+7(3812) 50-95-80 info@avega-soft.ru
оставить заявку

Как обезопасить сайт от Роскомнадзора: подробная инструкция

поделиться записью:

С 1 июля 2017 года вступили в силу новые изменения в Кодексе об административных правонарушениях (КоАП), которые ужесточили санкции (штрафы) по отношению ко всем лицам, собирающим персональные данные. 

Чем это грозит владельцам сайтов?

В статье мы будем иногда ссылаться на Федеральный закон "О защите персональных данных" № 152-ФЗ от 27.07.2006 года, поэтому не удивляйтесь сокращениям: Закон № 152-ФЗ, 152-ФЗ или закон. В статье 3 данного закона дано четкое понятие, что такое "оператор персональных данных" - это любое юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами так или иначе обрабатывает персональные данные людей в определенных целях. Для владельцев сайтов это, в основном, электронная почта, фамилия, имя, отчество и номер телефона посетителя сайта. Тем не менее, под персональными данными понимают любые сведения о человеке, которые позволяют установить его личность. К слову сказать, с недавнего времени Роскомнадзор начал относить к персональным данным адрес места жительства, IP и даже сведения, получаемые при помощи cookies, сохраняемых бразуером.

Иными словами, если Ваш сайт собирает информацию о пользователе, то Роскомнадзор автоматически относит вас к операторам персональных данных. В этом случае Вы обязаны уведомить ведомство о наличии специальной документации, которая регламентирует Вашу деятельность. А ведь Ваш сайт все равно собирает данные о пользователе, даже если никаких форм обратной связи на сайте нет - IP-адрес, а также cookie файлы так или иначе собираются и анализируются (как минимум, через сервисы сбора статистики посещаемости).  

Так штрафовать будут или нет?

На самом деле, штрафовали и раньше. Так, например, в октябре 2016 года одну из юридических компаний город Тамбов оштрафовали за сбор персональных данных. В разбирательстве суд встал на сторону Роскомнадзора, приравняв электронную почту и номер телефона к персональным данным. Компанию обязали выплатить штраф в размере одной тысячи рублей. Казалось бы, штраф всего 1000 рублей - это немного. Но с "01"  июля 2017 штрафы выросли в разы. Статья 13.11 КоАП очень интересна. И оценить весь трагизм ситуации всю ситуацию целиком можно лишь внимательно прочитав, за что могут оштрафовать.

Вид правонарушения Штраф для физических лиц Штраф для должностных лиц Штраф для юридических лиц
п.1 ст.13.11 - обработка персональных данных, не совместимая с целями сбора этих данных. Например, для оформления заказа запросили паспортные данные, когда нужны лишь телефон и ФИО от 1 до 3 тысяч рублей от 5 до 10 тысяч рублей от 30 до 50 тысяч рублей
п.2 ст.13.11 - обработка данных о человеке без его письменного согласия. Взяли e-mail у покупателя (или посетителя) без его согласия - все, можете получить штраф от 3 до 5 тысяч рублей от 10 до 20 тысяч рублей от 15 до 75 тысяч рублей
п.3 ст.13.11 - не обеспечили доступ к документу о Вашей политике в области защиты персональных данных. Иными словами, на сайте не разместили никакой политики об обработке персональных данных. от 700 до 1 тысячи рублей от 3 до 6 тысяч рублей от 15 до 75 тысяч рублей (для ИП от 5 до 10 тысяч рублей)
п.4 ст.13.11 - не предоставили физическому лицу данных, об имеющихся у Вас его персональных данных  от 1 до 2 тысяч рублей от 4 до 6 тысяч рублей от 20 до 40 тысяч рублей (для ИП от 10 до 15 тысяч рублей)
п.5 ст.13.11 - человек потребовал от Вас уточнения, изменения, обновления, блокирования своих данных о себе, которые Вы храните, а Вы пропустили все установленные для этого сроки от 1 до 2 тысяч рублей от 4 до 6 тысяч рублей от 25 до 40 тысяч рублей (для ИП от 10 до 20 тысяч рублей)
 п.6 ст.13.11 - храните данные пользователей без средств автоматизации (на сайте, например) и Вас взломали, данные похитили от 700 до 2 тысяч рублей от 4 до 10 тысяч рублей от 25 до 40 тысяч рублей (для ИП от 10 до 20 тысяч рублей)
 п.7 ст.13.11 - для государственных органов, если хранят персональные данные в необезличенном виде  -  от 3 до 6 тысяч рублей  -

Основания для проверки сайта?

Вариантов несколько: либо жалоба (и, наверняка, конкуренты будут этим пользоваться), либо проведение плановых проверок. Статистика не даст соврать: в 2013 году число жалоб было 10 016, а в в 2016 - уже 33 814. С плановыми проверками аналогично - 743 в 2013 году и 2053 в 2016 году. Ну а раз суммы штрафов выросли, то и поступления в бюджет от таких штрафов вырастут, наказывать станут чаще.

Какие еще могут быть последствия

Нарушителей закона о защите персональных данных внесут в "Реестр нарушителей прав субъектов персональных данных", а Роскомнадзор будет уделять сайтам этих нарушителей особо пристальное внимание. К слову, если надеетесь, что будучи субъектом малого предпринимательства, Вас три года не будут трогать, то это напрасно - приготовиться к проверкам придется всем. 

Как защитить себя от штрафов

 К счастью, если все персональные данные вы получаете через сайт, то есть способ защитить себя от большинства штрафов и претензий. Чтобы сделать сбор персональных данных полностью легальным, наша инструкция такова:

  1. ​Если Ваш сайт расположен на зарубежных серверах, то следует перевести его на сервера, расположенные на территории Российской Федерации.
  2. Составить "Политику обработки персональных данных" или "Политику конфиденциальности", соответствующую законодательству и подходящую для Вашего сайта. Наши специалисты могут подготовить её и разместить на Вашем сайте.
  3. Подготовить локальные акты, регулирующие действия с персональными данными. Этот пункт поможет избежать большинства штрафов в случае проведения проверок со стороны Роскомнадзора.
  4. Добавьте во все формы обратной связи на сайте кнопку или галочку с текстом "Нажимая на кнопку, Вы даете согласие на обработку своих персональных данных".
  5. Для полной защиты удостоверьтесь в том, что сайт собирает информацию посредством cookies только с разрешения посетителя (данные с IP и cookies Роскомнадзор также признает персональными).
  6. Предоставьте посетителям сайта возможности по распоряжению своими персональными данными через обращения по электронной почте.
  7. Заполните и подайте уведомление в Роскомнадзор. Обязанность в уведомлении есть у многих владельцев сайтов и организаций. Форма уведомления есть на сайте РКН. Особое внимание обратите на порядок подачи уведомления.

Как заполнить и подать уведомление в Роскомнадзор

 Уведомление об обработке персональных данных направляется в территориальный орган Роскомнадзора в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Перед отправкой уведомления советую проверить полноту и правильность его заполнения. Уведомление должно содержать следующую информацию:

  1. ​Наименование (фамилия, имя, отчество), адрес оператора.
  2. Цель обработки персональных данных.
  3. Категории персональных данных.
  4. Категории субъектов, персональные данные которых обрабатываются.
  5. Правовое основание обработки персональных данных.
  6. Перечень действий с персональными данными, общее описание используемых оператором способов обработки.
  7. Описание мер, предусмотренных статьями Федерального закона «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.
  8. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, номера их контактных телефонов, почтовые адреса и адреса электронной почты.
  9. Дата начала обработки персональных данных.
  10. Срок или условие прекращения обработки персональных данных.
  11. Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки.
  12. Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.
  13. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями, установленными Правительством Российской Федерации.

Для подачи уведомления нужно:

  1. Перейти по ссылке на сайт Роскомнадзора и заполнить форму.
  2. После заполнения отправить форму, нажав на соответствующую кнопку на сайте. Одновременно с отправкой вы получите форму для печати.
  3. Распечатать форму в двух экземплярах. Формы должны быть подписаны руководителем организации.
  4. Отправить подписанный бумажный вариант формы в территориальный орган РКН по месту регистрации (по почте или лично).
  5. Дождаться ответа от Роскомнадзора по почте (как правило, занимает не больше месяца). Также можно узнать о статусе заявки по телефону или с помощью специального сервиса на сайте Роскомнадзора.

Предотвратить нарушение всегда проще, чем с его последствиями. Наши специалисты помогут Вам защитить свой сайт, взяв на себя часть этой рутины. Подробности смотрите по ссылке.

  • Авега-Софт
  • 7 Августа 2017
  • Просмотров: 3436

Похожие записи

создание сайтов, обслуживание 1С, разработка дизайна, контекстная реклама