Закон о персональных данных, 152-ФЗ

Вы, наверное, уже наслышаны о серьезном ужесточении законодательства в области персональных данных с 1 июля 2017 года – 152-ФЗ «Закон о персональных данных». Это в первую очередь затронет Вас – владельцы интернет-магазинов. А если Вы еще не знаете ничего об этом, то мы подольем масла в огонь и постараемся вкратце пролить свет на грядущие изменения в законодательстве. 

Итак, что же такое персональные данные? 

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому, или определяемому физическому лицу (субъекту персональных данных). Так выглядит трактовка термина в законе 152-ФЗ «О персональных данных» и она более чем размытая.

Так какие же минимальные требования теперь предъявляются к Вашему интернет-проекту согласно этому таинственному 152-ФЗ.
Вот их краткий список:
√ Теперь под каждой формой ввода данных (форма обратной связи, заказ обратного звонка, оформление заказа) на сайтах и в мобильных приложениях необходимо разместить текст «Нажимая на кнопку НАЗВАНИЕ_КНОПКИ, я даю согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на сам документ.
√ Владельцу сайта необходимо утвердить приказом Политику в отношении обработки персональных данных и разместить её в своём офисе, на сайте и в мобильном приложении в общем доступе. Проще всего это реализовать, вставив ссылку на документ в футер. При этом с данным документом регистрирующийся не должен соглашаться при заполнении формы.
√ Перенести сайт на территорию РФ и узнать у технической поддержки хостинг-провайдера или ЦОДа адрес месторасположения вашего сервера (узнать вплоть до здания). Эту информацию Роскомнадзор умеет проверять, так как также контролирует операторов связи, обмануть его не получится.
√ Указать email, куда физическое лицо может обратиться за тем, чтобы его персональные данные были удалены, заблокированы и вообще куда он может задать вопрос по персональным данным. Можно всё отправлять и на общую почту, но вы тогда должны проконтролировать, что письмо, касающееся персональных данных, будет отфильтровано и не проигнорировано.
√ Агентству и владельцу сайтов необходимо подать уведомление об обработке персональных данных и помимо всего прочего указать там адреса местонахождения баз персональных данных и перечень персональных данных, которые в ней содержатся (http://pd.rkn.gov.ru/operators-registry/notification/form/).
√  Агентству/студии и владельцу сайта, в случае если агентство имеет доступ к персональным данным из заявок, БД или просто привлекает клиентов, необходимо заключить соглашение об обеспечении безопасности персональных данных, в котором будет указано, какие персональные данные агентство/студия может обрабатывать, в каких целях и какие действия с ними выполнять. Также там должны быть требования по защите персональных данных, но защиту у частных компаний не проверяют.

Более подробную информацию об изменениях в 152-ФЗ Вы найдете в очень полезной статье по адресу http://www.cossa.ru/152/158773/ 

Подробнее о законе ФЗ-152 «О персональных данных» можно почитать на сайте КонсультантПлюс. В Роскомнадзор необходимо подать уведомление на внесение организации в реестр операторов персональных данных. Подать заявку можно через сайт (http://pd.rkn.gov.ru/operators-registry/operators-list/%29/).

Уведомление можно не подавать, если вы:

• обрабатываете только данные работников и только для исполнения требований трудового законодательства (без передачи данных в банки, например, оформления зарплатного проекта);
• обрабатываете данные, заключая договор с каждым клиентом и работником, и не передаете данные третьим лицам;
• обрабатываете персональные данные только на бумажных носителях.

Во втором пункте статьи 22 закона 152-ФЗ указаны и другие исключения, когда уведомление в Роскомнадзор можно не подавать.

Подтверждать статус оператора в Роскомнадзоре не нужно. Вы или ваша компания итак уже является оператором, если имеет доступ к персональным данным.

Что еще нужно сделать юридическим лицам

Требования, которые представлены в статье, Роскомнадзор предъявляет ко всем сайтам: неважно, физическое вы лицо или юридическое. Для юридических лиц все немного сложнее: дальше описаны требования, которые должны выполнять только юридические лица:

1. Ответственные лица и пакет документов

Внутри организации необходимо назначить ответственных лиц и разработать пакет внутренних документов, регламентирующих процессы обработки и защиты персональных данных.

Список необходимых документов для внутреннего пользования. 

2. Правильно отрегулировать взаимодействие с физическими лицами, государственными органами и контрагентами

Это значит, вам нужно:

√ Подписать с сотрудниками обязательства о неразглашении персональных данных, согласие на обработку персональных данных и под роспись ознакомить их с внутренними документами по персональным данным из п.1.
√ Со всеми другими физическими лицами подписывать согласие на обработку персональных данных или добавлять пункты об обработке персональных данных в договоры, которые вы заключаете.
√ Заключать поручения на обработку персональных данных, если вы передаете кому-то данные физических лиц (например, рекламным агентствам).
√ Отвечать на запросы физических лиц по поводу обработки их персональных данных. 

3.Защитить персональные данные техническими и организационными мерами

Кто будет проверять?

Основную опасность для сайтов представляет Роскомнадзор: они проводят тысячи проверок в год. Но, в зависимости от требований, проверку могут проводить еще ФСТЭК и ФСБ. Наименьший риск проверки для частных организаций — проверка технической защиты персональных данных от ФСБ.

Какие штрафы ждут за невыполнение закона с 1 июля

Если раньше сумма штрафов для юридических лиц не превышала 10 000 рублей, то с 1 июля она спокойно может доходить до 300 000 рублей. Если нарушений несколько, штрафов тоже будет несколько.

Пример: вам пишет пользователь и просит уточнить или удалить его персональные данные с вашего сайта, а вы игнорируете его или отказываетесь предоставить информацию: штраф для физических лиц за такие действия будут доходить до 2 000 рублей, для ИП — до 20 000 рублей, для компаний — до 45 000 рублей. Размер штрафов за различные нарушения можно посмотреть в поправках к закону.

Как правило, вначале Роскомнадзор присылает «письмо счастья», в котором указывает выявленные нарушения на сайте, связанные с неправомерной обработкой персональных данных.

Еще Роскомнадзор может запросить большой список документов. Если проверка выявит нарушения, то Роскомнадзор может заблокировать сайт, наложить штрафы и в редких случаях приостановить деятельность компании.

Не ждите «письмо счастья». Начните выполнять все основные требования, чтобы избежать плачевных последствий и штрафов.