Галочка на сайте всего через две недели станет стоить 300 000 рублей
Большинство бизнесов не слышали о 152-ФЗ. Юристы законодательство о персональных данных не любят — оно объективно непонятно, доступные примеры применения и защиты отсутствуют.
Между тем, с 1 июля 2017 г. в силу вступят изменения, значительно ужесточающие закон о персональных данных.
«Несмотря на то, что 152-ФЗ уже более 10 лет, примеров его действия практически нет. Привлекать к ответственности раньше могла только прокуратура, которой, по большому счету, делать это было некогда. К тому же штрафы за нарушения с точки зрения бизнеса были смешными — до 10 тыс. рублей. Однако скоро все изменится», — рассказывает Онегина Галичина, маркетолог РА «Карась».
С 1 июля 152-ФЗ переходит в зону ответственности Роскомнадзора, а выявлять нарушения станет выгоднее — штраф увеличился до 75 тыс. рублей. Этих изменений Роскомнадзор ждал давно. Теперь РКН может штрафовать не по одной статье 13.11 КоАП, а по семи. Совокупный штраф легко может составить несколько сотен тысяч рублей.
РА «Карась» готовится обезопасить себя и своих клиентов, поэтому агентство провело целый ряд работ вместе с юристами.
В первом пункте статьи 13.11 речь идет об обработке персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработке персональных данных, несовместимой с целями сбора персональных данных. Возможный штраф для юридических лиц — до 50 тыс. рублей. Самый очевидный пример нарушения этого пункта — сбор скан-копий документов через сайт.
К примеру, турагентство может запросить скан загранпаспорта для бронирования поездки. Роскомнадзор посчитает это излишней информацией. Другой пример — обработка данных в дополнительных целях. Получив номер телефона клиента для связи с ним во время доставки, интернет-магазин больше не может отправлять ему смс-сообщения об акциях — с 1 июля это становится нарушением.
Вторая часть статьи 13.11 КоАП касается обработки персональных данных без согласия в письменной форме субъекта персональных данных на их обработку, либо обработки персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме. Штрафы за нарушение этой части статьи доходят до 75 тыс. рублей для юридических лиц. Пример нарушения — сбор, хранение и обработка на сайте специальных данных, например, сведений о состоянии здоровья или результатах анализов в личном кабинете на сайте медицинского центра без явного согласия на обработку таких данных со стороны пользователя. Самый страшный для digital-сферы пример — это онлайн-скоринг данных пользователя без явного согласия на их обработку.
«А это, к слову, информация об IP-адресе и файлах cookie. Еще одним нарушением ч.2 ст.13.11 КоАП является отсутствие в согласии информации о третьих лицах, которым данные могут передаваться, а также несоответствие формы согласия на обработку персональных данных требованиям ч.4 ст.9 152-ФЗ», — отмечает Онегина Галичина.
В 3 части статьи говорится о невыполнении оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных. Штраф за нарушение — до 30 тыс. рублей. Пример нарушения только один — отсутствие на сайте общедоступной ссылки на политику организации в отношении обработки персональных данных.
Часть 4 ст.13.11 КоАП регулирует невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных. Иными словами, нельзя игнорировать запросы физических лиц по поводу обработки и защиты их данных, а отвечать на запросы нужно в установленное законом время, не предоставляя ложной информации. Штраф за нарушение для юридических лиц — до 40 тыс. рублей.
В пятой части речь идет о невыполнении оператором требования субъекта персональных данных или его представителя об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Штрафы по нарушениям этой части ст. 13.11 КоАП доходят до 45 тыс. рублей для юридических лиц. Речь же идет об игнорировании или нарушении сроков предоставления ответа на запросы физических лиц и Роскомнадзора по поводу прекращения обработки персональных данных и их уничтожения.
Шестая часть статьи 13.11 касается невыполнения оператором при обработке персональных данных обязанности по соблюдению условий, обеспечивающих их сохранность. Штраф может составить 50 тыс. рублей. Пример нарушения — отсутствие списка лиц, допущенных к работе с данными, и отсутствие раздельного хранения данных.
Кроме этого, с 2015 года действие 294-ФЗ «О защите бизнеса при проверках» не распространяется на закон о персональных данных, а значит, Роскомнадзор регулирует свою деятельность только внутренним регламентом. Бизнес не сможет найти информацию о планах проверок по персональным данным в открытом доступе.
«Периодичность и частота этих проверок пока тоже не ясны. Вполне вероятно, что уже 1 июля 2017 года ряд сайтов будет заблокирован по причине незаконного сбора персональных данных», – говорит маркетолог РА «Карась».
Что же уже сегодня необходимо сделать владельцу сайта?
1 | На каждой форме сайта необходимо разместить текст следующего содержания: «Нажимая на кнопку ОТПРАВИТЬ, я даю согласие на обработку персональных данных». Текст «согласие на обработку персональных данных» должен быть гиперссылкой собственно на документ согласия или публичной оферты.
2 | Утвердить политику в отношении обработки персональных данных и разместить ее в открытом доступе — прямо на своем сайте.
3 | Убедиться, что сайт находится на территории РФ — узнать адрес сервера. В противном случае его придется переносить.
4 | Указать на сайте электронный адрес, на который пользователь сможет обратиться с вопросом о своих персональных данных, в том числе об их удалении.
5 | Подать уведомление о намерении обрабатывать персональные данные в Роскомнадзор. Изначально форму нужно заполнить на сайте, потом заполненную форму распечатать, подписать и направить в соответствующий территориальный орган Роскомнадзора.
6 | Заключить соглашение об обеспечении безопасности персональных данных, в котором будет указано, какие персональные данные и в каких целях оператор может обрабатывать, и какие действия с ними он может выполнять.
7 | Установить на сайт дисклэймера, уведомляющего посетителей о том, что их персональные данные обрабатываются. В случае несогласия посетитель должен покинуть сайт.
«Эти семь шагов едва ли перекроют 15% требований Роскомнадзора, но их достаточно для того, чтобы обезопасить свой бизнес и выиграть время на более тщательную проработку вопроса о защите персональных данных пользователей», — резюмировала Онегина Галичина.