С июля текущего года вступят в силу изменения, внесенные в Кодекс об административных правонарушениях, которые касаются персональных данных. Ответственность за нарушение правил работы с ними ужесточится. На некоторых владельцев интернет-ресурсов уже были наложены штрафы в начале 2017 года за то, что в формах для внесения данных о клиентах отсутствовала отметка об их согласии на обработку такой информации. Теперь, после внесения поправок в законодательство, количество лиц, привлеченных к ответственности за нарушения в этой сфере, значительно возрастет.Наша статья отвечает на вопрос «Как не быть оштрафованным за обработку персональных данных?». Мы расскажем о том, что собой представляет такая информация и как работать с ней в рамках закона.
Что скрывается под понятием «персональные данные» и кто считается их оператором ?
В соответствии с отечественным законодательством персональными считаются любые данные, относящиеся к физическому лицу, которое может быть прямо или косвенно определено (определяемо). По такой информации можно узнать, о каком именно человеке идет речь, то есть идентифицировать его.
Исчерпывающего списка сведений о физическом лице, которые определяются как персональные, в законе не найти, но с учетом положений нормативно-правовых актов и судебной практики к ним можно отнести такие данные.
· ФИО
· Фотоизображения
· Дата рождения и место
· E-mail
· Метаданные, в том числе, cookie
· Место проживания
· Профессия
· Уровень образования
· Доходы
· Семейное положение
· Адрес личного сайта и аккаунты в социальных сетях.
· Номер телефона
Итак, практически любая информация о человеке попадает под защиту закона. Все, кто занимаются ее сбором, записью, хранением, накапливанием, обработкой или использованием, то есть операторы персональных данных, рискуют оказаться в числе правонарушителей, если проигнорирует требования обновленного законодательства.
Чтобы стать оператором и тем самым взять на себя всю ответственность за работу с информацией о физическом лице, достаточно предусмотреть на своем сайте регистрацию, функцию отправки посетителями сообщений, заказа звонков, подписки на рассылку или использовать любую другую форму обратной связи.
Какая ответственность грозит оператору?
На нарушения в сфере персональных данных предусмотрен штраф, размер которого зависит от серьезности проступка и субъекта, который несет за него ответственность. Это может быть обычный гражданин, частный предприниматель, должностное лицо или организация. Для физических лиц, не являющихся ИП, суммы штрафов самые низкие, а компаниям грозят наиболее высокие расходы. К примеру, если пользователю не были предоставлены сведения об обработке информации о нем, частный предприниматель будет оштрафован на 10-15 тыс. руб., а юридическое лицо – на 20-40. Если же персональные данные пользователя будут получены без его письменного согласия, для компании-нарушителя штраф может достигнуть 75 тыс. руб.
На сегодня операторы персональных данных могут быть привлечены к ответственности за несоблюдение требований Федерального закона «О защите персональных данных» (№152-ФЗ) только 1 раз независимо от того, сколько нарушений будет выявлено одновременно. Однако с июля визит Роскомнадзора сможет закончиться протоколами по всем административным правонарушениям без каких-либо ограничений по их общему количеству. И за каждое из них придется уплатить штраф.
Что делать, чтобы работать в рамках закона?
- Необходимо принять приказ, которым утверждается политика конфиденциальности. Он должен содержать список лиц, допущенных к работе с персональными данными. Кроме того, необходимо определить, на какое лицо возложены обязанности по контролю выполнения требований законодательства и этого приказа. С документом должны быть ознакомлены все работающие в организации под расписку.
- Утвержденную приказом политику конфиденциальности следует разместить таким образом, чтобы доступ к ней был открытым (в мобильном приложении, на интернет-ресурсе, в офисе).
- В Роскомнадзор отправьте уведомление о том, что вы владеете сайтом, обрабатывающим персональные данные.
- Любой сбор информации о посетителях должен сопровождаться получением согласия на их обработку. Следует предусмотреть обязательное использование кнопки «Согласен на обработку моих персональных данных» перед отправкой пользователем личных сведений.
- Хостинг должен быть перенесен на территорию РФ. Необходимо выяснить его точное местонахождение (вплоть до названия улицы и номера дома).
- Посетителям необходимо предоставить информацию о том, на какой электронный адрес они могут отправить сообщение с вопросом об использовании персональных данных или просьбой их удалить.
- Нужно принять локальный акт на основании законодательства об архивном деле, в котором описать процедуру передачи и хранения персональных данных, указать ответственное за эту деятельность лицо и объем его полномочий. В таком распорядительном акте следует предусмотреть порядок хранения информации, ее уничтожения, а также соответствующие сроки.
- В нижней части страницы следует расположить дисклеймер, сообщающий пользователям о том, их персональные данные для работы с сайтом должны быть обработаны, и если посетитель не покинет сайт, то тем самым автоматически даст согласие на такую обработку.
Мы возьмем на себя все заботы о соблюдении требований закона «О защите персональных данных». Смотрите наше предложение.