ФЗ 152 о защите персональных данных. Как не попасть на штрафы.

Отношения, которые влекут за собой необходимость получения и обработки ПД (далее, персональных данных) одной из сторон, регламентируется Федеральным законом, зарегистрированным под № 152-ФЗ и вступающим в силу с 01 июля 2017г и преследующим цель: соблюдение прав каждого субъекта (владельца этих данных) на конфиденциальность информации о его частной жизни.

Под персональными данными в Законе подразумевается информация, способствующая идентификации того или иного лица и содержащая дополнительные сведения о нем. Обработка ПД представляет собой сбор сведений, и их хранение до использования с последующим уничтожением. Орган или лицо (юридическое или физическое), занимающееся обработкой таких данных, именуются оператором ПД.

С развитием информационных технологий сфера использования ПД значительно расширилась, обеспечивая с одной стороны удобный сервис их владельцам, а с другой – угрозу утечки ПД. Поэтому законодательные органы ужесточили меры к владельцам интернет ресурсов (интернет магазинов, социальных сетей, «облачных» сервисов и т.д.), требуя от них надежной защиты информации, полученной от клиентов.

Штрафные санкции, предусмотренные за несоблюдение правил обработки ПД

В 2017 году с 01.07 вступают в силу изменения, которые претерпела статья 13.11 Кодекса РФ об АП, регулирующая нормы защиты ПД. Обновленной редакцией статьи предусмотрен более широкий перечень нарушений, допускаемых при обработке ПД, и увеличены размеры штрафов. Она содержит семь пунктов, причем шесть из них регулируют деятельность по обработке ПД коммерческими организациями и владельцами интернет ресурсов, а именно:

  • Частью первой статьи регулируются штрафные санкции, максимальный размер которых варьирует от 3-х тысяч рублей для частных лиц, до 50-ти тысяч – для юридических. Штраф накладывается при сборе ПД в форме, не предусмотренной законодательными нормами (сканы документов) или при использовании их в целях, отличных от заявленных целей сбора.
  • Часть вторая статьи предусматривает штрафные санкции:
    за обработку ПД любого рода при отсутствии письменного согласия их владельца;
    при проведении онлайн-скоринга (сбора информации их аккаунта соцсетей и т.д.) без согласия клиента;
    при отсутствии в согласии указания лиц, которым могут передаваться ПД.

Максимальный размер штрафообложения в этом случае может составлять до 5-ти тысяч рублей – для частных лиц и до 75-ти тысяч – для юридических.

  • Частью третей статьи предусмотрено штраф, размер которого колеблется от полутора тысячи рублей для частных лиц, до 10-ти тысяч – для ИП и 30-ти тысяч – для лиц юридического подчинения. Такой штраф можно получить при отсутствии на интернет ресурсе ссылки на документ, свидетельствующий об обязательствах оператора по обработке ПД.
  • Часть четвертая предусматривает штраф до 40-ка тысяч рублей (для лиц юридической принадлежности) за нарушение норм по предоставлению оператором ПД информации по ее обработке, в том числе:

— игнорирование запросов субъектов ПД о состоянии обработки данных на текущий момент;- превышение сроков, отведенных законодательными нормами на ответ на запрос;- искажение информации при ответе на запрос субъекта ПД.

  • Часть пятая рассматривает обложение штрафом при несоблюдении установленных нормами сроков уничтожения ПД после реализации цели их сбора, а также уничтожения или блокировки неточных данных, сведений, полученных незаконным путем и т.д. Максимальный штраф при этом составляет 50 000 рублей.
  • Самым высоким штрафом (до 75-ти тысяч рублей) оператор ПД облагается в случае допущения утечки информации, несанкционированного распространения ПД, их блокирования, уничтожения и т.д., как последствия нарушений правил их хранения.

Расширение полномочий Роскомнадзора

Еще одним значимым фактором в усилении контроля деятельности операторов ПД является предоставление Роскомнадзору более широких полномочий, в том числе права накладывать штрафные санкции по перечисленным выше пунктам без ведома Прокуратуры. Среди других полномочий, полученных Роскомнадзором:

  • снятие необходимости уведомления Прокуратуры о предстоящих плановых проверках по ПД коммерческих предприятий и ИП;
  • возможность осуществления проверок согласно собственному регламенту, отсутствие ограничений на их частоту;
  • получение полномочий на блокировку сайтов, незаконно собирающих, хранящих или использующих ПД.

Как избежать неприятностей с Роскомнадзором?

Во избежание любых притязаний со стороны органов надзора и обложения штрафом, владелец любого сайта должен соблюдать требования следующего рода:

  1. Наличие текста о подтверждении согласия на обработку предоставляемых посетителем сайта данных, размещаемого под формой их ввода при регистрации, оформлении заявки и т.д.
  2. Наличие ссылки на документ, регламентирующий правила обработки данных на сайте (как правило, размещается на тексте согласия на обработку ПД).
  3. Хранение ПД только на территории России.
  4. Указание контактных данных для обращения Клиента для решения любых вопросов по ПД, их блокировки, удаления и т.д.
  5. Подача в Роскомнадзор уведомления специальной формы об обработке ПД.
  6. Установка на сайте дисклеймера, уведомляющего каждого зашедшего на сайт об обработке его ПД и необходимости покинуть сайт в случае несогласия.
  7. Производить сбор минимального количества информации, необходимой для совершения сделки или реализации другой цели.

Выполнение этих требований обязательно при запрашивании у пользователей любых данных личного характера.

Чтобы привести сайт в соответствие с требованиями закона, необходим ряд мер, которые мы поможем выполнить с технической стороны:

  • сделаем документ «Согласие на обработку персональных данных» доступным на всех страницах и формах связи, где это необходимо;
  • проинформируем посетителей сайта о сборе cookie (сведений о пользователе);
  • обеспечим хранение логов для подтверждения факта согласия на обработку ПД (посетитель сайта не сможет заявить, что он не ставил никаких «галочек»);
  • проверим работу всех сторонних сервисов на соответствие закону (call-back виджеты, комментарии);
  • составим документы «Политика конфиденциальности» и «Согласие», где будет подробно рассказано о методах и целях обработки ПД.