С 1 июля 2017 года вступят поправки статьи 13.11 КоАП, описывающей нарушения закона о хранении и обработке персональных данных. Ранее штрафы не зависели от вида нарушения и составляли максимум 1 000 руб. для ИП и 10 000 руб. для юридических лиц. Теперь же штрафы разделили по видам нарушений и увеличили в разы:
- если не разместить на сайте политику конфиденциальности, ИП могут оштрафовать на 10 000 руб., а компанию — на 30 000 руб.;
- eсли обрабатывать персональные данные без согласия клиента интернет-магазина или подписчика на рассылку, то штраф для юридического лица составит до 75 000 руб., а ИП придется заплатить до 20 000 руб.;
- если нарушений несколько, то и штрафов будет несколько.
До этого протоколы о нарушениях могла выписывать только прокуратура. Процедура занимала много времени, а штрафы были маленькие, поэтому проверяли редко и не всех. С 1 июля выписывать протоколы будет Роскомнадзор, штрафы вырастут, и количество оштрафованных, скорее всего, тоже будет расти. Например, в Астрахани прокуроры уже штрафуют владельцев сайтов за формы обратной связи по названию компании в алфавитном порядке.
Персональные данные — это любые данные о человеке, по которым можно его идентифицировать (имя и телефон, имя и email и т.д.). В законе нет перечня таких данных, поэтому какие данные относить к персональным приходится догадываться самим. Например, недавно Роскомнадзор в Тамбове выписал компании штраф за нарушение закона о персональных данных из-за формы обратной связи на сайте (с полями имя, тема и текст сообщения, причем имя являлось необязательным полем), и оспорить это решение в суде не удалось.
Скорее всего, вы являетесь оператором персональных данных, если каким-то образом получаете от любых людей такую информацию в любом сочетании: ФИО, адрес, электронную почту, телефон, дату или место рождения, фотографию, ссылку на персональный сайт или соцсети, профессию, образование.
Все это означает, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету — операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения — это уже обработка персональных данных.
Мы рекомендуем подготовить публичные документы и разместить их на сайте так, чтобы они были доступны на всех страницах (например, в подвале сайта). По-хорошему, это должно быть две страницы:
- «Пользовательское соглашение» — договор с пользователям, описывающий условия использования сайта и различных услуг компании;
- «Политика конфиденциальности» — условия, а также цели сбора и хранения персональных данных.
Однако, можно ограничится хотя бы последним документом.
Вы можете найти и посмотреть подобные документы на сайтах различных крупных компаний, а также взять их для ориентира, но содержание (собираемые данные и цели использование) нужно прописать свое, т. к. запрашивать ненужные данные — тоже нарушение закона и повод для штрафа.
Затем на всех формах сбора данных реализуйте решение, которое позволит четко установить, что человек согласился на обработку персональных данных. Это может быть как галочка в форме, так и текстовое предупреждение, что отправляя эту форму он согласен с документами, размещенными на сайте.
Имейте ввиду, что кроме штрафов за нарушение правил обработки персональных данных, закон предусматривает возможность взыскать компенсацию морального вреда и даже уголовную ответственность.
Если вам требуется помощь в приведении сайта в соответствие с законом — обращайтесь, мы поможем!
