С 1 июля 2017 года вступили в силу изменения в №152-ФЗ «О защите персональных данных» (дата первоначального варианта 27 июля 2006 года), в частности:
- введены два новых термина – субъект и оператор персональных данных,
- основным положением закона стало обязательное согласие посетителя на обработку его персональных данных,
- увеличились размеры взысканий за нарушения.
Что такое персональные данные?
Персональные данные - информация любого содержания, которая относится к физическому лицу (субъекту персональных данных).
К персональным данным можно отнести:
- ФИО,
- дата рождения,
- фото,
- номер телефона,
- семейное положение,
- данные имущественного характера,
- профессия,
- адрес проживания,
- образование,
- доход.
Помимо этого, есть специфические персональные данные:
- Раса и нация,
- отношение к политике, религии, философии,
- интимные подробности жизни,
- текущие показатели здоровья.
И персональные данные обезличенного характера:
- адрес электронной почты,
- ip-адрес и месторасположение,
- файлы cookie.
Оператор персональных данных - кто это?
Операторы персональных данных - это те, кто имеет доступ к персональным данным человека. Например, органы власти, больницы и школы, банковские и юридические фирмы и др.
Кто попадает под действие 152-ФЗ?
Действие закона распространяется на все сайты, на которых имеются:
- формы обратной связи,
- формы заказа,
- формы комментариев,
- регистрация и личные кабинеты,
- формы подписки по e-mail.
Размеры штрафов после 1 июля 2017 года
За нарушение 152-ФЗ закона предусмотрены штрафы для физических лиц, организаций и индивидуальных предпринимателей. Размер штрафа может составить до 75000 рублей. Причем, если нарушений несколько, то штрафы суммируются. Например, за полное невыполнение закона, юридическое лицо могут оштрафовать на сумму до 300000 руб.
Хорошая новость в том, что предварительно Роскомнадзор присылает письмо с предупреждениями и сроками, в которые необходимо устранить нарушения.
Как избежать штрафов?
1.Перенести базы данных на территорию РФ. Это требование зафиксировано в N149-ФЗ. Несоблюдение закона приведет к блокировке ресурса.
2. Разместить документы «Политика обработки персональных данных» и «Пользовательское соглашение», в которых должны содержаться все необходимые данные: цели сбора информации, какая информация собирается, кем, как хранится, как обрабатывается, контакты для связи и т.д. Убедитесь, что эти файлы в прямом доступе для любого посетителя.
3. Получить от пользователя явное согласие на обработку его персональных данных, поэтому нужно разместить на каждой форме сайта чек-бокс согласия на обработку ПД, с ссылкой на документ.
4. Информировать всех новых посетителей сайта о том, что вы собираете метаданные (cookie, данные об IP-адресе и местоположении). Информацию можно подавать как в pop-up сообщениях, так и в нижней части сайта, с возможностью закрыть всплывающее окно.
5. Уведомить Роскомнадзор, что вы являетесь оператором персональных данных. Заявку на добавление в реестр операторов персональных данных можно подать через эту форму.
6. Иметь на сайте необходимые документы (Перечень необходимой информации), т.к. все операторы персональных данных могут проходить документарную проверку.
В большей степени проверки подвергаются крупные юридические лица и интернет-магазины. Но все же проверена может быть любая организация на соблюдение закона. Во избежание штрафов и блокировки сайта лучше соблюдать и выполнять все основные требования, в рамках закона.
Необходима помощь в решении проблем с сайтом или консультация? Обращайтесь!