Отношения, которые влекут за собой необходимость получения и обработки ПД (далее, персональных данных) одной из сторон, регламентируется Федеральным законом, зарегистрированным под № 152-ФЗ и вступающим в силу с 01 июля 2017г и преследующим цель: соблюдение прав каждого субъекта (владельца этих данных) на конфиденциальность информации о его частной жизни.
Под персональными данными в Законе подразумевается информация, способствующая идентификации того или иного лица и содержащая дополнительные сведения о нем. Обработка ПД представляет собой сбор сведений, и их хранение до использования с последующим уничтожением. Орган или лицо (юридическое или физическое), занимающееся обработкой таких данных, именуются оператором ПД.
С развитием информационных технологий сфера использования ПД значительно расширилась, обеспечивая с одной стороны удобный сервис их владельцам, а с другой – угрозу утечки ПД. Поэтому законодательные органы ужесточили меры к владельцам интернет ресурсов (интернет магазинов, социальных сетей, «облачных» сервисов и т.д.), требуя от них надежной защиты информации, полученной от клиентов.
Штрафные санкции, предусмотренные за несоблюдение правил обработки ПД
В 2017 году с 01.07 вступают в силу изменения, которые претерпела статья 13.11 Кодекса РФ об АП, регулирующая нормы защиты ПД. Обновленной редакцией статьи предусмотрен более широкий перечень нарушений, допускаемых при обработке ПД, и увеличены размеры штрафов. Она содержит семь пунктов, причем шесть из них регулируют деятельность по обработке ПД коммерческими организациями и владельцами интернет ресурсов, а именно:
- Частью первой статьи регулируются штрафные санкции, максимальный размер которых варьирует от 3-х тысяч рублей для частных лиц, до 50-ти тысяч – для юридических. Штраф накладывается при сборе ПД в форме, не предусмотренной законодательными нормами (сканы документов) или при использовании их в целях, отличных от заявленных целей сбора.
- Часть вторая статьи предусматривает штрафные санкции:
— за обработку ПД любого рода при отсутствии письменного согласия их владельца;
— при проведении онлайн-скоринга (сбора информации их аккаунта соцсетей и т.д.) без согласия клиента;
—при отсутствии в согласии указания лиц, которым могут передаваться ПД.
Максимальный размер штрафообложения в этом случае может составлять до 5-ти тысяч рублей – для частных лиц и до 75-ти тысяч – для юридических.
- Частью третей статьи предусмотрено штраф, размер которого колеблется от полутора тысячи рублей для частных лиц, до 10-ти тысяч – для ИП и 30-ти тысяч – для лиц юридического подчинения. Такой штраф можно получить при отсутствии на интернет ресурсе ссылки на документ, свидетельствующий об обязательствах оператора по обработке ПД.
- Часть четвертая предусматривает штраф до 40-ка тысяч рублей (для лиц юридической принадлежности) за нарушение норм по предоставлению оператором ПД информации по ее обработке, в том числе:
— игнорирование запросов субъектов ПД о состоянии обработки данных на текущий момент;- превышение сроков, отведенных законодательными нормами на ответ на запрос;- искажение информации при ответе на запрос субъекта ПД.
- Часть пятая рассматривает обложение штрафом при несоблюдении установленных нормами сроков уничтожения ПД после реализации цели их сбора, а также уничтожения или блокировки неточных данных, сведений, полученных незаконным путем и т.д. Максимальный штраф при этом составляет 50 000 рублей.
- Самым высоким штрафом (до 75-ти тысяч рублей) оператор ПД облагается в случае допущения утечки информации, несанкционированного распространения ПД, их блокирования, уничтожения и т.д., как последствия нарушений правил их хранения.
Расширение полномочий Роскомнадзора
Еще одним значимым фактором в усилении контроля деятельности операторов ПД является предоставление Роскомнадзору более широких полномочий, в том числе права накладывать штрафные санкции по перечисленным выше пунктам без ведома Прокуратуры. Среди других полномочий, полученных Роскомнадзором:
- снятие необходимости уведомления Прокуратуры о предстоящих плановых проверках по ПД коммерческих предприятий и ИП;
- возможность осуществления проверок согласно собственному регламенту, отсутствие ограничений на их частоту;
- получение полномочий на блокировку сайтов, незаконно собирающих, хранящих или использующих ПД.
Как избежать неприятностей с Роскомнадзором?
Во избежание любых притязаний со стороны органов надзора и обложения штрафом, владелец любого сайта должен соблюдать требования следующего рода:
- Наличие текста о подтверждении согласия на обработку предоставляемых посетителем сайта данных, размещаемого под формой их ввода при регистрации, оформлении заявки и т.д.
- Наличие ссылки на документ, регламентирующий правила обработки данных на сайте (как правило, размещается на тексте согласия на обработку ПД).
- Хранение ПД только на территории России.
- Указание контактных данных для обращения Клиента для решения любых вопросов по ПД, их блокировки, удаления и т.д.
- Подача в Роскомнадзор уведомления специальной формы об обработке ПД.
- Установка на сайте дисклеймера, уведомляющего каждого зашедшего на сайт об обработке его ПД и необходимости покинуть сайт в случае несогласия.
- Производить сбор минимального количества информации, необходимой для совершения сделки или реализации другой цели.
Выполнение этих требований обязательно при запрашивании у пользователей любых данных личного характера.
Чтобы привести сайт в соответствие с требованиями закона, необходим ряд мер, которые мы поможем выполнить с технической стороны:
- сделаем документ «Согласие на обработку персональных данных» доступным на всех страницах и формах связи, где это необходимо;
- проинформируем посетителей сайта о сборе cookie (сведений о пользователе);
- обеспечим хранение логов для подтверждения факта согласия на обработку ПД (посетитель сайта не сможет заявить, что он не ставил никаких «галочек»);
- проверим работу всех сторонних сервисов на соответствие закону (call-back виджеты, комментарии);
- составим документы «Политика конфиденциальности» и «Согласие», где будет подробно рассказано о методах и целях обработки ПД.