определения:
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Под эти определения подпадает достаточно широкий спектр данных и круг лиц. Непосредственное отношение эти определения имеют к владельцам сайтов и их администраторам. Например, если на вашем сайте посетитель должен заполнить форму «имя, тема, текст сообщения», то это будет считаться персональными данными, а владелец сайта – оператором персональных данных. Так, тамбовская компания ООО «ТГЮК» была оштрафована за отсутствие согласия на обработку персональных данных при заполнении формы обратной связи на сайте.

Кроме того, суды стали относить данные о поведении пользователя на сайте, cookie, сведения о его геопозиции и IP-адрес к персональным данным (дело Linkedin). Таким образом, если вы владелец сайта или администрируете его (как разработчик или агентство), то уйти от обработки персональных данных практически не представляется возможным. Обезличить данные, полученные с помощью веб-сайта, достаточно затруднительно.

Как ужесточается законодательство

В последнее время государство стало еще более внимательно относиться к вопросам защиты персональных данных и идет по пути ужесточения законодательства. Приведем наиболее важные изменения:
1
Увеличение штрафов с 01.07.2017
Согласно изменениям в ст. 13.11 Кодекса Р Ф об административных правонарушениях, перечень оснований привлечения к административной ответственности станет шире (вместо одного состава — семь). Кроме того, увеличивается размер штрафов: если раньше размер штрафа для юридических лиц не превышал 10 000 руб., то с 01.07.2017 штраф будет варьироваться от 30 000 руб. до 75 000 руб.
2
Базы данных должны храниться на территории РФ
Еще одно важное относительно недавнее изменение в законодательство (Федеральный закон от 21.07.2014 N 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях») — требование к «локализации» персональных данных. То есть оператор обязан обеспечить первоначальный сбор и обработку персональных данных на территории Российской Федерации.
3
Сайт может быть заблокирован
Были внесены изменения в Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», согласно которым за нарушение законодательства в области персональных данных Роскомнадзор совместно с операторами связи может заблокировать сайт на основании судебного акта.

Что делать?

Как избежать штрафов и блокировки сайта за нарушения в области персональных данных? Юрист по интеллектуальной собственности / информационным технологиям Максим Али в своей статье приводит ряд обязанностей оператора персональных данных. Эти обязанности связаны с размещением определенной информации на сайте, а также принятием иных мер.

Что необходимо сделать на сайте:

— обеспечить получение согласия на сбор персональных данных от пользователя;
разработать и принять политику обработки персональных данных и опубликовать ее на сайте.

Для примера можете использовать наши формы документов. Скачать редактируемые шаблоны согласия на обработку персональных данных и политики обработки персональных данных можете здесь и здесь.

Где это всё размещать на сайте?

Необходимо принять и другие меры:

— уведомить Роскомнадзор до начала обработки персональных данных. Только не забудьте перед подачей заявки правильно оформить свой сайт. Даже если вы маленькая компания, нужно это сделать
 принять внутренние документы, где будут установлены процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений
 обеспечить безопасность информационных систем и необходимый уровень защищенности персональных данных
 назначить лицо, ответственное за обработку персональных данных (для юридических лиц)
— обеспечить невозможность несанкционированного доступа к материальному носителю (кроме бумажных носителей и носителей внутри информационной системы оператора) биометрических персональных данных, а также соблюдение иных требований, установленных Постановлением Правительства Р Ф от 06.07.2008 N 512 (если вдруг актуально для вас)
 обеспечить хранение персональных данных граждан РФ на территории России.

Нет, всё понятно, но что конкретно?

Необходимо быть готовым к проверкам Роскомнадзора. Именно этот орган с 01 июля 2017 г. получит право возбуждать дела об административных правонарушениях. Юрист компании Hannes Snellman Екатерина Миронова в своем докладе подробно рассказывает о проверках Роскомнадзора и приводит необходимый оптимум документов, которые необходимо иметь для успешного прохождения проверки:
— приказ о назначении ответственного (ых) за обработку персональных данных и утверждении перечня допущенных к обработке персональных данных;

— политика в отношении обработки персональных данных (+публикация на сайте!);

— положение об обработке персональных данных работников;

— согласие на обработку персональных данных;

— договоры с «обработчиками»;

— согласие на передачу персональных данных работников третьим лицам (когда необходимо);
— согласие на трансграничную передачу персональных данных (когда необходимо);

— договор с хостинг провайдером;

— уведомление об обработке персональных данных (когда необходимо);

— акты об уничтожении персональных данных;

— журнал внутренних инструктажей;

— изменения в трудовые договоры;

— должностная инструкция ответственного (ых) работника.
ЛАЙФХАК
«Контур» создал сервис, помогающий избежать штрафов при проверке Роскомнадзора. Все, что вам нужно — по шагам вписывать информацию о себе и загружать соответствующие документы. Сервис бесплатен.
Перейти ➜
UPD.
Уже на этапе первых просмотров статьи мы получили ряд вопросов, ответы на которые мы добавили, вроде:
«А если у меня "просто сайт" с блогом?»

Отвечаем: Если на вашем сайте есть форма обратной связи, подписка на рассылку, личный кабинет, регистрация пользователя, то это будет считаться персональными данными. Кроме того, исходя из позиции Роскомнадзора и судов, персональными данными считаются cookie, данные об IP-адресе, местоположении, даже если не пользователь не указывает, как его зовут. Лучше принять все меры, чтобы обезопасить себя.
К кому будут предъявляться претензии? Если домен зарегистрирован на физическое лицо, а на сайте информация о юридическом лице?
Прежде всего обратятся к тому, на кого зарегистрирован домен. Дальше анализируется контент сайта, если указаны координаты юридического лица, контент и продукт принадлежат юридическому лицу, скорее всего претензии будут предъявляться уже соответствующему юридическому лицу.
Что, всем-всем правда регистрироваться в Роскомнадзоре?
В статье 22 закона 152-ФЗ указан перечень случаев, когда уведомление можно не подавать. Например, если вы заключаете договор с работником или клиентом и не передаете эти данные третьим лицам.
Статья 22 закона 152-ФЗ
А если я физическое лицо?
Даже если вы физическое лицо, вы можете являться оператором персональных данных, согласно определению, данному в законе 152-ФЗ: Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Если мы пользуемся международным сервисом e-mail рассылки, будет ли соблюдено правило о «локализации» персональных данных?
Если те же самые данные хранятся и на территории России (на бумажном носителе, на промежуточном сервере, в табличке excel), законом такая передача данных не запрещена. Можно спокойно проводить рассылку с использованием зарубежного сервиса, вроде Mailchimp.
Подписывайтесь на нас!
Наши статьи и письма редки, полезны и прекрасны:
Оставляя свои контактные данные в этой форме, вы даете свое согласие на обработку персональных данных
SVOЁMEDIA - лаборатория контента
Делитесь нами с друзьями :)
Нам - приятно, им - полезно!
Press "Subscribe" to follow Tilda Publishing on Vkontakte
Мы в соцсетях:
Вступайте, будем рады пообщаться:)
Made on
Tilda