Разбираем требования закона 152-ФЗ «О персональных данных»

С 1 июля 2017 года вступили в силу изменения в 152-ФЗ «О персональных данных» и статью КоАП 13.11., которые устанавливают значительную ответственность за незаконную обработку персональных данных.

Чем это грозит владельцам сайтов?

Если на вашем сайте есть форма обратной связи (заявка на услугу, товар, обратный звонок, заказ, покупка товара, размещение отзыва и т. д.) или же вы каким-то другим способом собираете данные посетителей, то вы являетесь оператором обработки персональных данных, а значит, должны быть зарегистрированы в соответствующем реестре Роскомнадзора.

На самом сайте обязательно должна быть размещена Политика конфиденциальности и информация о том, что вы обрабатываете персональные данные, какие и как именно.

Штрафы за нарушения закона внушительные — например, отсутствие на сайте политике конфиденциальности грозит штрафом в 10 тысяч рублей для ИП, а для юридического лица — в размере 30 тысяч рублей. Обработка персональных данных без согласия посетителя влечет за собой штраф на сумму до 20 тысяч рублей для ИП или руководителя организации, а для юрлица — до 75 тысяч рублей. Причем каждое нарушение будет облагаться отдельным штрафом, заплатить один раз за несколько ошибок не получится.

А что вообще относится к персональным данным?

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

Списка конкретных данных, относящихся к персональным, не приводится, а исходя из определения даже информация о местоположении и IP-адресе без указания ФИО может считаться таковой.

В частности, обратившись в Роскомнадзор с вопросом, что относится к персональным данным, мы получили следующий ответ:

«Исходя из позиции судов, к персональным данным относятся данные о поведении пользователя на сайте, cookie, сведения о геопозиции и IP-адрес. Если в обратной связи есть любое поле (имя, пользовательские данные или иное), то вместе с автоматически передаваемыми cookie и другими метаданными — это персональные данные.»

Таким образом, есть вероятность, что даже наличие на сайте систем аналитики может подпадать под 152-ФЗ.

Вообще, разные суды могут вынести противоположные решения по одному и тому же вопросу, поэтому единственный способ точно избежать проблем — привести сайт в соответствие закону.

Что интересно — никакой проверки или подтверждения, что данные относятся к конкретному физическому лицу, не требуется, так что даже если они вымышленные или ошибочные, от обязанностей по обработке персональных данных это не избавляет.

Отметим отдельно:

Не все разработчики сайтов знают 152-ФЗ или знают поверхностно, а потому допускают множество ошибок, не выполняя все требования. Таким образом, из-за некомпетентности на их клиентов будет наложен штраф.

Если подрядчик, с которым вы работаете, разбирается в теме, то он, скорее всего, сам предложит вам внести необходимые изменения на сайт.

Так что же делать?

1. Разработайте документ о правилах и условиях обработки персональных данных и разместите на сайте так, чтобы он был доступен из любого раздела. Обычно делают ссылку в футере сайта, который отображается на каждой странице.
   Перечислите в нём список данных и цели их использования. Впишите только те данные, которые вам необходимы — у информационного портала и интернет-магазина, к примеру, этот список отличается.
2. В соответствии со списком сделайте поля в формах и укажите, для чего вам нужны данные — тогда к вам возникнет меньше вопросов. Лишние данные — повод для проверки или штрафа.
3. Поставьте задачу программистам, чтобы данные отправлялись только при подтверждении человеком своего согласия на обработку. Чаще всего делается чек-бокс с пояснением и ссылкой на правила обработки, а отправка сообщения возможна только при поставленной галочке.
4. Ограничьте доступ. Подготовьте внутренние документы с описанием порядка обработки и хранения персональных данных, назначьте ответственного за соблюдение правил, укажите сотрудников, которые имеют доступ к данным и их ответственность за нарушения регламента.
5. Если цель обработки персональных данных выполнена, их следует удалить.
6. Отправьте в Роскомнадзор уведомление о включении вас в реестр операторов обработки персональных данных.

Вы можете не уведомлять Роскомнадзор, если:

• обрабатываются только персональные данные сотрудников;
• они нужны только для исполнения договора, не будут передаваться или использоваться иным образом;
• данные опубликованы в общем доступе самим пользователем или по его поручению (но при проверке вам понадобится доказать, что данные открыты с его согласия).

Любой пользователь может запросить, какие сведения о нём у вас хранятся и как обрабатываются, кому вы их передавали. По требованию вы обязаны удалить все данные о нём.