Заказать звонок
Оставьте телефон, мы перезвоним вам.
Спасибо!
Оставьте заявку
В ближайшее время мы свяжемся в вами
блог МАРКЕТИНГ
30 июня 2017 г.

Как не получить штраф за нарушение закона о персональных данных на своем сайте

Неправильная обработка персональных данных на сайте может с 1 июля 2017 года обойтись компании гигантскими штрафами. Рассказываем подробности.
История проблемы

Закон 152-ФЗ «О персональных данных» действует уже очень давно. Основной проблемой с этим законом ранее считалось требование хранить персональные данные на территории России, что могло быть некоторой проблемой на крупных проектах с распределенной структурой, да еще при использовании облачных сервисов наподобие Amazon Web Services.

Малый бизнес, по большому счету, игнорировал его требования, и причиной этого было то, что штрафы за его нарушение были всего лишь несколько тысяч рублей. Это означало, что во многих случаях можно было ничего не делать для исполнения закона, ведь у контролирующего органа фактически не было стимулов активно проверять сайты. Слишком маленькая выгода для бюджета на фоне значительных усилий делала фактически бессмысленными проверки предпринимателей.

Что же меняется с 1 июля? А меняется, во-первых, размер штрафа: теперь для юридического лица он может составить до 75 тысяч рублей за нарушение этого закона, а ведь нарушений может быть выявлено и несколько. Во-вторых, теперь право выписывать штрафы переходит от прокуратуры к Роскомнадзору, и это может означать, что проверок будет больше и проводиться они будут быстрее.

Что делать?

Сделаем небольшую оговорку: указанные в данной статье рекомендации стоит перед внедрением обязательно обсудить с юристом вашей компании, потому что только профессиональный юрист сможет провести глубокую экспертизу закона, изучить информацию по уже прошедшим судам и составить квалифицированное мнение.

В первую очередь, вам необходимо прочитать закон 152-ФЗ. Пусть вы – не юрист, но вы хотя бы составите общее представление о том, что требуется по нему.

Самое главное: если вы собираете ЛЮБЫМ ОБРАЗОМ какие-либо данные о пользователях на своем сайте – имя, email, телефон и так далее – вы становитесь «оператором персональных данных» в терминах этого закона, и обязаны исполнять его требования.

Важные моменты:

  • Вы обязаны опубликовать Политику в области обработки персональных данных. Некоторые специалисты рекомендуют не только ее опубликовать, но и сделать ссылку на нее видимой с любой страницы сайта, это поможет избежать претензий «она у вас фактически спрятана, ее непросто найти».
  • Вам нужно заручиться согласием пользователя на обработку его персональных данных. Например, написать в форме сбора контактов формулировку «Отправляя эту форму вы соглашаетесь с обработкой ваших персональных данных» и указать ссылку на текст такого согласия.
  • Вам нужно хранить персональные данные на территории России. Часто возникает вопрос «а что делать, если у меня хостинг в США». 100%-ную гарантию избавления от возможных проблем может дать только перенос хостинга в Россию. Однако, некоторые специалисты отмечают, что закон требует хранения данных на территории России, но там не говорится «только на территории России», и более того, в законе упоминается «трансграничная передача данных», и это не запрещено. Поэтому возможным решением может быть хранить копию базы данных на российском сервере, пользуясь при этом иностранным хостингом.

В законе предусмотрена необходимость оператору персональных данных заявить о своем существовании в Роскомнадзор. Но при этом это не является обязательным в том случае, если обработка персональных данных осуществляется строго в целях исполнения договора. С точки зрения здравого смысла, далеко не всем хочется «светиться» перед контролирующим органом. Поэтому в согласии на обработку персональных данных посетителей и клиентов сайта вам следует прямо прописать, что целью обработки данных является исключительно исполнение договора, и указать какого - купли-продажи, оказания услуг, или какого-то еще, а также в какой момент этот договор возникает. Например, при регистрации на сайте, или при осуществлении заказа.

Это то, что нужно сделать на сайте, в так сказать «видимой части». Но есть еще большая часть работы, которую также надо проделать. В законе написано «Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом...» Это означает, что вам НУЖНО проделать эту работу. То есть «определить состав и перечень мер», а потом еще и выполнять их, и иметь об этом свидетельства. То есть иметь на случай проверки различные акты, приказы и прочую документацию по этому вопросу.

Как минимум, вам необходимо следующее:

  • Приказ о назначении лиц, ответственных за организацию обработки персональных данных
  • Приказ об утверждении списка должностей, которые имеют доступ к персональным данным
  • Приказ об утверждении перечня помещений, где обрабатываются персональные данные
  • Акт оценки потенциального вреда субъектам персональных данных
  • Акт определения уровня защищенности персональных данных
  • Различные инструкции: по учету лиц, допущенных к обработке персональных данных, по резервному копированию и восстановлению, по рассмотрению обращений субъектов персональных данных и прочие. В целом тут действует правило «чем больше, тем лучше». Иными словами в случае проверки вам нужно иметь готовый ответ примерно такого вида: «а вот наша инструкция на такие-то действия в области персональных данных, она утверждена приказом, и вот с ней ознакомлены и расписались все ответственные за это».
  • Журналы учета: прав доступа, материальных носителей, учета прав доступа, обращений субъектов, регистрации нарушений в работе систем и восстановления.

В заключение отметим следующее: если у вас маленькая организация, нет своего юриста, вам может помочь сервис, разработанный компанией «Контур». С его помощью вы сможете создать шаблоны необходимых документов для выполнения требований закона 152-ФЗ самостоятельно. Однако и в этом случае, вам необходимо внимательно прочитать те документы, которые выдаст вам этот сервис, и возможно, что-то подкорректировать по ситуации.


Автор: Сергей Томашевский
Интернет-агентство Бирс
30 июня 2017 г.

В нашем блоге много еще интересного.