Инструкция: как уберечь компанию от штрафов по закону о персональных данных
Рекомендации от юриста, основателя сервиса по защите интернет-бизнеса E-docs Анара Костенко.
Роскомнадзор продолжает свою деятельность по «спасению» интернета, и на этот раз под прицелом оказались почти все владельцы сайтов. С 1 июля 2017 года в силу вступают новые изменения в Кодексе об административных правонарушениях (КоАП), которые ужесточат санкции по отношению ко всем лицам, собирающим персональные данные. Теперь штрафы будут достигать 295 тысяч рублей.
Чем это грозит владельцам сайтов
Начать стоит с разъяснения того, что такое персональные данные. В первую очередь под эту категорию попадают электронная почта, имя, фамилия и номер телефона. А с недавних пор Роскомнадзор начал относить к персональным данным адрес места жительства, IP и даже сведения, получаемые при помощи cookies.
Так, если ваш сайт собирает такую информацию, то Роскомнадзор автоматически относит вас к операторам персональных данных. То есть вы обязаны уведомить ведомство о наличии специальной документации, которая регламентирует вашу деятельность. А теперь подумайте, много ли осталось сайтов, в которых нет личного кабинета или формы сбора информации?
Неужели начнут штрафовать?
Штрафовали и раньше. Один из самых интересных кейсов произошел в октябре 2016 года, когда Тамбовская городская юридическая компания была оштрафована за сбор персональных данных. Уже тогда суд занял позицию Роскомнадзора, приравнял электронную почту и номер телефона к персональным данным и обязал компанию выплатить административный штраф в размере 1 тысячи рублей.
Да, всё верно, одна тысяча. И если раньше нарушители выплачивали не больше 10 тысяч, то с 1 июля штрафы смогут достигать 295 тысяч рублей для юридических лиц и 75 тысяч рублей — для физических лиц.
Что может послужить основанием для проверки сайта
Существуют два ключевых основания: жалоба и проведение плановых проверок. Согласно данным Роскомнадзора, по сравнению с 2013 годом количество жалоб выросло практически на 60% — c 10 016 обращений до 33 814. Стоит учитывать, что никто не застрахован от жалобы со стороны конкурентов. Растет и количество проводимых проверок: если в 2013 году их было 743, то в 2016 году — уже 2053.
Какие еще могут быть последствия
Помимо вышеупомянутых штрафов, сайт будет внесен в «Реестр нарушителей прав субъектов персональных данных», что грозит повышенным вниманием со стороны Роскомнадзора. Также следует приготовиться к проверкам документов о порядке обработки персональных данных, даже если вы внесены в «Единый реестр субъектов малого и среднего предпринимательства».
Как защитить себя от штрафов
К счастью, если все персональные данные вы получаете через сайт, то можете защитить себя от большинства штрафов и претензий самостоятельно. Чтобы сделать сбор персональных данных полностью легальным, достаточно выполнить ряд действий:
Как правильно составить политику конфиденциальности
- Укажите термины. В политике обработки персональных данных нужно сразу обозначить понятия, которые вы будете использовать: администрация сайта, пользователь, персональные данные, обработка персональных данных, конфиденциальность персональных данных, cookies, IP-адрес.
- Перечислите категории персональных данных, которые вы собираете и обрабатываете (имя, электронная почта, номер телефона и так далее). Учитывайте все категории персональных данных, которые будете собирать и использовать.
- Укажите цели сбора персональных данных. Основная цель — выполнение условий договора с пользователем, а также предоставление доступа к функциональности сайта.
- Установите условия обработки персональных данных. Укажите сроки обработки, порядок охраны и основные нормативные акты, на основе которых составлен режим обработки персональных данных.
- Предоставьте пользователям возможность удалить свои персональные данные при обращении. Опишите порядок предоставления такой возможности и способ связи с оператором персональных данных.
- Укажите меры по защите персональных данных. Это может быть шифрование, установка паролей, хранение в защищенных местах и другие способы защиты информации.
- Добавьте дополнительную информацию. Например, порядок изменения условий политики и разрешения споров.
Ознакомиться с шаблоном политики можно здесь.
Как заполнить и подать уведомление в Роскомнадзор
Уведомление об обработке персональных данных направляется в территориальный орган Роскомнадзора в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.
Перед отправкой уведомления советую проверить полноту и правильность его заполнения. Уведомление должно содержать следующую информацию:
Для подачи уведомления нужно:
- Перейти по ссылке на сайт Роскомнадзора и заполнить форму.
- После заполнения отправить форму, нажав на соответствующую кнопку на сайте. Одновременно с отправкой вы получите форму для печати.
- Распечатать форму в двух экземплярах. Формы должны быть подписаны руководителем организации.
- Отправить подписанный бумажный вариант формы в территориальный орган РКН по месту регистрации (по почте или лично).
- Дождаться ответа от Роскомнадзора по почте (как правило, занимает не больше месяца). Также можно узнать о статусе заявки по телефону или с помощью специального сервиса на сайте Роскомнадзора.
vc.ru
Персональные данные – 2018: как избежать штрафов
Письмо-предупреждение Роскомнадзора о нарушении положений Федерального закона от 27.07.2006 № 152-ФЗ к вам не придет, если вы берете согласие на обработку персональных данных, правильно составили Политику обработки персональных данных и предусмотрели другие важные детали.
Что изменилось с 1 июля 2017 года
1 июля 2017 года вступил в силу Федеральный закон от 07.02.2017 № 13-ФЗ, который внес поправки в ст. 13.11 КоАП. В частности, он расширил перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПДн) и увеличил штрафы.
Персональные данные: штрафы
Обратите внимание: именно такое основание, как обработка ПДн без получения согласия их субъекта, предусматривает самые крупные штрафы для всех категорий нарушителей — до 75 000 руб.
В связи с этим возникает много вопросов, наиболее часто задаваемые:
Давайте разбираться со всеми вопросами по порядку.
Как понять, являетесь ли вы оператором персональных данных?
В Федеральном законе № 152-ФЗ дается определение трем ключевым понятиям, вокруг которых часто и возникают различные вопросы: персональные данные, оператор и обработка персональных данных.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПДн относятся:
Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.
Федеральный закон № 152-ФЗ делит операторов на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.
Каждая категория операторов так или иначе сталкивается с обработкой ПДн. Физлица используют ПДн клиентов. ИП запрашивают эти данные, нанимая работников, или собирают ПДн на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПДн. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПДн граждан.
Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора
Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПДн, то под каждую из них нужно поставить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.
Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПДн. Это может быть как пользовательское соглашение, согласие на обработку ПДн, так и договор, политика конфиденциальности, так и часть оферты — название не столь принципиально. На сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите в этом заявлении внимание на пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПДн располагается прямо с формой регистрации, при этом ссылка ведет на Политику конфиденциальности компании.
Шаг 3. Подготовьте текст документа с условиями обработки ПДн. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):
Обратите внимание! Если вы составляете пользовательское соглашение на основе чьего-то готового документа, то корректируйте цели обработки данных и перечень данных под себя, свой бизнес.
Шаг 4. Подготовьте документ под названием Политика в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите его на сайте в свободном доступе. Посмотрите, как это сделал тот же Microsoft. Подробнее о шести важных компонентах, которые необходимо включить в этот документ, читайте в статье «Политика обработки персональных данных: как составить документ»
Шаг 5. Подайте уведомление об обработке ПДн в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПДн. Но лучше поздно, чем никогда. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПДн.
Случаи, когда уведомление Роскомнадзора не требуется
При обработке ПДн, если они:
Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.
В каких случаях операторы не должны обеспечивать конфиденциальность персональных данных?
В соответствии с ч. 2 ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ обеспечения конфиденциальности персональных данных не требуется:
Когда для обработки персональных данных не нужно согласие субъекта персональных данных?
Согласно ч. 2 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных:
1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
1.1) необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
Портал персональных данных — что это такое?
В проекте программы «Цифровая экономика» говорится о планах по созданию специального портала персональных данных к 2019 году. Эта мера необходима для решения проблемы неконтролируемого сбора ПДн . Ответственность за ресурс будет возложена на Роскомнадзор.
Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152
Предполагается, что портал персональных данных позволит пользователям узнавать, кому они давали разрешение на обработку ПДн, и запрещать их дальнейшее использование. Чтобы получить доступ к такой информации, им нужно будет просто авторизоваться на сайте.
Чтобы узнавать о самых важных изменениях, касающихся бизнеса, присоединяйтесь к нашему каналу в Telegram!
Более детальная информация об обработке персональных данных — в материалах наших экспертов:
kontur.ru
Персональные данные: информация для владельцев интернет-магазинов
Нам поступает большое количество вопросов и обращений в связи с тем, что с 1 июля 2017 года повышается административная ответственность за нарушение порядка работы с персональными данными. Поэтому мы решили подробно рассказать вам о том:
Государство не перестает подкидывать бизнесу задачи для нескучной жизни, что, конечно, не является новостью, а скорее правилами игры. Тенденция на урегулирование и контроль со стороны государственных органов всего, что относится к информации о физических лицах, сохраняется. В этом наша страна двигается параллельно европейскому законодательству, где давно работает защита персональных данных, что, в принципе, само по себе неплохо.
Самое главное, что нужно понять: даже если вы относитесь к операторам персональных данных, то с этим можно спокойно жить и продолжать работать в этом статусе при соблюдении нескольких условий:
Ниже мы расскажем подробности и что нужно делать сайтам и интернет-магазинам, чтобы работать дальше в нормальном режиме, когда можно не уведомлять Роскомнадзор об обработке персональных данных и дадим конкретные варианты шагов и готовые шаблоны документов.
Советуем не нарушать законодательство, не увеличивать риски для вашего бизнеса и все-таки соблюсти все нужные процедуры для операторов персональных данных, если вы понимаете, что есть совпадение хотя бы по нескольким пунктам, относящим сведения о ваших клиентах к персональным данным.
Современный маркетинг и успешная работа в интернет-бизнесе невозможны без сбора сведений о клиенте, его поведении и предпочтениях. Без этого не стоит рассчитывать на долгосрочный прибыльный интернет-проект. Поэтому, чтобы сайтам и интернет-магазинам спокойно работать после 1 июля, необходимо сделать несколько шагов, о которых пойдет речь ниже.
Какие данные считаются персональными?
Итак, какие сведения относятся к персональным данным в терминах Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных»?
Это — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). То есть персональные данные – это любые сведения о человеке, по которым можно его идентифицировать.
Закон не содержит полного и исключительного перечня таких сведений, отнесение данных к персональным и определение своего статуса (оператор или не оператор персональных данных) отдано на откуп владельцам сайтов. Никакой проверки того, что данные относятся к конкретному физическому лицу закон не предусматривает. Поэтому получается, что владелец сайта фактически не знает вымышленные или нет данные ввел клиент, но от обязанностей по обработке персональных данных это его не освобождает. И еще, нельзя забывать, что за нарушение норм Закона о персональных данных Роскомнадзор может привлечь к ответственности.
Судебная практика по этому вопросу разная, но тенденция прослеживается и она совпадает с разъяснениями Роскомнадзора относительного того, что относится к персональным данным:
На практике возникает множество вопросов: сайты при регистрации просят указать имя, электронную почту, иногда телефон (некоторые из этих полей могут быть необязательными*). Происходит ли сбор персональных данных при получении такой информации от пользователей? Однозначного ответа на вопрос нет — мнения специалистов в этой области расходятся. Часть высказывается за то, что адрес электронной почты и номер телефона относятся к персональным данным, потому что с их помощью можно определить лицо. Другие говорят, что эти данные являются персональными только когда позволяют безошибочно идентифицировать человека, а отдельно взятый номер телефона или адрес электронной почты не являются персональными данными. Судебная и административная практика склоняются к отнесению номера телефона к персональным данным, так как именно обладатель номера имеет право на распоряжение информацией о нем (например, разрешать использовать номер для рассылки по нему какой-либо информации). Пока без ясного ответа остается вопрос — относится ли к персональным данным адрес электронной почты, из которого видны имя, фамилия и место работы человека. Скорее да, чем нет.
Относитесь ли вы к операторам персональных данных или нет?
Вы являетесь оператором персональных данных, если:
Определить ваш статус (являетесь ли оператором персональных данных или нет) вам нужно самостоятельно исходя из вашей конкретной ситуации, настроек сайта, интернет-магазина, программных и технических средств, которые у вас установлены.
Вы не являетесь оператором персональных данных, если никаким образом не получаете, не храните и не обрабатываете вышеуказанную информацию в любом ее сочетании.
Что делать интернет-магазину – оператору персональных данных чтобы избежать проблем?
Есть и хорошие новости: 1. В соответствии с пунктом 5 части 1 статьи 6 Закона «О персональных данных» допускается обработка персональных данных без согласия субъекта персональных данных, если она необходима для исполнения договора, стороной которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
2. Также оператор вправе без уведомления Роскомнадзора осуществлять обработку ПДн, полученных в связи с заключением договора, стороной которого является субъект ПДн (пп.2 п.2 ст.22 №152-ФЗ от 27.07.2006г. «О персональных данных»).
Для того, чтобы это применить на практике, нужно, чтобы обработке ПДн предшествовало заключение договора с покупателем или начало его оформления. В реальности при регистрации или оформлении заказа покупатель оставляет на сайте персональные данные (то, что Роскомнадзор относит адрес, ФИО, телефон и е-mail к персональным данным, ведомство давно обозначило). Получается, что такие ПДн обрабатываются на стороне интернет-магазина до заключения договора.
Поэтому владельцу магазина для того, чтобы сослаться на положения закона, которые его освобождают от:
желательно сделать следующее – разделить публичную оферту на 3 документа:
Политика конфиденциальности должна включать следующие положения:
То есть все просто и логично: под каждое действие физлица свой договор и условия обработки его ПДн.
Если все-таки сбор ПДн происходит до заключения договора или у вас есть сомнения в какой момент происходи сбор ПДн (а эти нюансы важны в спорах с Роскомнадзором), то владельцу интернет-магазина и сайта нужно сделать следующее, чтобы не получить штраф:
Под каждой формой ввода данных на сайтах и в мобильных приложениях (форма регистрации, заявки, обратной связи и т.д.) разместить текст «Нажимая на кнопку «УКАЗАТЬ НАЗВАНИЕ КНОПКИ», я даю свое согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на сам документ. Смысл в том, чтобы пользователь не мог отправить свои персональные данные без согласия на их обработку. В согласие нужно включить условия, которые установила часть 4 статьи 9 Закона о персональных данных. Например, наименование и адрес оператора, который получает согласие; цель обработки персональных данных; их перечень.
Что еще рекомендуется сделать, чтобы быть спокойными, что требования Закона о персональных данных выполнены?
1. Сайт и хостинг должны находиться на территории РФ. На этот счет беспокоиться не нужно, серверы InSales находятся в нашей стране, это уже давно реализовано.
2. На сайте указать e-mail, по которому физическое лицо может написать — обратиться с требованием об изменении, удалении его ПДн и задать любые вопросы по его ПДн. Желательно, чтобы это был не общий почтовый ящик типа info, pochta, pishitepisma и т.п., а выделенный специально для этого адрес, куда будут приходить письма только по тематике ПДн (так меньше вероятность того, что они потеряются в общей куче, не попадут в СПАМ и вы не отследите ответы по ним).
Чем мы можем помочь нашим клиентам, чтобы вы могли привести свои сайты в соответствие с новыми правилами?
По ссылкам ниже вы можете скачать образцы документов для сайта:
Что меняется в законодательстве? Ответственность и штрафы.
С 1 июля 2017 г. увеличиваются административные штрафы за нарушение порядка работы с персональными данными (регулирует этот порядок Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных», а Кодекс об административных правонарушениях содержит санкции за нарушение работы с данными). До 1 июля 2017г. статья 13.11 КоАП РФ состоит из одного общего состава и предусматривает ответственность для лица, которое с нарушением закона:
С 1 июля 2017 г. статья 13.11 КоАП РФ будет включать в себя семь составов правонарушения. Максимальный штраф – 75 тыс. рублей.
1) Если вы обрабатываете персональные данные в случаях, которые не предусмотрел Закон о персональных данных или происходит обработка этих данных, несовместимая с целями сбора персональных данных. К примеру, интернет-магазин запрашивает избыточную информацию о клиенте – требует скан-копию паспорта, водительских прав, свидетельства ИНН. Или гражданин указал электронную почту для покупки в интернет-магазине, а магазин воспользовался адресом и рассылает СПАМ.Ответственность – предупреждение или штраф:
К ответственности по этому «легкому» пункту привлекут в случаях, когда действия не подпадают под часть 2 статьи 13.11 КоАП или не образуют состав уголовного преступления (ст.137 или ст.272 УК РФ). Чтобы избежать ответственности нужно:
2) Если вы обрабатываете персональные данные без письменного согласия лица, когда такое согласие требует закон (к примеру, собирает и хранит специальные персональные данные – информацию о здоровье, политических взглядах, вероисповедании)или обрабатываете персональные данные с нарушением требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных (как вариант — не указал третьих лиц, которым будут переданы персональные данные). Ответственность – штраф:
3) Если у вас не опубликовано на сайте или по-другому не обеспечен неограниченный доступ:-к документу, который определяет политику оператора в отношении обработки персональных данных, или-к сведениям о реализуемых требованиях к защите персональных данных. Ответственность – предупреждение или штраф:
Чтобы избежать ответственности нужно:опубликовать на сайте общедоступные ссылки:
4) Если вы не предоставляете субъекту персональных данных информацию, которая касается обработки его персональных данных. Ответственность – предупреждение или штраф:
Чтобы избежать ответственности нужно:
5) Если вы не выполнили в срок требования субъекта персональных данных или его представители либо уполномоченного органа по защите прав субъектов персональных данных:
Оператор обязан это сделать, когда персональные данные:
Чтобы избежать ответственности нужно:уточнить, блокировать или уничтожить персональные данные по требованию владельца в течение установленных Законом сроков.
6) Если вы не обеспечили условия, которые необходимы, чтобы:
Состав этого правонарушения распространяется только на случаи, когда:
Что это может быть?
- гражданам — от 700 руб. до 2 тыс. рублей;
- должностному лицу — от 4 тыс. до 10 тыс. рублей;
- юридическому лицу – от 25 тыс. до 50 тыс. рублей.
- обязанности по обезличиванию персональных данных;
- требования по обезличиванию персональных данных.
- должностному лицу — от 3 тыс. до 6 тыс. рублей.
Чтобы избежать ответственности нужно:обеспечить безопасность персональных данных при обработке.
7) Этот состав распространяется только на государственные и муниципальные органы. Если эти организации в качестве оператора не выполнили:
Ответственность – предупреждение или штраф:
Чтобы избежать ответственности нужно выполнять Требования и методы по обезличиванию персональных данных, которые утвердил Роскомнадзор приказом от 5 сентября 2013 г. № 996.
Остались вопросы? Отправьте тикет в техподдержку!
www.insales.ru