С 1 июля 2017 года вступили в силу новые изменения в Кодексе об административных правонарушениях (КоАП), которые ужесточили санкции (штрафы) по отношению ко всем лицам, собирающим персональные данные.
Чем это грозит владельцам сайтов?
В статье мы будем иногда ссылаться на Федеральный закон "О защите персональных данных" № 152-ФЗ от 27.07.2006 года, поэтому не удивляйтесь сокращениям: Закон № 152-ФЗ, 152-ФЗ или закон. В статье 3 данного закона дано четкое понятие, что такое "оператор персональных данных" - это любое юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами так или иначе обрабатывает персональные данные людей в определенных целях. Для владельцев сайтов это, в основном, электронная почта, фамилия, имя, отчество и номер телефона посетителя сайта. Тем не менее, под персональными данными понимают любые сведения о человеке, которые позволяют установить его личность. К слову сказать, с недавнего времени Роскомнадзор начал относить к персональным данным адрес места жительства, IP и даже сведения, получаемые при помощи cookies, сохраняемых бразуером.
Иными словами, если Ваш сайт собирает информацию о пользователе, то Роскомнадзор автоматически относит вас к операторам персональных данных. В этом случае Вы обязаны уведомить ведомство о наличии специальной документации, которая регламентирует Вашу деятельность. А ведь Ваш сайт все равно собирает данные о пользователе, даже если никаких форм обратной связи на сайте нет - IP-адрес, а также cookie файлы так или иначе собираются и анализируются (как минимум, через сервисы сбора статистики посещаемости).
Так штрафовать будут или нет?
На самом деле, штрафовали и раньше. Так, например, в октябре 2016 года одну из юридических компаний город Тамбов оштрафовали за сбор персональных данных. В разбирательстве суд встал на сторону Роскомнадзора, приравняв электронную почту и номер телефона к персональным данным. Компанию обязали выплатить штраф в размере одной тысячи рублей. Казалось бы, штраф всего 1000 рублей - это немного. Но с "01" июля 2017 штрафы выросли в разы. Статья 13.11 КоАП очень интересна. И оценить весь трагизм ситуации всю ситуацию целиком можно лишь внимательно прочитав, за что могут оштрафовать.
Вид правонарушения | Штраф для физических лиц | Штраф для должностных лиц | Штраф для юридических лиц |
п.1 ст.13.11 - обработка персональных данных, не совместимая с целями сбора этих данных. Например, для оформления заказа запросили паспортные данные, когда нужны лишь телефон и ФИО | от 1 до 3 тысяч рублей | от 5 до 10 тысяч рублей | от 30 до 50 тысяч рублей |
п.2 ст.13.11 - обработка данных о человеке без его письменного согласия. Взяли e-mail у покупателя (или посетителя) без его согласия - все, можете получить штраф | от 3 до 5 тысяч рублей | от 10 до 20 тысяч рублей | от 15 до 75 тысяч рублей |
п.3 ст.13.11 - не обеспечили доступ к документу о Вашей политике в области защиты персональных данных. Иными словами, на сайте не разместили никакой политики об обработке персональных данных. | от 700 до 1 тысячи рублей | от 3 до 6 тысяч рублей | от 15 до 75 тысяч рублей (для ИП от 5 до 10 тысяч рублей) |
п.4 ст.13.11 - не предоставили физическому лицу данных, об имеющихся у Вас его персональных данных | от 1 до 2 тысяч рублей | от 4 до 6 тысяч рублей | от 20 до 40 тысяч рублей (для ИП от 10 до 15 тысяч рублей) |
п.5 ст.13.11 - человек потребовал от Вас уточнения, изменения, обновления, блокирования своих данных о себе, которые Вы храните, а Вы пропустили все установленные для этого сроки | от 1 до 2 тысяч рублей | от 4 до 6 тысяч рублей | от 25 до 40 тысяч рублей (для ИП от 10 до 20 тысяч рублей) |
п.6 ст.13.11 - храните данные пользователей без средств автоматизации (на сайте, например) и Вас взломали, данные похитили | от 700 до 2 тысяч рублей | от 4 до 10 тысяч рублей | от 25 до 40 тысяч рублей (для ИП от 10 до 20 тысяч рублей) |
п.7 ст.13.11 - для государственных органов, если хранят персональные данные в необезличенном виде | - | от 3 до 6 тысяч рублей | - |
Основания для проверки сайта?
Вариантов несколько: либо жалоба (и, наверняка, конкуренты будут этим пользоваться), либо проведение плановых проверок. Статистика не даст соврать: в 2013 году число жалоб было 10 016, а в в 2016 - уже 33 814. С плановыми проверками аналогично - 743 в 2013 году и 2053 в 2016 году. Ну а раз суммы штрафов выросли, то и поступления в бюджет от таких штрафов вырастут, наказывать станут чаще.
Какие еще могут быть последствия
Нарушителей закона о защите персональных данных внесут в "Реестр нарушителей прав субъектов персональных данных", а Роскомнадзор будет уделять сайтам этих нарушителей особо пристальное внимание. К слову, если надеетесь, что будучи субъектом малого предпринимательства, Вас три года не будут трогать, то это напрасно - приготовиться к проверкам придется всем.
Как защитить себя от штрафов
К счастью, если все персональные данные вы получаете через сайт, то есть способ защитить себя от большинства штрафов и претензий. Чтобы сделать сбор персональных данных полностью легальным, наша инструкция такова:
- Если Ваш сайт расположен на зарубежных серверах, то следует перевести его на сервера, расположенные на территории Российской Федерации.
- Составить "Политику обработки персональных данных" или "Политику конфиденциальности", соответствующую законодательству и подходящую для Вашего сайта. Наши специалисты могут подготовить её и разместить на Вашем сайте.
- Подготовить локальные акты, регулирующие действия с персональными данными. Этот пункт поможет избежать большинства штрафов в случае проведения проверок со стороны Роскомнадзора.
- Добавьте во все формы обратной связи на сайте кнопку или галочку с текстом "Нажимая на кнопку, Вы даете согласие на обработку своих персональных данных".
- Для полной защиты удостоверьтесь в том, что сайт собирает информацию посредством cookies только с разрешения посетителя (данные с IP и cookies Роскомнадзор также признает персональными).
- Предоставьте посетителям сайта возможности по распоряжению своими персональными данными через обращения по электронной почте.
- Заполните и подайте уведомление в Роскомнадзор. Обязанность в уведомлении есть у многих владельцев сайтов и организаций. Форма уведомления есть на сайте РКН. Особое внимание обратите на порядок подачи уведомления.
Как заполнить и подать уведомление в Роскомнадзор
Уведомление об обработке персональных данных направляется в территориальный орган Роскомнадзора в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Перед отправкой уведомления советую проверить полноту и правильность его заполнения. Уведомление должно содержать следующую информацию:
- Наименование (фамилия, имя, отчество), адрес оператора.
- Цель обработки персональных данных.
- Категории персональных данных.
- Категории субъектов, персональные данные которых обрабатываются.
- Правовое основание обработки персональных данных.
- Перечень действий с персональными данными, общее описание используемых оператором способов обработки.
- Описание мер, предусмотренных статьями Федерального закона «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.
- Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, номера их контактных телефонов, почтовые адреса и адреса электронной почты.
- Дата начала обработки персональных данных.
- Срок или условие прекращения обработки персональных данных.
- Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки.
- Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.
- Сведения об обеспечении безопасности персональных данных в соответствии с требованиями, установленными Правительством Российской Федерации.
Для подачи уведомления нужно:
- Перейти по ссылке на сайт Роскомнадзора и заполнить форму.
- После заполнения отправить форму, нажав на соответствующую кнопку на сайте. Одновременно с отправкой вы получите форму для печати.
- Распечатать форму в двух экземплярах. Формы должны быть подписаны руководителем организации.
- Отправить подписанный бумажный вариант формы в территориальный орган РКН по месту регистрации (по почте или лично).
- Дождаться ответа от Роскомнадзора по почте (как правило, занимает не больше месяца). Также можно узнать о статусе заявки по телефону или с помощью специального сервиса на сайте Роскомнадзора.
Предотвратить нарушение всегда проще, чем с его последствиями. Наши специалисты помогут Вам защитить свой сайт, взяв на себя часть этой рутины. Подробности смотрите по ссылке.