Я не эксперт по правовым вопросам, и эта статья покажет вам, как соблюсти закон о персональных данных (статья 13.11 КоАП). Пожалуйста, не принимайте это как официальную юридическую консультацию.

Внимание! Материалы этой статьи содержать выдержки из статьи сайта AO “Тинькофф Банк” .  Полную версию статьи смотрите здесь >>>

С 1 июля штрафы за нарушение закона о персональных данных (статья 13.11 КоАП):

  • для граждан в размере от семисот до двух тысяч рублей;
  • для должностных лиц – от четырех тысяч до десяти тысяч рублей;
  • для индивидуальных предпринимателей – от десяти тысяч до двадцати тысяч рублей;
  • для юридических лиц – от двадцати пяти тысяч до пятидесяти тысяч рублей.

Правовая база

Прежде всего необходимо сказать, что закону от 27 июля 2006 года N 152-фз «О персональных данных» уже более 10 лет. В нём происходили постоянные изменения. Согласно изменениям, внесённым законом № 363-ФЗ от 27 декабря 2009 года, операторы персональных данных должны привести свои системы обработки персональных данных, запущенные до 1 января 2010 года, в соответствие с законом до 1 января 2011 года. Федеральным законом от 23 декабря 2010 года № 359-ФЗ «О внесении изменения в статью 25 федерального закона „О персональных данных“» срок приведения информационных систем персональных данных, созданных до 1 января 2011 года, в соответствие с требованиями закона № 152-ФЗ — не позднее 1 июля 2017 года.

Все изменения в законе обусловлены не столько изменением политической обстановки, сколько общим мировом трендом на более плотное регулирование этого вопроса (например, в Евросоюзе с 25 мая 2018 года вступят новые, более жёсткие требования по обработке и защите персональных данных GDPR).

Что такое персональные данные?

Персональные данные — это любые данные о человеке, по которым его можно идентифицировать. В законе нет перечня таких данных, поэтому приходится догадываться самим. Например, по имени или логину нельзя понять, что это за человек, а по имени и телефону или имени и электронной почте — можно.

Скорее всего, вы являетесь оператором персональных данных, если каким-то образом получаете от любых людей такую информацию в любом сочетании:

  • их фамилию, имя, отчество,
  • год, месяц, дата и место рождения,
  • адрес, семейное, социальное, имущественное положение, образование, профессия, доходы,
  • электронную почту, телефон, фотографию,
  • ссылку на персональный сайт или соцсети.

Таким образом, создавая и поддерживая базу ваших клиентов, партнеров, просто получателей различных информационно-рекламных материалов, вы являетесь оператором персональных данных. Каждый ваш подписчик — субъект персональных данных.  Другими словами все владельцы сайтов/блогов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету, — это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения — это тоже обработка персональных данных. В соответствии с действующим законодательством РФ Оператор несет ответственность за защиту персональных данных субъекта.

Что делать, чтобы не нарушить закон?

Как минимум нужно:

  • получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных;
  • публиковать в открытом доступе информацию обо всём, что касается персональных данных клиентов и посетителей;
  • запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
  • использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
  • сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
  • удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
  • хранить базы данных в надежном месте, защищать их от взлома и утечки;
  • научить сотрудников, если есть, работать с персональными данными;
  • зарегистрироваться в Роскомнадзоре. Инструкция здесь >>>

Форма уведомления Роскомнадзора здесь >>>

Роскомнадзор внесет информацию об операторе в общий реестр и будет выдавать по запросу.

Уведомление можно не подавать, если:

  • обрабатываются только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более — распространяться;
  • человек сам опубликовал эти данные в общем доступе;
  • у вас есть только ФИО клиента и больше ничего.

Что нужно сделать прямо сейчас?

Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны на всех страницах.Публичные документы это страница с политикой обработки персональных данных или политикой конфиденциальности. Пользовательское соглашение, в котором прописаны пункты о соответствии 152-ФЗ, тоже подходит.

Образец страницы “Политика обработки персональных данных” для размещения на сайте/блоге.

Также для большего спокойствия пропишите на странице “Контакты” надпись:
Согласен (-на) с тем, что оставленная мной информация может быть использована для обработки моего запроса.
После надписи сделайте ссылку на страницу с политикой обработки персональных данных или политикой конфиденциальности.

Кроме этого!

Необходимо предупредить посетителя блога что вы собираете cookie и получить его согласие на это действие.  Таким образом Вы выполните директиву ЕС о конфиденциальности ((AKA the Cookie Law).

Что такое Cookie?

Файл cookie – это небольшой фрагмент данных, который веб-сайт запрашивает у вашего браузера на вашем компьютере или мобильном устройстве. Он был разработан для защиты конфиденциальности в Интернете, информируя пользователей о том, как их информация собирается и используется в Интернете. Другими словами cookie отслеживает ваши движения внутри сайта/блога, чтобы он мог вспомнить что-то о вас позже.

Что делать?

Нужно установить плагин для информирования посетителя о

Рекомендуем один из лучших   Cookie Notice by dFactory