Новости

Що потрібно знати про персональні дані, щоб не заплатити 300 000 рублей штрафу

  1. Вступ
  2. Весь інтернет-маркетинг за 19 тижнів!
  3. Чому це важливо для digital-ринку?
  4. Жорсткість законодавства щодо персональних даних
  5. Що є персональними даними?
  6. Що робити гравцеві digital-ринку і власнику сайту?

Своїм досвідом ділиться Максим Лагутін, засновник і провідний експерт сервісу Б-152 (Сервіс по виконанню вимог про персональні дані).

Вступ

На позаминулому тижні після поста директора по продуктам Notamedia Олексія Бородкіна, що Тамбовський суд оштрафував одного з клієнтів їх агентства за відсутність згоди на обробку персональних даних у формі зворотного зв'язку на сайті, - серед учасників digital-ринку піднявся серйозний хайп.

Ніхто й подумати не міг, про те, що закон N 152-ФЗ «Про персональних даних» добереться до сайтів. Хоча, насправді, такі випадки вже були. У лютому цього року трапився інцидент з астраханськими сайтами з формою зворотного зв'язку, в яких не було згоди на обробку персональних даних. Компанії-власники сайтів були оштрафовані на 10 000 рублів кожна.

І це ще квіточки, ягідки почнуться 1 липня 2017 року , Коли відбудеться серйозне посилення законодавства в області персональних даних, яке торкнеться власників сайтів і агентства, їх розробляють і обслуговуючі.

Весь інтернет-маркетинг за 19 тижнів!

Cossa рекомендує: онлайн-курс по інтернет-маркетингу від Ingate - digital-агентства з 17-річним досвідом.

  • 17 навчальних блоків з ключових питань інтернет-маркетингу
  • підтримка менторів
  • диплом
  • Стажування в топових агентствах Росії
  • Допомога в працевлаштуванні
Дізнатися більше >>

Реклама

Чому це важливо для digital-ринку?

Роскомнадзор окремим блоком перевіряє інтернет-сервіси, сайти і мобільні додатки, а також договори та взаємини з розробниками сайту і рекламними агентствами.

І він вважає, що якщо ви маєте обробляєте дані користувачів і маєте доступ до адмініструються сайту, то ви обробник персональних даних і повинні їх правильно обробляти і захищати.

Жорсткість законодавства щодо персональних даних

Не дивлячись на те, що Законом N 152-ФЗ «Про персональних даних» вже більше 10 років і багато встигли про нього забути, в ньому відбувалися постійні зміни. Всі вони обумовлені не стільки зміною політичної обстановки, скільки загальним світовому трендом на більш щільне регулювання цього питання (наприклад, в Євросоюзі з 25 травня 2018 року вступлять нові, більш жорсткі вимоги по обробці та захисту персональних даних GDPR).

Які зміни законодавства і позиції регулятора (Роскомнадзора) і судів вже впливають і вплинуть в майбутньому на digital-ринок:

1. Суди стали відносити дані про поведінку користувача на сайті, cookie, відомості про його геопозіціі і IP-адреса до персональних даних. Через це вже потрапили LinkedIn і МГТС. Роскомнадзор того ж думки і в списку запитуваної інформації у перевірених організацій додав трактування того, що він відносить до призначених для користувача (персональним) даними.

2. Через 3 місяці, а саме 1 липня 2017 року, будуть кратно збільшені число і розмір штрафів за порушення вимог обробки персональних даних. Якщо раніше сума штрафів в більшості випадків не перевищувала 10 000 рублів, то тепер вона може спокійно доходити до 300 000 рублів.

Тепер штрафувати Роскомнадзор може не по одній статті 13.11 Кодексу про адміністративні правопорушення (КпАП), а по семи:


Номер статті Текст статті Можливий штраф У яких випадках накладається штраф
ч.1 ст.13.11 КоАП Обробка персональних даних у випадках, не передбачених законодавством Російської Федерації в області персональних даних, або обробка персональних даних, несумісна з цілями збору персональних даних До 50 000 рублів на юридичних осіб

  1. Коли через сайт збираються скани паспортів та інших документів. Роскомнадзор вважає саме скани документів надлишковою інформацією.
  2. Обробка не в тих цілях, коли це потрібно (наприклад, взяли для виконання договору, але попутно розсилаємо email-розсилки)

ч.2 ст.13.11 КоАП Обробка персональних даних без згоди в письмовій формі суб'єкта персональних даних на обробку його персональних даних у випадках, коли така згода має бути отримано відповідно до законодавства Російської Федерації в області персональних даних, якщо ці дії не містять кримінально караного діяння, або обробка персональних даних з порушенням встановлених законодавством Російської Федерації в області персональних даних вимог до складу відомостей, що включаються в згоду в письменн й формі суб'єкта персональних даних на обробку його персональних даних До 75 000 рублей для юридичних осіб

  1. Збір, зберігання і обробка спеціальних персональних даних (відомості про здоров'я, про віросповідання, політичні погляди і тд) на сайті без явного згоди на обробку таких даних.
  2. Проведення онлайн-скорингу його даних (включаючи IP, cookie і відомості з акаунтів в соц.сетях) без явного згоди на обробку персональних даних в цілях скорингу
  3. Відсутність у злагоді чи оферті списку третіх осіб, кому можуть передаватися персональні дані
  4. Невиконання вимог до форми згоди на обробку персональних даних, описаних в ч.4 ст.9 152-ФЗ ( пруфлінк )

ч.3 ст.13.11 КоАП Невиконання оператором передбаченої законодавством Російської Федерації в області персональних даних обов'язки по опублікуванню або забезпечення іншим чином необмеженого доступу до документа, який визначає політику оператора щодо обробки персональних даних, або відомостями про реалізовані вимоги до захисту персональних даних До 30 000 рублів для юридичних осіб

  1. Відсутність на сайті або сторінці мобільного додатка загальнодоступною посилання на Політику організації щодо обробки персональних даних.

ч.4 ст.13.11 КоАП Невиконання оператором передбаченої законодавством Російської Федерації в області персональних даних обов'язки з надання суб'єкту персональних даних інформації, що стосується обробки його персональних даних До 40 000 рублів для юридичних осіб

  1. Ігнорування запитів фізичних осіб з приводу обробки і захисту їх персональних даних.
  2. Відповідь на запит у строки, що перевищують встановлені законом
  3. Надання неправдивої інформації

ч.5 ст.13.11 КоАП Невиконання оператором в терміни, встановлені законодавством Російської Федерації в області персональних даних, вимоги суб'єкта персональних даних або його представника або уповноваженого органу з захисту прав суб'єктів персональних даних про уточнення персональних даних, їх блокування або знищення в разі, якщо персональні дані є неповними, застарілими, неточними, незаконно отриманими або не є необхідними для заявленої мети обробки До 45 000 рублів для юридичних осіб

  1. Ігнорування запитів фізичних осіб і Роскомнадзора з приводу припинення обробки персональних даних та їх знищення
  2. Порушення термінів надання відповідей на пропозиції, що надійшли запити

ч.6 ст.13.11 КоАП Невиконання оператором при обробці персональних даних без використання засобів автоматизації обов'язки по дотриманню умов, що забезпечують відповідно до законодавства Російської Федерації в області персональних даних збереження персональних даних при зберіганні матеріальних носіїв персональних даних і виключають несанкціонований доступ до них, якщо це спричинило неправомірне або випадковий доступ до персональних даних, їх знищення, зміна, блокування, копіювання, надання, рас ространеніе або інші неправомірні дії щодо персональних даних, при відсутності ознак кримінально караного діяння До 50 000 рублів для юридичних осіб

  1. Відсутність списку осіб, допущених до такої обробці
  2. Відсутність роздільного зберігання даних

ч.7 ст.13.11 КоАП Невиконання оператором, що є державним або муніципальним органом, передбаченої законодавством Російської Федерації в області персональних даних обов'язки по знеособлення персональних даних або недотримання встановлених вимог або методів по знеособлення персональних даних до 6 000 рублів для посадових осіб

  1. сабж

3. Роскомнадзор отримав право виносити адміністративні справи з перерахованих вище статей порушень без Прокуратури. Тобто тепер від штрафу точно не відбутися.

Крім цього, ще з 1 вересня 2015 року перевірки щодо відповідності закону «Про персональні дані» вийшли з під дії закону 294-ФЗ «Про захист бізнесу при перевірках».

До чого це призвело:

  • Роскомнадзор тепер не повідомляє про планові перевірки комерційних організацій та ВП Прокуратуру, тому в зведеному плані перевірок на сайті Прокуратурі годі й шукати перевірок щодо персональних даних;

  • закон захищав бізнес від частих перевірок і «маски шоу». Тепер при перевірках Роскомадзор регулює свою діяльність тільки своїм внутрішнім адміністративним регламентом;

  • Роскомнадзор може блокувати сайти, які незаконно збирають персональні дані (випадок з Linkedin - явний тому приклад).

4. Всі бази персональних даних повинні спочатку збиратися і оброблятися на території Російської Федерації . З урахуванням того, що Роскомнадзор вважає персональними даними також і дані відвідувачів сайту, то це стосується практично будь-якого сайту. За порушення цієї вимоги Роскомнадзор їх блокує.

Що є персональними даними?

Персональні дані - будь-яка інформація, що стосується прямо або побічно певного або визначається фізичній особі (суб'єкту персональних даних). Так виглядає трактування терміна в законі 152-ФЗ «Про персональних даних» і вона більш ніж розмита.

Виходячи з позиції суден і Роскомнадзора, персональними даними є інформація аж до призначених для користувача даних . Саме на позицію судів через брак чітких трактувань необхідно посилатися.

Якщо в формі зворотного зв'язку є поле «Ім'я» або «Назвіться», то вкупі з автоматично передаються cookie і іншими метаданими це буде персональними даними.

Що робити гравцеві digital-ринку і власнику сайту?

Щоб не лити воду, опишу те, що як мінімум потрібно зробити агентствам, студіям і власникам сайтів, щоб не потрапити на штрафи і не отримати блокування сайту.

  1. Під кожною формою введення даних на сайтах і в мобільних додатках (форма реєстрації, заявки, зворотного зв'язку і т.д.) розмістити текст «Натискаючи на кнопку НАЗВАНІЕ_КНОПКІ, я даю згоду на обробку персональних даних», де текст «згоду на обробку персональних даних »є посиланням на сам документ. Як приклад згоди можна подивитися наша згода . Замість згоди можна використовувати єдину публічну оферту, але в ній буде потрібно прописати, в яких цілях, які дані обробляються, тобто вказати все, згідно ч.4 ст.9 152-ФЗ . У цьому випадку обов'язково зберігати логи, щоб в разі чого довести Роскомнадзор, що той чи інший користувач дійсно заходив на сайт і залишав там свої персональні дані.

  2. Власнику сайту необхідно затвердити наказом Політику щодо обробки персональних даних та розмістити її в своєму офісі, на сайті і в мобільному додатку в загальному доступі. Найпростіше це реалізувати, вставивши посилання на документ в футер. При цьому з даним документом реєструється не повинен погоджуватися при заповненні форми.

  3. Перенести сайт на територію РФ і дізнатися у технічної підтримки хостинг-провайдера або Цода адреса місця розташування вашого сервера (дізнатися аж до будівлі). Цю інформацію Роскомнадзор вміє перевіряти, так як також контролює операторів зв'язку, обдурити його не вийде.

  4. Вказати email, куди фізична особа може звернутися за тим, щоб його персональні дані були видалені, заблоковані і взагалі куди він може задати питання щодо персональних даних. Можна все відправляти і на загальну пошту, але ви тоді повинні проконтролювати, що лист, що стосується персональних даних, буде відфільтровано і не проігноровано.

  5. Агентству і власнику сайтів необхідно подати повідомлення про обробку персональних даних (форма тут ) І крім усього іншого вказати там адреси місцезнаходження баз персональних даних та перелік персональних даних, які в ній містяться.

  6. Агентству / студії і власнику сайту, в разі якщо агентство має доступ до персональних даних з заявок, БД або просто привертає клієнтів, необхідно укласти угоду про забезпечення безпеки персональних даних, в якому буде вказано, які персональні дані агентство / студія може обробляти, в яких цілях і які дії з ними виконувати. Також там повинні бути вимоги щодо захисту персональних даних, але захист у приватних компаній не перевіряють.

  7. До 1 липня 2017 року надати на сайті дисклеймер, який буде повідомляти відвідувачів сайту, що його персональні дані обробляються на сайті з метою його функціонування і якщо він не згоден, то повинен покинути сайт. В іншому випадку це буде згодою на обробку його персональних даних.

Відразу хочу сказати, що це тільки 10% вимог Роскомнадзора до компаній (повний перелік тут ), Але його досить, щоб почати вирішувати питання і в разі проблем не підставити клієнта і себе.

Матеріал підготовлений на підставі досвіду роботи компанії Б-152 і особисто Максима Лагутіна.

Читати по темі: Закон «Про персональні дані» - що потрібно знати агентству

Думка редакції може не збігатися з думкою автора. Якщо у вас є, що доповнити - будемо раді вашим коментарям. Якщо ви хочете написати статтю з вашою точкою зору - прочитайте правила публікації на Cossa.


Чому це важливо для digital-ринку?
Що робити гравцеві digital-ринку і власнику сайту?
Що є персональними даними?
Що робити гравцеві digital-ринку і власнику сайту?

Уважаемые партнеры, если Вас заинтересовала наша продукция, мы готовы с Вами сотрудничать. Вам необходимо заполнить эту форму и отправить нам. Наши менеджеры в оперативном режиме обработают Вашу заявку, свяжутся с Вами и ответят на все интересующее Вас вопросы.

Или позвоните нам по телефонам: (048) 823-25-64

Организация (обязательно) *

Адрес доставки

Объем

Как с вами связаться:

Имя

Телефон (обязательно) *

Мобильный телефон

Ваш E-Mail

Дополнительная информация:

Все права защищены © 2013 Производственная компания El.Od
Промышленное производство рыбной продукции