Закон о персональных данных 152 ФЗ: как не нарушить

Рассказываем, как не нарушить новый закон и как привести сайт в соответствие с новыми правилами.

C 1 июля 2017 года вступил в силу закон "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" от 07.02.2017. Изменения коснулись статьи 13.11 "Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)", а также статей 28.3 и 28.4 КоАП РФ.

Ранее протоколами по таким делам занималась прокуратура, теперь их возбуждает Роскомнадзор. При чем РКН уже активно ведет проверочные действия, штрафы начисляются отдельно по каждому пункту нарушений, а суммы возросли в десятки раз.

Если на сайте отсутствует информация о политике конфиденциальности, индивидуального предпринимателя могут оштрафовать на сумму в 10 тысяч рублей, а компанию — на 30 тысяч. Если обработкой персональных данных будет заниматься новостной сайт без согласия своих подписчиков или интернет-магазин — без согласия клиентов, то руководителя компании или предпринимателя оштрафуют на сумму до 20 тысяч рублей, а юрлицо — до 75 тысяч рублей. Если нарушений будет несколько, тогда и количество штрафов будет равно количеству нарушений.


Кто виноват?

Согласно Федеральному закону «О персональных данных»«персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.»


Ответственность за нарушения нового закона несут на так называемые «операторы персональных данных».

Оператор персональных данных, согласно тому же закону — «государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.»


Все владельцы сайтов, на которых присутствует контактная форма — анкета, форма регистрации, обратной связи, подписки, или просто кнопка заказа обратного звонка, запрашивающая имя и контактный номер телефона — являются операторами персональных данных, и могут быть привлечены к ответственности за нарушения пунктов закона.

Вместе с тем, закон не распространяется на записывание и сохранение любой личной информации, которую планируется использовать для личных или семейных нужд. Телефонная книга в смартфоне или список контактов в клиенте электронной почты не сделают вас оператором персональных данных. Но, если Вы передадите эти данные лицу или организации, которая, согласно данному закону, является оператором персональных данных или опубликуете сведения, это будет считаться нарушением.


Что делать?

1. Подготовьте публичные документы о правилах и условиях обработки персональных данных и разместите их на сайте так, чтобы они были доступны с любой страницы вашего сайта. Это может быть уведомление, пользовательское соглашение, правила продажи или политика в отношении обработки персональных данных, важно не название, а содержание. Не копируйте документы других компаний без обработки. Их можно использовать в качестве шаблона, но список данных и цели их использования необходимо прописать свои.


Данные, которые могут потребоваться интернет-магазину для доставки товара, не понадобятся для оформления подписки на информационном сайте. Почему это важно - см. следующий пункт.



2. Приведите в соответствие с публичным документом сами контактные формы. Запрашивать нужно только те персональные данные, которые необходимы для каждой конкретной цели Вашего ресурса. Можно еще подписать, зачем просите эти данные, чтобы пользователям было комфортно их оставлять.


Запрос излишних данных может быть расценен как нарушение закона и стать поводом для штрафа.



3. Реализуйте программное решение, гарантирующее установление согласия пользователя на обработку персональных данных. Это может быть чек-бокс в форме регистрации, в котором необходимо поставить галочку, или кнопка согласия с условиями использования, без активации которых человек не сможет отправить сообщение или оформить заказ.


В случае, если персональные данные не предполагается публиковать, а только использовать для обработки внутри компании, необходимо явным образом ограничить возможность передачи Вам персональных данных без согласия на их обработку. Согласно закону, обязанность предоставить доказательство получения согласия на обработку персональных возлагается на оператора.



Важно! Перед получением персональных данных, которые предполагается публиковать в общедоступных источниках, либо передавать третьим лицам, необходимо получить письменное согласие у каждого посетителя, клиента или подписчика на их обработку, хранение и распространение.


4. Обезопасьте сохранность базы данных. Подготовьте внутренние документы, регламентирующие правила обработку и хранение персональных данных, ответственности сотрудников, имеющих к ним доступ, назначьте лицо, ответственное за безопасность персональных данных и соблюдение правил работы с ними, определенных Федеральным законом N152.


Даже в том случае, если ваш сайт обслуживается другой компанией или специалистом на аутсорсинге, штраф за нарушение данного закона будет выписан на компанию или ИП, которые указаны на сайте в качестве владельца и, следовательно, получателя персональных данных.



5. Отправьте, если сайт подпадает под требования Закона, уведомление в Роскомнадзор.


Уведомление можно не подавать, если:

  • обрабатываются только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и не будут распространяться и использоваться никак иначе;
  • у вас хранятся только ФИО клиента;
  • данные опубликованы в общем доступе самим человеком или кем либо по его поручению.


Если уверены, что отправка уведомления не требуется, оформите всю документацию так, чтобы это было понятно и возможным проверяющим. Укажите в пользовательском соглашении, что данные открыты для общего пользования по желанию пользователя, но помните, что доказывание этого факта закон возлагает на оператора, т.е. на вас.


По закону операторы персональных данных должны уведомить Роскомнадзор. Причем сделать это нужно до начала обработки данных или вскоре после начала осуществления данной деятельности. Роскомнадзор внесёт информацию об операторе в Реестр операторов персональных данных.


Кроме того, вы обязаны сообщать по запросу пользователя, какие у вас есть данные о нём, как и для чего они обрабатываются и кому вы их передавали, а также удалять данные по первому требованию лица, персональные данные которого хранятся в вашей базе.


Подготовить документы, опубликовать политику и уведомить РКН бесплатно можно здесь.


Дополнено 04.07.2017:


Мы получили комментарий от сотрудника Роскомнадзора:

"При проверке важно, чтобы у вас на сайте можно было подтвердить согласие на сбор и обработку данных — поле для галочки или какая-то другая форма, публичный документ о целях сбора, порядке обработки персональных данных и обеспечении их безопасности, и ссылка на этот документ на форме, где собираются ПД. Персональными данными мы считаем любую информацию, которую человек оставил на сайте, даже если она недействительна — никнейм, неверный номер телефона и т. д. Штрафы уже были, в основном, за отсутствие документов с политикой в отношении персональных данных или за ошибки в них."


Пример формы регистрации на сайте РИА Новости:

Как видим, подтверждения согласия пользователя на обработку ПД в виде чек-боксов или кнопок "согласен" нет. По ссылке можно перейти на страницу с политикой конфиденциальности, где указано, что пользователь дает это согласие, регистрируясь на сайте:


Другой пример сайта, где регистрационная форма обязывает пользователя вводить несколько типов персональных данных - Avito

Есть текст, уведомляющий пользователя, что при регистрации он принимает условия пользовательского соглашения, и ссылка на него.

Текст соглашения не содержит информации об обработке персональных данных, кроме указания, что пользователь делает свои данные общедоступными, размещая объявление на сайте.

Политика в области обработки и безопасности персональных данных на Avito размещается в разделе "Безопасность", ссылка доступна с любой страницы сайта.

Универсального совета нет. Для каждого сайта в зависимости от рода занятий — своя форма, поэтому лучше проконсультироваться в Роскомнадзоре.

Комментарии (10)
  03.07.2017 15:08
только стало интересно, как к середине начинается гон и советы про ответственность сотрудников, ответственное лицо и прочая ответственная ересь для ответственных людей которые занимаются не только онлайном, но и офлайном. просто и конкретно по существу можете привести в конце статьи шаблон страницы с информацией о контактных данных для физ. лица, владеющего сайтом
  03.07.2017 17:18
Прежде чем истерить, необходимо указать, что относится к ПД. Исходя из текста ч.1 ст.85 ТК РФ к данному виду информации относятся: ФИО; Данные о времени и месте рождения лица; Пол; Семейный статус; Место проживания; Образование, проф. знания и навыки; Должность; Получаемые заработки; Наличие в собственности имущества, ценностей, вкладов и т.д.; Склонности и привычки, в том числе негативные; Личные и деловые качества; Биографическая информация, в том числе, о предыдущей работе; Физическое состояние организма человека; Другие факты, дающие информацию о субъекте, установленные в Законе No 152 фз от 27.07.2006 о персональных данных и иных нормативных актах. В большинстве случаев при регистрации на сайте пользователей просят указать их имя, адрес электронной почты, логин – пароль, иногда телефон. Поэтому возникает вопрос: происходит ли сбор персональных данных при получении такой информации от пользователей? Однозначного ответа на вопрос нет - мнения специалистов в этой области расходятся. Часть высказывается за то, что адрес электронной почты и номер телефона относятся к персональным данным, потому что с их помощью можно определить лицо. Но глава Роскомнадзора Александр Жаров в одном из своих интервью высказался, что такие данные являются персональными только когда позволяют безошибочно идентифицировать личность, а отдельно взятый номер телефона или адрес электронной почты не являются персональными данными.
  03.07.2017 18:46
Согласен полностью.
Везде одна муть заумным языком и максимально "размылено" — как хочешь так и интерпретируй. Хоть бы кто привел примеры что можно а что нельзя. К примеру, сайт объявлений. Человек подает объявление и указывает свои Имя, Адрес и Телефон. Нужно ли тут что-то сочинять на сайте при этой поправке в законе?
  03.07.2017 18:47
«операторы персональных данных» «операторы персональных данных» «операторы персональных данных» «операторы персональных данных» Все параноики запомните вот эту фразу. Вы ими являетесь со своем Контакт форм 7 ? НЕТ. Не паранойте
  03.07.2017 20:25
ставь лайк если ты за удаление статьи
  04.07.2017 16:00
Есть сервис, который автоматизирует процесс генерации документов https://152фз.рф?p=136 Процесс прост, как вставка кода Яндекс Метрики.
  05.07.2017 04:53
У меня на сайте в комментариях пользователи часто оставляют просьбы, что разыскивают судьбу предков, оставляя вопрос: "Мой дед Иванов Иван Иванович из села Ивановка был репрессирован в те годы, никто не слыхал про его судьбу?" Будет это публикацией чужих персональных данных и нарушением "ё" закона?
  05.07.2017 07:48
Думаю, что нет, потому что данные третьего лица оставляет ваш пользователь, но он не является оператором персональных данных по закону.
  06.07.2017 21:24
Получается и миллионы лендингов тоже подпадают под эту статью, мол имя и телефон это персональные данные.
К данной записи нельзя добавлять комментарии т.к. она очень старая.

Подписка