Как не получить штраф за нарушение закона о персональных данных на своем сайте
Неправильная обработка персональных данных на сайте может с 1 июля 2017 года обойтись компании гигантскими штрафами. Рассказываем подробности.
История проблемы
Закон 152-ФЗ «О персональных данных» действует уже очень давно. Основной проблемой с этим законом ранее считалось требование хранить персональные данные на территории России, что могло быть некоторой проблемой на крупных проектах с распределенной структурой, да еще при использовании облачных сервисов наподобие Amazon Web Services.
Малый бизнес, по большому счету, игнорировал его требования, и причиной этого было то, что штрафы за его нарушение были всего лишь несколько тысяч рублей. Это означало, что во многих случаях можно было ничего не делать для исполнения закона, ведь у контролирующего органа фактически не было стимулов активно проверять сайты. Слишком маленькая выгода для бюджета на фоне значительных усилий делала фактически бессмысленными проверки предпринимателей.
Что же меняется с 1 июля? А меняется, во-первых, размер штрафа: теперь для юридического лица он может составить до 75 тысяч рублей за нарушение этого закона, а ведь нарушений может быть выявлено и несколько. Во-вторых, теперь право выписывать штрафы переходит от прокуратуры к Роскомнадзору, и это может означать, что проверок будет больше и проводиться они будут быстрее.
Что делать?
Сделаем небольшую оговорку: указанные в данной статье рекомендации стоит перед внедрением обязательно обсудить с юристом вашей компании, потому что только профессиональный юрист сможет провести глубокую экспертизу закона, изучить информацию по уже прошедшим судам и составить квалифицированное мнение.
В первую очередь, вам необходимо прочитать закон 152-ФЗ. Пусть вы – не юрист, но вы хотя бы составите общее представление о том, что требуется по нему.
Самое главное: если вы собираете ЛЮБЫМ ОБРАЗОМ какие-либо данные о пользователях на своем сайте – имя, email, телефон и так далее – вы становитесь «оператором персональных данных» в терминах этого закона, и обязаны исполнять его требования.
Важные моменты:
В законе предусмотрена необходимость оператору персональных данных заявить о своем существовании в Роскомнадзор. Но при этом это не является обязательным в том случае, если обработка персональных данных осуществляется строго в целях исполнения договора. С точки зрения здравого смысла, далеко не всем хочется «светиться» перед контролирующим органом. Поэтому в согласии на обработку персональных данных посетителей и клиентов сайта вам следует прямо прописать, что целью обработки данных является исключительно исполнение договора, и указать какого - купли-продажи, оказания услуг, или какого-то еще, а также в какой момент этот договор возникает. Например, при регистрации на сайте, или при осуществлении заказа.
Это то, что нужно сделать на сайте, в так сказать «видимой части». Но есть еще большая часть работы, которую также надо проделать. В законе написано «Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом...» Это означает, что вам НУЖНО проделать эту работу. То есть «определить состав и перечень мер», а потом еще и выполнять их, и иметь об этом свидетельства. То есть иметь на случай проверки различные акты, приказы и прочую документацию по этому вопросу.
Как минимум, вам необходимо следующее:
В заключение отметим следующее: если у вас маленькая организация, нет своего юриста, вам может помочь сервис, разработанный компанией «Контур». С его помощью вы сможете создать шаблоны необходимых документов для выполнения требований закона 152-ФЗ самостоятельно. Однако и в этом случае, вам необходимо внимательно прочитать те документы, которые выдаст вам этот сервис, и возможно, что-то подкорректировать по ситуации.
Автор: Сергей Томашевский
Интернет-агентство Бирс
30 июня 2017 г.
В нашем блоге много еще интересного.
Закон 152-ФЗ «О персональных данных» действует уже очень давно. Основной проблемой с этим законом ранее считалось требование хранить персональные данные на территории России, что могло быть некоторой проблемой на крупных проектах с распределенной структурой, да еще при использовании облачных сервисов наподобие Amazon Web Services.
Малый бизнес, по большому счету, игнорировал его требования, и причиной этого было то, что штрафы за его нарушение были всего лишь несколько тысяч рублей. Это означало, что во многих случаях можно было ничего не делать для исполнения закона, ведь у контролирующего органа фактически не было стимулов активно проверять сайты. Слишком маленькая выгода для бюджета на фоне значительных усилий делала фактически бессмысленными проверки предпринимателей.
Что же меняется с 1 июля? А меняется, во-первых, размер штрафа: теперь для юридического лица он может составить до 75 тысяч рублей за нарушение этого закона, а ведь нарушений может быть выявлено и несколько. Во-вторых, теперь право выписывать штрафы переходит от прокуратуры к Роскомнадзору, и это может означать, что проверок будет больше и проводиться они будут быстрее.
Что делать?
Сделаем небольшую оговорку: указанные в данной статье рекомендации стоит перед внедрением обязательно обсудить с юристом вашей компании, потому что только профессиональный юрист сможет провести глубокую экспертизу закона, изучить информацию по уже прошедшим судам и составить квалифицированное мнение.
В первую очередь, вам необходимо прочитать закон 152-ФЗ. Пусть вы – не юрист, но вы хотя бы составите общее представление о том, что требуется по нему.
Самое главное: если вы собираете ЛЮБЫМ ОБРАЗОМ какие-либо данные о пользователях на своем сайте – имя, email, телефон и так далее – вы становитесь «оператором персональных данных» в терминах этого закона, и обязаны исполнять его требования.
Важные моменты:
- Вы обязаны опубликовать Политику в области обработки персональных данных. Некоторые специалисты рекомендуют не только ее опубликовать, но и сделать ссылку на нее видимой с любой страницы сайта, это поможет избежать претензий «она у вас фактически спрятана, ее непросто найти».
- Вам нужно заручиться согласием пользователя на обработку его персональных данных. Например, написать в форме сбора контактов формулировку «Отправляя эту форму вы соглашаетесь с обработкой ваших персональных данных» и указать ссылку на текст такого согласия.
- Вам нужно хранить персональные данные на территории России. Часто возникает вопрос «а что делать, если у меня хостинг в США». 100%-ную гарантию избавления от возможных проблем может дать только перенос хостинга в Россию. Однако, некоторые специалисты отмечают, что закон требует хранения данных на территории России, но там не говорится «только на территории России», и более того, в законе упоминается «трансграничная передача данных», и это не запрещено. Поэтому возможным решением может быть хранить копию базы данных на российском сервере, пользуясь при этом иностранным хостингом.
В законе предусмотрена необходимость оператору персональных данных заявить о своем существовании в Роскомнадзор. Но при этом это не является обязательным в том случае, если обработка персональных данных осуществляется строго в целях исполнения договора. С точки зрения здравого смысла, далеко не всем хочется «светиться» перед контролирующим органом. Поэтому в согласии на обработку персональных данных посетителей и клиентов сайта вам следует прямо прописать, что целью обработки данных является исключительно исполнение договора, и указать какого - купли-продажи, оказания услуг, или какого-то еще, а также в какой момент этот договор возникает. Например, при регистрации на сайте, или при осуществлении заказа.
Это то, что нужно сделать на сайте, в так сказать «видимой части». Но есть еще большая часть работы, которую также надо проделать. В законе написано «Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом...» Это означает, что вам НУЖНО проделать эту работу. То есть «определить состав и перечень мер», а потом еще и выполнять их, и иметь об этом свидетельства. То есть иметь на случай проверки различные акты, приказы и прочую документацию по этому вопросу.
Как минимум, вам необходимо следующее:
- Приказ о назначении лиц, ответственных за организацию обработки персональных данных
- Приказ об утверждении списка должностей, которые имеют доступ к персональным данным
- Приказ об утверждении перечня помещений, где обрабатываются персональные данные
- Акт оценки потенциального вреда субъектам персональных данных
- Акт определения уровня защищенности персональных данных
- Различные инструкции: по учету лиц, допущенных к обработке персональных данных, по резервному копированию и восстановлению, по рассмотрению обращений субъектов персональных данных и прочие. В целом тут действует правило «чем больше, тем лучше». Иными словами в случае проверки вам нужно иметь готовый ответ примерно такого вида: «а вот наша инструкция на такие-то действия в области персональных данных, она утверждена приказом, и вот с ней ознакомлены и расписались все ответственные за это».
- Журналы учета: прав доступа, материальных носителей, учета прав доступа, обращений субъектов, регистрации нарушений в работе систем и восстановления.
В заключение отметим следующее: если у вас маленькая организация, нет своего юриста, вам может помочь сервис, разработанный компанией «Контур». С его помощью вы сможете создать шаблоны необходимых документов для выполнения требований закона 152-ФЗ самостоятельно. Однако и в этом случае, вам необходимо внимательно прочитать те документы, которые выдаст вам этот сервис, и возможно, что-то подкорректировать по ситуации.
Автор: Сергей Томашевский
Интернет-агентство Бирс
30 июня 2017 г.
В нашем блоге много еще интересного.