Открыта регистрация на новый курс «Путь мечты»
Close
 
Бизнес

Работаем с персональными данными

За что владельцев сайтов смогут штрафовать
на сумму до 250 000 рублей.

Автор: Татьяна Благовидова, автор Womenbz
С 1 июля 2017 года значительно увеличатся штрафы за нарушение закона о персональных данных. В этой статье рассказываем, как закон касается владельцев сайтов/лендингов и как привести свое «онлайн-представительство» в соответствие с требованиями закона.
Предыстория
В начале апреля Тамбовский суд оштрафовал ООО «ТГЮК» за отсутствие согласия на обработку персональных данных в форме обратной связи на сайте. Об этом в соцсетях написал Александр Бородкин, директор по продукту Notamedia, клиентом которой и была компания, получившая штраф.
Вокруг этой темы в соцсетях тут же поднялась волна обсуждений. Несмотря на то, что закону N 152-фз «О персональных данных» уже более 10 лет и в него вносятся постоянные изменения, многие владельцы сайтов по-прежнему не знают о его существовании или просто не задумываются о выполнении требований. И если раньше штрафы были не столь крупными и редко назначались, то с 1 июля 2017 года все изменится:

— для владельцев сайтов общая сумма штрафов может доходить до 250 000 рублей;

— и самое главное: проводить проверки сайтов и составлять протоколы сможет Роскомнадзор без участия прокуратуры. Дело пойдет быстрее и почти наверняка закончится штрафом, — так говорят юристы.
Раньше конечный материал для суда формировала прокуратура. Теперь процедура не будет занимать много времени: если нарушения есть, специалисты Роскомнадзора составят протокол об административном нарушении и направят его в суд.

Это почти всегда означает, что штраф будет обязательно, так как в России любой материал по публичному обвинению (КоАП или УК РФ), попавший в суд, считается истинным: суды выносят приговоры почти не глядя.
Дмитрий Мачихин
Старший партнер юридической компании GMT Legal
Какими станут штрафы?
Если нарушений будет несколько, штрафы суммируются.
Кого касается закон
Речь идет о сайтах, на которых пользователь оставляет персональные данные: например, email — для получения рассылки; имя и номер телефона — для оформления заказа.
Персональные данные — любые данные о человеке,
по которым его можно идентифицировать.
Что делать?

1
Разместить политику конфиденциальности
Вы обязаны опубликовать на сайте документ, в котором объясняете посетителям, для чего вам их персональные данные, где и как будете их хранить, собираетесь ли передавать кому-то еще, какие обязательства берете на себя.

Документ может называться по-разному:

«Политика конфиденциальности», как у Google и многих других компаний.

«Политика в отношении обработки персональных данных», как у Ikea.

«Официальное уведомление», как у М-видео.

Есть и другие варианты. Название зависит только от желания компании.
Но самое важное: копировать чужой документ нельзя!
Его нужно разработать исключительно для вашего сайта, с учетом именно ваших целей сбора персональных данных и способов их обработки. Этот документ составляет или сам владелец сайта, или юрист.
Конечно, если владелец сайта сам разрабатывает документ, у него могут возникнуть некоторые сложности. Они связаны в основном с терминологией, которая не всегда понятна человеку без юридического образования. Необходимо сверяться с требованиями закона, а для этого закон нужно найти, прочитать, понять, что в нем написано, и сформулировать свой документ так, чтобы он был понятен пользователям сайта. Но все это реально.

Работа специалиста по составлению политики конфиденциальности может стоить от 5 000 до 15 000 рублей.
Екатерина Егорова
Юрист (партнер юридической компании «Максима Групп»)
Что должно быть в документе?
1. Вид информации, которую вы собираете
Она может быть персональной (та, которая помогает установить человека — это имя, адрес, номер телефона, данные кредитной карты и т. д.) и обезличенной (та, которая не относится к человеку — сведения о браузере, IP адресе, файлы cookie).
Google рассказывает об этом так:
«Информацию мы берем из следующих источников:

— Информация от пользователей. Чтобы использовать многие наши службы, необходимо иметь аккаунт Google. При его создании мы запрашиваем у вас персональные данные, например имя, адрес электронной почты, номер телефона или реквизиты кредитной карты, и сохраняем их в вашем аккаунте. Тех, кто желает задействовать все возможности совместного доступа, мы также просим создать общедоступный профиль Google, в котором можно указать свое имя и добавить фотографию.

— Информация, которую мы получаем в результате использования вами сервисов. Мы собираем информацию о том, как и какие сервисы вы используете. Это происходит, когда вы, например, смотрите видео на YouTube, посещаете веб-сайты, которые используют наши рекламные сервисы, или просматриваете или взаимодействуете с нашими рекламными объявлениями либо контентом».
2. Цели обработки
Расскажите, зачем вам нужны данные.
М-видео рассказывает об этом так:
«Эти данные могут быть использованы в маркетинговых целях, для сообщения вам о вашей победе в конкурсе и выигранных вами призах; для рассылки вам новостей и информации об акциях, новинках и услугах М.Видео; для персонализации сайта на основе вашей истории поиска и просмотров.

Во время регистрации вам будет предложено выбрать, хотите ли вы получать такую информацию.

При вашем согласии на получение отдельных видов рассылок установлены следующие интервалы их получения:

  • Новости М.Видео – не чаще двух раз в неделю
  • Новости М.Видео-Бонус – не чаще одного раза в две недели
  • Новинки М.Видео – не чаще одного раза в неделю
  • Акции М.Видео – не чаще одного раза в неделю
  • Товар дня – не чаще одного раза в день
Полученные данные в обезличенном виде могут быть использованы для лучшего понимания потребностей покупателей компании М.Видео и улучшения качества обслуживания».
3. Распространение персональных данных
Кому вы передадите полученные сведения? Например, службе доставки. Или своим партнерам.
Womenbz рассказывает об этом так:
«Пользователь соглашается с тем, что Администрация сайта вправе передавать персональные данные третьим лицам, в частности, курьерским службам, организациями почтовой связи, операторам электросвязи, исключительно в целях выполнения заказа Пользователя, оформленного в проектах Womenbz и его внутренних страницах, включая доставку Товара».
4. Срок хранения полученной информации
Поясните, как долго вы собираетесь хранить эти данные. Например, только на период обработки поступившего заказа. Или будете рассылать время от времени информацию о новостях, акциях и событиях.
Ikea рассказывает об этом так:
«Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом».
5. Алгоритм отказа
Вы должны рассказать пользователю о возможности потребовать внести изменения или вовсе удалить его персональные данные. Нужно указать, КАК ему это сделать.
М-видео рассказывает это так:
«Вы можете в любое время попросить нас изменить или аннулировать ваши персональные данные в некоторых или во всех наших списках для рассылки.

Во всех письмах, отправляемых вам, содержится ссылка для перехода в Личный кабинет на сайте М.Видео (пользователи, зарегистрированные в интернет-магазине) или на сайте М.Видео Бонус (пользователи программы лояльности).

Для отмены отдельных или всех подписок пройдите по данной ссылке, авторизуйтесь с использованием ваших учетных данных (логин и пароль для сайта М.Видео; идентификатор бонусной карты и дата рождения для сайта М.Видео Бонус) и совершите следующие действия...»

2
Получить согласие пользователя
Чтобы работать с персональными данными на законных основаниях, вам необходимо получить письменное согласие человека с вашей политикой конфиденциальности (или другим соответствующим документом). Для этого под каждой формой ввода данных на сайтах и в мобильных приложениях (форма регистрации, заявки, обратной связи и т.д.) нужно попросить пользователя поставить «галочку»: «Я согласен с политикой конфиденциальности сайта» или «Я даю согласие на обработку персональных данных».
Такой «галочки», конечно, может и не быть. Уже само использование сайта может расцениваться как согласие пользователя. Но только в том случае, если соответствующий пункт внесен в Политику конфиденциальности. Например, так:

«Использование Пользователем сайта означает согласие с настоящей Политикой конфиденциальности и условиями обработки персональных данных Пользователя. В случае несогласия с условиями Политики конфиденциальности Пользователь должен прекратить использование портала».

В законе такого четко прописанного положения нет. Это вытекает из существа договорных отношений. Человек заходит на сайт, где установлены и прописаны определенные правила, знакомится с ними, и если они его не устраивают, он должен этот сайт покинуть. Если пользователь не согласен и при этом не покинул ресурс, то владелец сайта уже не несет ответственности за действия пользователя.

Но для собственного успокоения все же лучше сделать «галочку согласия» на каждой форме сбора данных.
Екатерина Егорова
Юрист (партнер юридической компании «Максима Групп»)

3
Уведомить Роскомнадзор
Компания, которая намерена получать персональные данные через свой сайт и как-то их использовать, обязана уведомить Роскомнадзор о своей деятельности. Но есть ряд исключений, когда уведомлять не нужно:

  • Если вы обрабатываете персональные данные сотрудников (по трудовому договору).

  • Если вы собираетесь использовать данные только для исполнения одного договора.
Пример: компания заключает с клиентом договор (любой — например, купли-продажи) и использует его данные только для того, чтобы исполнить этот договор (например, доставить товар). Заказ выполнен, персональные данные больше не используются.
Но! Если вы намерены сохранить этот адрес у себя (например, чтобы пользователь при новых заказах в вашем интернет-магазине не вводил его заново), уведомить Роскомнадзор все же придется.

  • Если человек сам сделал свои данные общедоступными — ранее разместил в публичном доступе.
Пример: пользователь написал в газетном объявлении номер телефона или email — вы можете позвонить или отправить ему электронное письмо. Или он указал на своей странице в социальной сети семейное положение и образование — вы можете передать эту информацию третьим лицам. И так далее.
  • Если вы запрашиваете только фамилию, имя, отчество посетителя.
Пример: вы просите пользователя ответить на ряд вопросов о качестве товара — для этого ему нужно заполнить анкету, указав лишь ФИО.
Если владелец сайта не уведомил Роскомнадзор с самого начала, то лучше это сделать позже. За пропуск срока уведомления штрафа не предусмотрено, а вот если на сайт нагрянет проверка, то штрафа уже, возможно, не избежать: штраф за неуведомление для ИП — до 500 рублей, для юрлиц — до 5 000 рублей.
Екатерина Егорова
Юрист (партнер юридической компании «Максима Групп»)
Как подать уведомление в Роскомнадзор.

1. Заполнить уведомление в электронной форме.

2. Сформированный сайтом бумажный вариант направить в территориальный отдел Роскомнадзора. В каждой области действует свой территориальный орган Роскомнадзора.
Узнать контактные данные можно на сайте.

4
Хранить данные в безопасном месте
Если вы собираете персональные данные и какое-то время храните их, вы должны поместить их в такое место, где они будут защищены от кражи. Наказание за небезопасное хранение данных тоже есть. Оно включено в ту же статью 13.11 КоАП РФ, которая предусматривает ответственность за любые нарушения закона о персональных данных. Штраф для юрлиц может быть до 10 000 рублей.

Меры, которые помогут сохранить информацию, владелец сайта выбирает сам.
Вот что может сделать владелец сайта:

— Установить на сайте программы, которые защитят его от вирусных атак и взломов. О них он может узнать у IT-компании, которая обслуживает сайт.

— Объяснить своим сотрудникам, что персональные данные не подлежат разглашению, рассказать о требованиях законодательства.

— Если владелец сайта хранит сведения на собственном сервере, он должен обеспечить безопасность помещения, чтобы в него не проникли посторонние лица. Он может усилить охрану, установить сигнализацию, видеонаблюдение, пожарную сигнализацию.
Екатерина Егорова
Юрист (партнер юридической компании «Максима Групп»)
В законе сказано, что персональные данные граждан России должны храниться на серверах, расположенных на территории РФ. Правда, есть исключения: например, размещать личные сведения на иностранных серверах можно научным, журналистским и творческим сайтам.

Вы можете узнать у хостинговой компании, которая обслуживает ваш сайт, где находятся сервера с вашими данными. А если сомневаетесь в правильности выбора мест для хранения, обратитесь за помощью в Роскомнадзор.
Подведем итог
Юристы уверены, что, когда поправки вступят в силу (а это произойдет уже 1 июля 2017 года), проверки коснутся всех сайтов-операторов персональных данных. Поэтому проверьте, все ли требования закона соблюдены в вашем случае, и приведите сайты в порядок:

1. Разместите политику конфиденциальности.
2. Не забудьте добавить «галочку» согласия на обработку персональных данных.
3. Уведомьте Роскомнадзор, если в вашем случае это необходимо.
4. Правильно храните персональные данные.
Напишите ваш комментарий
Мы используем cookies и другие метаданные, чтобы обеспечить наилучшее функционирование сайта.
Хорошо
Close