С 1 июля 2017 вступают в силу поправки в Кодекс об административных правонарушениях, касающиеся закона о персональных данных.
Персональными данными закон называет «любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу». Проще говоря, это сведения, по которым человека можно идентифицировать.
К сожалению, закон не приводит список данных о человеке, попадающих под это определение, но по существующим прецедентам к ним можно отнести:
-
фамилию, имя и отчество;
-
физический адрес;
-
адрес электронной почты;
-
номер телефона;
-
дату и место рождения,
-
фотографию;
-
ссылки на персональный сайт или страницы в социальной сети;
-
сведения о профессии, уровне образования и доходов, семейном положении;
-
передаваемые файлы cookie и другие метаданные.
Получается, поправки затронут всех, кто собирает, записывает, накапливает, хранит, использует и обрабатывает любые персональные данные пользователей.
Это означает, что любая форма обратной связи (регистрация на сайте, подписка на e-mail рассылку, функция «Заказать звонок» или «Отправить сообщение») делает вас оператором персональных данных, и вы несёте за это ответственность.
Кто следит за исполнением закона?
Сейчас проверкой сайтов и выпиской протоколов о нарушениях занимается прокуратура, поэтому пока всё идёт медленно и касается не всех. С июля эти обязанности переходят к Роскомнадзору – и процесс пойдёт значительно быстрее.
Чем грозит нарушение?
Сумма штрафа может быть разной в зависимости от конкретного нарушения и от того, на кого накладывается взыскание (ИП, физическое лицо, юридическое или должностное). Например, если организация получает данные пользователя без его письменного разрешения, штраф за это для неё может составлять до 75 000 рублей. Если не предоставить пользователю информацию об обработке его данных, то с ИП потребуют взыскание в размере от 10 000 до 15 000 рублей, а с организации – от 20 000 до 40 000.
Что нужно сделать владельцу сайта?
-
Установить кнопку «Я согласен на обработку персональных данных» со ссылкой на вашу политику конфиденциальности, без нажатия на которую пользователь не сможет отправить свои данные.
-
Утвердить приказом политику конфиденциальности. В этом приказе должен быть приведен перечень лиц, непосредственно занимающихся обработкой персональных данных, и указано ответственное лицо, которое контролирует исполнение приказа и закона. С обоими документами – приказом и политикой – нужно ознакомить всех сотрудников компании под роспись.
-
Разместить утверждённую политику в офисе, на сайте и в мобильных приложениях в открытом доступе. Так, например, поступил Яндекс, опубликовав свою политику, сервис e-mail рассылок Subscribe.ru и крупнейший в Европе ресурс для IT-специалистов Хабрахабр. С Политикой Конфиденциальности компании SEO.RU можно ознакомиться здесь.
-
Принять внутренний распорядительный акт, в котором, основываясь на нормах законодательства об архивном деле, должны быть разработаны и описаны ваш бизнес-процесс хранения и передачи персональных данных, назначены ответственные по этому делу лица, определены их обязанности и полномочия. Тут же нужно определить сроки обработки персональных данных, сроки и порядок их хранения и уничтожения.
-
Перенести хостинг на территорию России и узнать точный адрес местоположения сервера – до улицы и номера здания. Роскомнадзор умеет проверять это.
-
Опубликовать e-mail, на который пользователь может отправить письмо с просьбой удалить его персональные данные, с вопросами о них. И убедиться, что эти письма до вас дойдут, а не будут отфильтрованы или проигнорированы.
-
Отправить сообщение в Роскомнадзор (по этой форме) о том, что ваш сайт обрабатывает персональные данные пользователей. Не нужно уведомлять РКН в том случае, если пользователь объявляет свои данные общедоступными, если компания собирает их исключительно для заключения и исполнения гражданского договора, а также если сбор и обработка данных не автоматизированы. Других исключений нет.
-
Если компания имеет доступ к персональным данным, владельцу нужно заключить с ней соглашение, где будет указано, какие данные, как и зачем компания обрабатывает и как защищает.
-
Поставить дисклеймер (лучше всего на видном месте и в каждом разделе), который уведомит посетителей сайта, что для нормальной работы сайта их персональные данные обрабатывают, и если пользователь останется на этом сайте, то это автоматически считается его согласием на обработку. Чтобы не допустить этого, пользователь должен покинуть сайт.
Этот список – только часть требований РКН к компаниям. С полным перечнем можно ознакомиться тут.
Итак, резюмируя вышесказанное:
-
Чтобы не получать штрафы, разработайте политику конфиденциальности, покажите её пользователю и спросите, согласен ли он с ней, поставив для этого кнопку.
-
Чтобы избежать проблем с законом о персональных данных, зарегистрируйтесь в РКН, заведите отдельный e-mail для обращений клиентов, перенесите хостинг в РФ и ознакомьтесь с остальными требованиями.
Незаконная обработка персональных данных чревата не только очевидными юридическими последствиями, но проблемами с деловой репутацией и показателями SEO. Мы – за безопасный интернет и соблюдение законов, так что и своим клиентам, и вообще всем, кто получает продажи через свой сайт, рекомендуем до 1 июля обеспечить выполнение всех требований закона.
