С 1 июля вступают в силу изменения в ФЗ № 152 «О персональных данных», которые включают в себя расширение перечня оснований для привлечения организаций к административной ответственности в области защиты персональных данных, а также увеличение размеров административных штрафов.
В законе вместо единственного вида административной ответственности появится семь видов правонарушений, а сумма штрафов за одно правонарушение с 10 000 руб возрастает до 75 000 руб. (для юридических лиц). При этом привлекать к ответственности могут по разным составам правонарушений и, соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.
В этой статье мы расскажем подробнее о новых видах правонарушений, штрафах и о том, как их избежать.
Кого коснутся изменения
Операторов персональных данных, то есть любые организации и физ. лица, которые осуществляют обработку (сбор, хранение, использование, передачу и тд) персональных данных, например, через веб-сайт.
К операторам персональных данных относятся владельцы сайтов, которые собирают персональные данные, например, в виде заявки на сайте с именем и номером телефона, электронные адреса для рассылки, данные для регистрации в сервисе и т.д.
Какая информация относится к персональным данным
«Под персональными данными можно понимать любую информацию, прямо или косвенно относящуюся к определенному физическому лицу (субъекту персональных данных) – пункт 1 статьи 3 Федерального закона от 27 июля 2006 № 152-ФЗ “О персональных данных».
Примерами такой информации могут быть фамилия, имя, отчество, дата и место рождения, место проживания, email, телефон, ссылки на профиль в соцсетях и тд.
Сбор персональных данных на сайте
В соответствии с законом “О персональных данных”, любая организация, осуществляющая сбор персональных данных в Интернете обязана опубликовать на сайте документ, определяющий её политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу. (п. 2 ст. 18.1 № 152-ФЗ.)
Таким образом, во всех формах и заявках на сайте должно находится поле со ссылками на такие документы, как «Политика обработки персональных данных», «Положение об обработке персональных данных» и т.п.
Также ссылки на данные документы должны всегда находится в неограниченном доступе на сайте.
Невыполнение оператором обязанности по публикации или предоставлению неограниченного доступа к документу с политикой по обработке персональных данных или сведениями по их защите влечет наложение административного штрафа:
- на граждан — от 700 до 1500 руб.;
- на должностных лиц (например, директора или главбуха) — от 3000 до 6000 руб.;
- на индивидуальных предпринимателей — от 5000 до 10 000 руб.;
- на организации — от 15 000 до 30 000 руб.
Что необходимо сделать, чтобы избежать штрафов:
Перечень требований как для юридических лиц и ИП, так и физ. лиц прописаны в 152-ФЗ. Необходимо, чтобы на вашем сайте были соблюдены следующие условия:
- Под каждой формой сбора данных на сайте необходимо разместить текст «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных» с обязательной ссылкой на документы — Пользовательское соглашение, договор или согласие на обработку персональных данных. Текст самого документа можно разместить на отдельной странице.
В форме обратного звонка Calltouch мы реализовали возможность добавить в виджет строчку «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных» с указанием ссылки на соглашение об обработке персональных данных.
Гиперссылка «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных» в виджете обратного звонка будет стоять по умолчанию. В настройках обратного звонка необходимо только разместить ссылку на текст соглашения об обработке персональных данных.
Также в настройках обратного звонка мы разместили образец соглашения об обработке персональных данных. Ссылка на образец
Данный документ необходимо разместить на сайте в общем доступе. Ссылка на политику организации в отношении обработки персональных данных на сайте должна находится в постоянном доступе на сайте, например, в подвале.
Обязательная информация в документе (в соответствии ч. 4 ст. 9 ФЗ «О персональных данных»)
- наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- все цели обработки персональных данных;
- перечень персональных данных, которые в целом обрабатывает организация, включая описание персональных данных сотрудников и кандидатов на вакантную должность;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
Также нужно указать информацию о том, как физическое лицо может отозвать свое согласие на обработку персональных данных (ч.2 ст. 9 152-ФЗ «О персональных данных»).
Другие требования закона для владельцев сайта
- Если вы собираете метаданные пользователя (cookie, данные об IP-адресе и местоположении) для функционирования сайта необходимо показывать всем новым пользователям сайта предупреждение с текстом.
- Подать уведомление, чтобы внести организацию в реестр операторов персональных данных Роскомнадзора — можно сделать через сайт Роскомнадзора.
Мы попросили эксперта по информационной безопасности, руководителя проекта Б-152, Максима Лагутина, дать основные рекомендации по подготовке уведомления:
- Указывайте реальные цели обработки персональных данных по всем категориям физических лиц (пользователи сайта, покупатели, работники, близкие родственники работников, кандидаты на вакантную должность и тд). Используйте четкие формулировки целей, чтобы нельзя было их трактовать по-разному. Иначе Роскомнадзор может трактовать их иначе и предположить, что часть данных обрабатывается незаконно или они являются избыточными по отношению к целям обработки.
- В перечне информационных систем указывайте обезличенно все системы, в которых в организации могут обрабатываться персональные данные (сайт, 1С, CRM и другое). При проверке это может быть важно.
- Не указывайте трансграничную передачу персональных данных, если по факту вы ее не используете.
- В полях, где нужно указать контакты лица, ответственного за организацию обработки персональных данных, указывайте общий телефон компании, ни в коем случае не ставьте реальный мобильный ответственного.
Обратите внимание, что подготовки согласий для сайта, политики и подачи уведомления недостаточно, чтобы полностью исключить риск. Кроме этого требуется разработать некоторые внутренние документы. И крайне желательно, чтобы процесс изменений контролировал специалист. В связи с этим мы рекомендуем вам обратиться к профессионалам для комплексной подготовки к новому законодательству.
Сквозная аналитика
- Автоматически собирайте данные с рекламных площадок, сервисов и CRM в удобные отчеты
- Анализируйте воронку продаж от показов до ROI
- Настройте интеграции c CRM и другими сервисами: более 50 готовых решений
- Оптимизируйте свой маркетинг с помощью подробных отчетов: дашборды, графики, диаграммы
- Кастомизируйте таблицы, добавляйте свои метрики. Стройте отчеты моментально за любые периоды
С этими законами лишь что придумать, раньше работали без всяких этих персональных данных и не заморачивались. А теперь плясать приходится. Хорошо хоть на stepFORM через который формы создал настройка есть и можно соглашение вывести.