Закон 152-фз о персональных данных — как их правильно собирать и хранить, чтобы не быть оштрафованным

Закон №152-ФЗ о персональных данных: как обезопасить бизнес от штрафов?

Законодательство не стоит на месте, и вот с 1 июля 2017 года введены новые штрафы за несоблюдение требований Федерального закона «О персональных данных» от 27.07.2006 №152-ФЗ (далее – Закон №152). Что нужно сделать уже сегодня, чтобы избежать административную ответственность?
 

Кого могут наказать?

Согласно Закону №152-ФЗ, персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся физлицу, в том числе: — ФИО (вместе и даже по отдельности); — дата рождения; — адрес; — телефон; — email; — фотография; — ссылка на персональный сайт; — ссылка на профиль в социальных сетях. Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта, имеющий форму обратной связи, или любой работодатель является оператором персональных данных, и как следствие, обязан соблюдать требования Закона №152, так как попадает под административную ответственность. Следует также различать: если физическое лицо записывает контакты своих знакомых в блокнот, чтобы просто не забыть поздравить их с днем рождения – это не сбор персональных данных. Если то же лицо выступает в качестве ИП, оказывая частные услуги на дому, к примеру, делает маникюр, и ведет такую запись – это сбор персональных данных. У клиентов в этом случае надо спрашивать согласие на него и нести ответственность за разглашение, если таковое случится.

За что могут наказать?

Нарушение №1: Обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка персональных данных, несовместимая с целями сбора персональных данных – самостоятельные виды административного нарушения (ч. 1 ст. 13.11 КоАП РФ). Приведем пример: организация-работодатель собирает персональные данные работников в отношении их религиозных предпочтений. Или организация передает персональные данные сторонним компаниям в рекламных целях (передаются ФИО, телефоны, регионы проживания, уровень дохода). Если в таких действиях работодателя не будет выявлено уголовного состава преступления, то можно будет применить административную ответственность. Штраф в данном случае: для граждан — в размере от 1000 до 3000 руб.; для должностных лиц – от 5 000 до 10 000 руб.; для юридических лиц – от 30 000 до 50 000 руб.

Нарушение №2: Обработка персональных данных работодателем, по общему правилу, возможна только с письменного согласия работников.

Обработка персональных данных без согласия работника в письменной форме, либо если письменное согласие не содержит обязательные сведения – это самостоятельное административное нарушение, предусмотренное в части 2 статьи 13.11 КоАП РФ. За него возможны штрафные санкции:

для граждан – в размере от 3000 до 5000 руб.; для должностных лиц (например, директор, кад- ровик или ИП) – от 10 000 до 20 000 руб.; для организаций – от 15 000 до 75 000 руб.

Нарушение №3: Оператор персональных данных (например, работодатель или интернет-сайт) обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных в Интернете (например, через сайт), обязан опубликовать в Интернете документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу. Штраф в данном случае предусмотрен пунктом 2 статьи 18.1 Закона №152-ФЗ (ч.3 статьи 13.11 КоАП РФ):

для граждан – от 700 до 1500 руб.; для должностных лиц (например, директора или главбуха) – от 3000 до 6000 руб.; для индивидуальных предпринимателей – от 5000 до 10 000 руб.; для организаций – от 15 000 до 30 000 руб.

Нарушение №4: Субъект персональных данных, то есть, физическое лицо, кому принадлежат эти данные, имеет права на получение информации, касающейся обработки его персональных данных, в том числе содержащей (ч. 7 ст.

14 Закона №152-ФЗ):

— подтверждение факта обработки персональных данных оператором; — правовые основания и цели обработки персональных данных; — цели и применяемые оператором способы обработки персональных данных; — наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона; — обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; — сроки обработки персональных данных, в том числе сроки их хранения; — порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом; — информацию об осуществленной или о предполагаемой трансграничной передаче данных; — наименование или фамилию, имя, отчество и ад-рес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; — иные сведения, предусмотренные Федеральным законом или другими федеральными законами. В этом случае административная ответственность: для граждан – от 1000 до 2000 руб.; для должностных лиц (например, директора, кадровика или бухгалтера) – от 4000 до 6000 руб.; для индивидуальных предпринимателей – от 10 000 до 15 000 руб.; для юридических лиц (организаций) – от 20 000 до 40 000 руб.

Нарушение №5: Статья 21 Закона №152-ФЗ «О персональных данных» предусматривает, что в ряде случаев оператор обязан уточнять, блокировать или уничтожать персональные данные физических лиц.

Невыполнение оператором требования субъекта персональных данных или его представителя об уточнении, блокировке, уничтожении данных (если данные неполные, устаревшие, неточные, незаконно получены или не являются необходимыми для заявленной цели обработки).

Административная ответственность в этом случае: для граждан – от 1000 до 2000 руб.; для должностных лиц (например, директора, кадровика или главбуха) – от 4000 до 10 000 рублей; для ИП – от 10 000 до 20 000 рублей; для юридических лиц – от 25 000 до 45 000 руб.

Нарушение №6: Многие работодатели собирают персональные данные работников только «на бумаге» и не ведут никакой автоматизированной обработки, не имеют специальных программ для обработки баз данных.

Законодатели выделили для таких операторов (в частности, работодателей) новый вид правонарушения за необеспечение оператором при обработке персональных данных без использования средств автоматизации обязанности по сохранности персональных данных при хранении их материальных носителей, если это привело к неправомерному или случайному доступу к персональным данным.

А это, в свою очередь, послужило причиной их уничтожения, изменения, блокирования, копирования, предоставления, распространения либо иного неправомерного действия. Если это произошло, то административная ответственность может наступить в виде административного штрафа:

для граждан – от 700 до 2000 руб.; для должностных лиц (например, руководителя) – от 4000 до 10 000 руб; для индивидуальных предпринимателей – от 10 000 до 20 000 руб; для организаций – от 25 000 до 50 000 руб.

Указанные штрафы налагаются за каждое допущенное нарушение, поэтому изначально заявленная сумма штрафа от 15 000 до 75 000 руб. в итоге может вырасти до весьма внушительных размеров.

Кто может наказать?

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.

В настоящее время это Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (Постановление Правительства РФ от 16.03.2009 №228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»). Плановая проверка Роскомнадзора осуществляется не чаще 1 раза в 3 года.

Таким образом, если в указанный период в вашей компании она проводилась и в дальнейшем вы не допускали каких-либо нарушений, в ближайшее время ожидать проверки не стоит. Если же за последние 3 года инспекторы не были у вас в гостях, то самое время подготовиться к их визиту. Но никогда не стоит забывать о внеплановых проверках, по заявлению или жалобе физических лиц.

О внеплановой проверке Роскомнадзор предупреждает за 24 часа. К сведению. Помимо Роскомнадзора проверить соблюдение работодателем требования законодательства в области персональных данных может Роструд. Положениями гл. 14 ТК РФ (наравне с Законом №152-ФЗ) определены требования к обработке персональных данных работников и гарантии их защиты.

Инспекторы по труду наделены полномочиями по составлению протоколов об административных правонарушениях, в том числе предусмотренных ст. 5.27 КоАП РФ, в случаях нарушения трудового законодательства (пп. 16 ч. 2 ст. 28.3 КоАП РФ).

Федеральная служба по техническому и экспортному контролю (ФСТЭК) осуществляет надзор за техническими средствами обработки персональных данных за исключением криптографических средств.

Кроме того, полномочиями по контролю за выполнением организационных и технических мер по обес-печению безопасности персональных данных при их обработке в информационных системах наделена ФСБ РФ. Надзорными полномочиями в сфере персональных данных обладает прокуратура в силу статьи 1 Федерального закона «О прокуратуре РФ» от 17 января 1992 г. №2202-1.

Какие персональные данные вправе получить работодатель?

Согласно ч. 1 ст. 57 ТК РФ в трудовом договоре обязательно указываются фамилия, имя, отчество работника, сведения о документах, удостоверяющих его личность, ИНН. Это значит, что каждый работодатель, заключая трудовой договор, получает информацию, относящуюся к персональным данным.

Такая информация содержится в документах, предъявляемых работником при приеме на работу: — в паспорте; — в военном билете (у военнообязанных); — в свидетельстве о присвоении ИНН; — в страховом пенсионном свидетельстве; — в документах об образовании; — в водительском удостоверении и документах на машину, если это требуется в связи с исполнением трудовой функции; — в медицинской справке о прохождении медицинского осмотра (медицинской книжке), если это необходимо в связи с исполнением работником трудовой функции. Вся эта информация относится к персональным данным, и ее можно получить только от сотрудника. Если персональные сведения возможно получить только от третьих лиц, то сначала уведомите об этом сотрудника и получите от него письменное согласие. При этом сообщите сотруднику о целях, предполагаемых источниках и способах получения персональных данных. Кроме того, известите его о характере подлежащих получению персональных данных и о последствиях отказа сотрудника дать согласие на их получение. Такой порядок предусмотрен в пункте 3 части 1 статьи 86 Трудового кодекса РФ. Работодатель не вправе собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника, например, сведения о вероисповедании, политических пристрастиях, жилищных условиях и т. п. Эти сведения составляют личную или семейную тайну гражданина, которую он вправе никому не разглашать. Об этом сказано в пункте 4 час-ти 1 статьи 86 Трудового кодекса РФ и статье 10 Закона №152. Получив персональные данные, работодатель обязуется их не распространять и не раскрывать треть-им лицам без согласия на то сотрудника (ст. 7 Закона №152-ФЗ).

Читайте также:  Яндекс аккаунт — регистрация и как пользоваться сервисом

К сведению:

Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Как обеспечить защиту персональных данных работодателю?

Источник: http://svetich.info/publikacii/agrarnoe-pravo/zakon-152-fz-o-personalnyh-dannyh-kak-ob.html

Закон 152-ФЗ о персональных данных — как их правильно собирать и хранить, чтобы не быть оштрафованным

  1. Что считать персональными данными?
  2. Как избежать нарушений закона 152-ФЗ?

С июля 2017 года вступили в силу изменения в закон 152-ФЗ о хранении персональных данных пользователей — в разы выросли штрафы и упростилось их наложение. Что делать, владельцу сайта, чтобы не быть оштрафованным?

то считать персональными данными и почему это так важно?

С начала июля этого года, в связи с дополнениями в законе 152-ФЗ, существенно повышается вероятность получить по носу (в виде штрафа приличного размера) от Роскомнадзора за нарушение правил работы с персональными данными пользователей. Вообще, это тема злободневная для нашей текущей политики, и на этой почве как раз и произошло неприятное для нас (вебмастеров) событие — одновременное усиление ответственности и упрощение процедуры наложения штрафов.

Теперь Роскомнадзор может выписать штраф без привлечения прокуратуры и размеры этих штрафов получаются какие-то запредельные особливо для тех, кто оформился как юр.

лицо или ИП (ладно там гиганты интернет-индустрии, но большинству это мало не покажется). Например, за сбор Емайлов без согласия оппонента можно получить штраф до 75 тыс. рублей для юр.лиц, хотя физ.

лицо отделается несколькими тысячами.

Получается, что физ. лицо несет меньше ответственности и это логично (владельца сайта «хомячка» с формой обратной связи на бОльшую сумму штрафовать рука не поднимется).

Но ко многим «серьезным» вебмастерам может возникнуть вопрос о незаконной предпринимательской деятельности, если сайт монетизируется (а это несложно понять).

Неплохой способ для Роскомнадзора совместить приятное (штрафы) с полезным (выявление незаконных предпринимателей).

Ключевой вопрос состоит в том, что считать персональными данными, подпадающими под этот закон? ФИО, адрес, паспортные данные, номер телефона или же просто Емайл, имя, cookie (Ip адреса, поисковые запросы и т.п.

) или того хуже, ник.

Этот вопрос вообще ключевой по отношению к 99% процентам вебмастеров рунета, которые из этого списка обычно собирают только Емайлы, куки и имена (в форме добавления комментария, в форме подписки или обратной связи).

Однозначной трактовки нет и это пугает, ибо есть свобода маневра в том случае, если Роскомнадзор захочет оштрафовать как можно больше владельцев сайтов. С другой стороны, в сети есть призывы не паниковать, ссылаясь на слова главы Роскомнадзора, сказанными в одном из интервью:

Повторю ответ на вопрос заданный в заголовке этой публикации — я не знаю истины, но в силу масштабности возможных штрафов предпочитаю «подстелить соломки» и нивелировать риски нарушения самых «убойных» пунктов, за которые взимаются самые большие суммы (десятки тысяч рублей за одно нарушение).

Как снизить риск штрафа за нарушение закона 152-ФЗ?

Понятно, что закон писался все же для «серьезных» сайтов с огромной аудиторией и большими объемами собираемых персональных данных.

Во-вторую очередь шерстить, наверное, будут интернет-магазины и прочую коммерцию, ибо там штрафы однозначно будут большие (юр.лица, ИП).

Но вполне возможно, что дойдет дело и до обычных владельцев небольших ресурсов. Поэтому определенные действия все же предпринять стоит.

Тут ключевым является именно «снизить риск», ибо дать гарантию, что к вам после этого уже не докопаются, будет сложно. Во-первых, нужно быть юристом, чтобы понять все возможные заковыки.

Во-вторых, формулировки и трактовки расплывчаты. В-третьих, ключевую роль могут сыграть варианты реализации описанного ниже. В-четвертых, «старый тупой дядька» может ошибаться.

В общем, снизить риск, но не снять проблему полностью.

Итак, что желательно сделать, чтобы у Роскомнадзора не возникло желание с вами поближе познакомиться:

  1. Хранить собираемые персональные данные на территории Российской федерации. Тут все определяется, как я понимаю, географическим расположение сервера, на котором работает сайт. Т.е. хостинг желательно выбирать на территории России. Собственно, из-за этих проблем (хранения личных данных россиян за пределами страны) и был заблокирован Линкедин (соцсеть для работников и работодателей).
  2. Пользователей необходимо поставить в известность о тех мерах безопасности, которые вы предпринимаете для хранения сообщаемых ими персональных данных (и ответственности, которую несут стороны). Для этого обычно размещают на сайте так называемую «Политику конфиденциальности», где нужно будет все четко и по пунктам расписать. Где ее взять? Ну, списать у кого-нибудь или, например, можно использовать сервисы для ее автоматического составления:
    1. Политика конфиденциальности для коммерческого и обычного сайта (я его использовал, но потом чутка дооформил полученный документ). Нашел ссылку на этот сервис у Сергея Сосновского.
    2. То же самое, но есть ограничения при бесплатном использовании
  3. Нужно, чтобы ссылка на страницу с политикой конфиденциальности была доступна с любой страницы вашего сайта, поэтому ее нужно сделать сквозной, разместив, например, в футере или в низу сайдбара.
  4. Нужно, чтобы перед отправкой вам своих персональных данных через любую форму на сайте пользователь предварительно соглашался с описанной выше политикой конфиденциальности.
    1. В идеале — это должен быть чекбокс, не поставив галочку в котором пользователь данные отправить не сможет. И естественно, что ссылка на эти самые правила обработки данных должна быть рядом (пользователя может заинтересовать с чем он соглашается). Именно такую реализацию я сейчас вижу на сайтах некоторых банков.
    2. Но сам я сделал упрощенно — просто написал, что наживая кнопку вы, дескать, соглашаетесь со всем и вся (см. внизу этой статьи под формой подписки на рассылку).
  5. Желательно не собирать лишней информации о пользователях в различных формах и заявках. Во-первых, это ухудшает воронку конверсий (чем больше полей, тем меньше желание их заполнять), во-вторых, возможно, собираемая вами информация и не подпадет таки под шаблон Роскомнадзора.
  6. Даже если вы данные не собираете и не храните, например, используя сторонние системы комментирования (типа дискуса) или социальные сети для входа на сайт, то я бы все равно в политике конфиденциальности об этом упомянул и описанное выше предупреждение разместил. Например, Гугл Адсенс требует упоминать в политике конфиденциальности, что на сайте ведется сбор информации из куков, пусть это осуществляет и сторонняя сайту система контекстной рекламы.
  7. Данные нужно надежно хранить. Как это будут проверять не знаю. К тому же, по первому требованию вы данные пользователя должны будете удалить из своей базы. Вот это уже проверить намного проще.
  8. Ну и, естественно, следуя пунктам закона 152-ФЗ вы должны (просто обязаны) настучать на себя в Роскомнадзор. Конкретных штрафов за невыполнение этого требования не приводится, но они, скорее всего, есть. Хотя я этот пункт проигнорировал (ну, типа, сделал главное и забыл сообщить, просто погрузившись в рутину накопившихся за это время дел).

Думаю, что ссылку на мою версию политики хранения персональных данных пользователей вы найдете без труда (с некоторых страниц на нее аж по три ссылки ведет). Варианты оформления своих форм подписки, обратной связи, комментирования, заказов и т.п. вы тоже выберите сами исходя из своих соображений. Мне же остается только откланяться и сказать спасибо тем, кто дочитал до этого предложения.

Удачи вам!

Читать далее про закон 152-ФЗ >

Источник: https://subscribe.ru/group/wordpress-ot-a-do-ya/13999666/

152-ФЗ: полное руководство 2018 г. по обработке и защите персональных данных

Федеральный закон 152-ФЗ “О персональных данных” существует с 2006 года, но только 1 июля 2017 г. про него вспомнили все — тогда начали действовать поправки к статье 13.11 КоАП РФ. Штрафы за незаконную обработку персональных данных существенно выросли, а Роскомнадзор получил полную свободу действий по отношению к нарушителям.

Рассказываем, как сделать все правильно и обезопасить свой бизнес.

Приведем ваш сайт в соответствие с 152-ФЗ в рамках продвижения

Узнать детали

Любое юридическое лицо, ИП или некоммерческая организация является оператором персональных данных, которые условно делятся на 3 категории:

  • информация о сотрудниках,
  • информация о клиентах,
  • данные о пользователях сайта.

На любого оператора распространяются требования закона к обработке и защите персональных данных:

  • получать, хранить и использовать данные можно только с согласия владельцев,
  • использовать их можно только в целях, указанных во взаимном соглашении,
  • хранить данные необходимо на территории РФ (это касается всех видов носителей — в частности, хостинга сайта),
  • требуется удалять или обезличивать данные по окончании использования.

Карать за незаконную обработку персональных данных может Роскомнадзор, Федеральная служба по техническому и экспортному контролю и даже Трудовая инспекция.

Не ответили вовремя на запрос пользователя удалить его из базы рассылки? Штраф 40 тыс. руб. Храните резюме сотрудников в открытом доступе — 50 тыс. руб. Не уведомляете пользователей сайта о сборе их персональных данных — 75 тыс. руб.

Не забывайте о том, что штрафы по разным нарушениям суммируются, сайту грозит блокировка, а особо активные владельцы персональных данных могут пойти в суд и потребовать возмещения морального ущерба.

  1. Сначала приведите сайт в соответствие с требованиями 152-ФЗ — скорее всего аудит начнут именно с него и в первую очередь придут к тем, у кого на сайте нет ни слова про персональные данные.
  2. Затем начинайте вносить изменения в документооборот компании — это может занять не один месяц.
  3. Не используйте данные ваших пользователей для рекламы без их согласия. Это касается и онлайн-пользователей, и покупателей оффлайн-магазинов, которые оставляют свои координаты, получая карты лояльности. Уставшие от назойливых рассылок граждане теперь могут подать на вас жалобу и быть услышанными.
  4. Если среди ваших сотрудников, клиентов или целевой аудитории есть жители европейских стран, с 26 мая 2018 г. вам также нужно выполнять требования Регламента GDPR.

Владельцам сайтов необходимо разработать и утвердить приказом собственный документ, где будут прописаны права и обязанности оператора в отношении сбора и обработки персональных данных пользователей.

В соответствии с рекомендациями Роскомнадзора в Политике конфиденциальности для сайта нужно прописать:

  • Общие положения по обработке и защите персональных данных. Включают назначение документа, расшифровку ключевых понятий (персональные данные, обработка, оператор, субъект), права и обязанности сторон.
  • Цели сбора. Сбор данных должен проводиться только в рамках определенных целей — приема обращений, корректной работы сайта, конкретных маркетинговых активностей и т.д.
  • Правовые основания. Сюда относятся уставные документы компании, согласие пользователей на обработку данных и другие документы, согласно которым владелец сайта собирает и использует данные субъекта. Обратите внимание: Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» не является основанием сбора данных, так как он лишь регулирует отношения сторон и требования к операторам.
  • Объем и содержание подлежащих сбору данных. Категории обрабатываемых сведений о субъекте должны в обязательном порядке соответствовать указанным в документе целям и не могут быть избыточными. Например, если вы не сформулировали, зачем вам скан паспорта пользователя, за сбор таких данных вас могут оштрафовать.
  • Условия обработки. Здесь нужно перечислить операции, которые вы совершаете с данными пользователей, а также методы и сроки их обработки.
  • Условия передачи данных третьих лицам. Если у вас есть необходимость в передаче конфиденциальных данных третьим лицам, нужно обозначить категории третьих лиц, цели, условия, методы и объемы передачи данных, разрешенные способы использования и требования к их защите.
Читайте также:  Апатия — что делать, если ничего не хочешь

Если вы вносите изменения в условия Политики в отношении персональных данных, нужно не только уведомить пользователей об изменениях, но и обязательно сохранить на сайте старые редакции Политики, на основании которых сбор данных производился ранее.

Не стоит копировать такой документ с другого сайта, меняя лишь название компании: для каждого сайта набор персональных данных, цели и порядок их обработки будет свой.

Разработанный документ нужно разместить на сайте (обычно в футере) и получать согласие с ним пользователей в момент отправки данных. Это относится ко всем формам, собирающим информацию: заявки, обратного звонка, подписки на рассылку и т.д.

Нажимая на кнопку целевого действия (оставить заявку / купить / подписаться), пользователь должен по умолчанию или с помощью галочки согласиться на обработку данных.

В текст «Я даю согласие на обработку персональных данных в соответствии с Политикой конфиденциальности сайта» нужно вставить ссылку на Политику.

Иногда делают отдельный документ «Согласие на обработку персональных данных», короче и понятнее для пользователей, но строгих требований закона по этому вопросу нет.

Один из вариантов оформления согласия

Шаг 3. Разместить уведомление о сборе cookies

Существует 4 категории cookies, которые собираются на современных сайтах и также могут являться персональными данными по закону:

  • Обязательные. Используются для работы пользователей с сайтом и позволяют им регистрироваться, совершать быстрые покупки и получать доступ к защищенным областям.
  • Эксплуатационные. Сведения о поведении на сайте — посещенные страницы, время на сайте, полученные сообщения об ошибках и т.д. Такие данные анонимны и собираются для анализа трафика и улучшения работы сайта.
  • Функциональные. Позволяют запомнить выбранные пользователем параметры (имя, геоположение, язык и т.п.) и настроить сайт под него.
  • Маркетинговые. Сведения о профиле пользователя (пол, возраст) и его интересах (на основе поисковых запросов и посещенных сайтов). Эти данные часто передаются третьим лицам (рекламным сетям) и позволяют показывать ему наиболее релевантную рекламу.

На сайте необходимо разместить уведомление, в соответствии с которым пользователь автоматически соглашается со сбором определенных видов cookies. В противном случае он должен покинуть сайт.

Шаг 4. Предоставить пользователям возможность отозвать свои персональные данные

Обычно сбор данных прекращается, когда достигнуты цели их использования, но иногда причиной может стать запрос самого субъекта ПД.

Чтобы не нарушать закон, нужно:

  1. Разместить в информационных рассылках заметные кнопки отписки. Проверить корректность их работы.
  2. Разместить на сайте e-mail для запросов, связанных с персональными данными.
  3. Оперативно реагировать на запросы пользователей предоставить информацию о его ПД или удалить их.

Шаг 5. Проверить расположение баз данных

Узнайте у своего хостинг-провайдера точный адрес сервера вплоть до здания. Если сервер находится за пределами РФ, рекомендуется перенести сайт — иначе придется составлять Регламент по трансграничной передаче данных, да и у РКН будет больше вопросов.

Помните LinkedIn? Именно за хранение данных вне РФ его и заблокировали еще в 2016 г.

Шаг 6. Подать заявление в Роскомнадзор

Владелец сайта должен уведомить РКН о том, что он является оператором персональных данных. Для этого понадобится точный адрес сервера, который вы узнали на предыдущем шаге.

Обратите внимание: даже если вы подаете заявление в 2018 г., датой начала обработки персональных данных следует считать дату регистрации вашей компании.

После отправки электронного заявления не забудьте его распечатать, подписать у руководителя компании и отправить печатную версию по адресу Роскомнадзора — это обязательное требование. Спустя пару недель стоит проверить, добавили ли вас в Реестр операторов ПД.

В каких случаях НЕ нужно подавать заявление:

  • если вы обрабатываете персональные данные без средств автоматизации (компьютера),
  • если вы обрабатываете только внутренние персональные данные (сотрудников, клиентов или партнеров на основании договорных отношений),
  • если все данные ваших пользователей находятся в публичном доступе (например, комментарии к записям),
  • если вы собираете только ФИО пользователей,
  • общественным, религиозным и государственным структурам.

Всем сайтам, где пользователи оставляют адрес электронной почты, телефон или платежные данные, подавать заявление нужно.

Необходимо назначить сотрудника, ответственного за обработку персональных данных в компании — речь идет о данных сотрудников, клиентов и партнеров. Это может быть бухгалтер или кто-то из руководства.

Шаг 2. Составить внутренние правила обращения с ПД

Нужно составить Правила обработки персональных данных в компании и в письменной форме ознакомить с ними сотрудников. В документе, в том числе, нужно отразить уровни доступа к конфиденциальным данным, согласно с должностными инструкциями. Все сотрудники должны подписать Обязательство о неразглашении персональных данных.

Правила обработки персональных данных должны быть прописаны отдельным разделом и в договорах с клиентами и партнерами компании. Также это можно сделать в форме Соглашения, которое подписывается в дополнение к существующему договору.

Не обязательно, но желательно

1. Защитить информационные системы

Если конфиденциальные данные пользователей задействованы в информационных системах (к примеру, в 1С, CRM и т.д.), нужно убедиться в высоком уровне их технической защищенности, составить специальный акт, а при наличии угроз — техническое задание на проект системы защиты с использование продукта, рекомендованного ФСТЭК. Процедура долгая и достаточно дорогая.

В первую очередь, это актуально для корпораций, больших интернет-магазинов, государственных и общественных учреждений. Особенно осторожными нужно быть владельцам компаний, которые собирают и обрабатывают данные более чем 100 000 субъектов, касающиеся политических взглядов, состояния здоровья, интимной жизни, расовой или национальной принадлежности, а также религиозных убеждений.

Риск проверки этого требования ФСТЭК и ФСБ РФ у малого и среднего бизнеса крайне мал. Бюджетный вариант для подстраховки — организовать хранение баз данных в облаке с помощью специального сервиса.

2. Перейти на защищенный протокол HTTPS

Установка протокола HTTPS для шифрования данных и их безопасной передачи не является требованием 152-ФЗ, но очень рекомендуется. Если вы до сих пор этого не сделали, то рекомендуем запланировать переход до конца 2018 года.

Для чего это нужно, если кратко: протокол исключает перехват информации сторонним сервисом и ее использование мошенниками, существенно повышая доверие и пользователей, и поисковых систем.

Для корректного перехода на HTTPS обратитесь к своему SEO подрядчику.

Источник: https://aevrika.ru/blog/152-fz-polnoe-rukovodstvo-2018-g-po-obrabotke-i-zaschite-personalnyh-dannyh/

Инструкция: как уберечь компанию от штрафов по закону о персональных данных — Право на vc.ru

Рекомендации от юриста, основателя сервиса по защите интернет-бизнеса E-docs Анара Костенко.

Роскомнадзор продолжает свою деятельность по «спасению» интернета, и на этот раз под прицелом оказались почти все владельцы сайтов. С 1 июля 2017 года в силу вступают новые изменения в Кодексе об административных правонарушениях (КоАП), которые ужесточат санкции по отношению ко всем лицам, собирающим персональные данные. Теперь штрафы будут достигать 295 тысяч рублей.

Чем это грозит владельцам сайтов

Начать стоит с разъяснения того, что такое персональные данные. В первую очередь под эту категорию попадают электронная почта, имя, фамилия и номер телефона. А с недавних пор Роскомнадзор начал относить к персональным данным адрес места жительства, IP и даже сведения, получаемые при помощи cookies.

Так, если ваш сайт собирает такую информацию, то Роскомнадзор автоматически относит вас к операторам персональных данных. То есть вы обязаны уведомить ведомство о наличии специальной документации, которая регламентирует вашу деятельность. А теперь подумайте, много ли осталось сайтов, в которых нет личного кабинета или формы сбора информации?

Неужели начнут штрафовать?

Штрафовали и раньше. Один из самых интересных кейсов произошел в октябре 2016 года, когда Тамбовская городская юридическая компания была оштрафована за сбор персональных данных. Уже тогда суд занял позицию Роскомнадзора, приравнял электронную почту и номер телефона к персональным данным и обязал компанию выплатить административный штраф в размере 1 тысячи рублей.

Да, всё верно, одна тысяча. И если раньше нарушители выплачивали не больше 10 тысяч, то с 1 июля штрафы смогут достигать 295 тысяч рублей для юридических лиц и 75 тысяч рублей — для физических лиц.

Что может послужить основанием для проверки сайта

Существуют два ключевых основания: жалоба и проведение плановых проверок. Согласно данным Роскомнадзора, по сравнению с 2013 годом количество жалоб выросло практически на 60% — c 10 016 обращений до 33 814. Стоит учитывать, что никто не застрахован от жалобы со стороны конкурентов. Растет и количество проводимых проверок: если в 2013 году их было 743, то в 2016 году — уже 2053.

Какие еще могут быть последствия

Помимо вышеупомянутых штрафов, сайт будет внесен в «Реестр нарушителей прав субъектов персональных данных», что грозит повышенным вниманием со стороны Роскомнадзора. Также следует приготовиться к проверкам документов о порядке обработки персональных данных, даже если вы внесены в «Единый реестр субъектов малого и среднего предпринимательства».

Как защитить себя от штрафов

К счастью, если все персональные данные вы получаете через сайт, то можете защитить себя от большинства штрафов и претензий самостоятельно. Чтобы сделать сбор персональных данных полностью легальным, достаточно выполнить ряд действий:

  1. Если ваш сайт расположен на зарубежных серверах, то вам следует перевести его на сервера на территории РФ. Адрес нахождения вашего сервера, если он вам неизвестен, можно узнать у хостинг-провайдера.
  2. Составьте «Политику обработки персональных данных», соответствующую законодательству и подходящую для вашего сайта. Этот документ регламентирует и описывает все действия, осуществляемые с персональной информацией пользователей сайта.
  3. Составьте локальные акты, регулирующие действия с персональными данными. Этот пункт поможет избежать большинства штрафов в случае проведения проверок со стороны Роскомнадзора.
  4. Добавьте во все формы обратной связи на сайте кнопку или галочку с текстом «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных». Подтверждение желательно сделать обязательным. Не стоит думать, что посетители перестанут оставлять свои данные — это только повысит доверие к сайту.
  5. Для полной защиты удостоверьтесь в том, что сайт собирает информацию посредством cookies только с разрешения посетителя (данные с IP и cookies Роскомнадзор также признает персональными).
  6. Предоставьте посетителям сайта возможности по распоряжению своими персональными данными через обращения по электронной почте. Для этого укажите email-адрес в «Политике обработки персональных данных» и опубликуйте его на сайте для общего доступа, чтобы каждый посетитель мог ознакомиться с правилами.
  7. Заполните и подайте уведомление в Роскомнадзор. Обязанность в уведомлении есть у многих владельцев сайтов и организаций (исключения описаны в п. 2 ст. 22 ФЗ «О персональных данных» №152-ФЗ). Форма уведомления есть на сайте РКН. Особое внимание обратите на порядок подачи уведомления.

Как правильно составить политику конфиденциальности

  • Укажите термины. В политике обработки персональных данных нужно сразу обозначить понятия, которые вы будете использовать: администрация сайта, пользователь, персональные данные, обработка персональных данных, конфиденциальность персональных данных, cookies, IP-адрес.
  • Перечислите категории персональных данных, которые вы собираете и обрабатываете (имя, электронная почта, номер телефона и так далее). Учитывайте все категории персональных данных, которые будете собирать и использовать.
  • Укажите цели сбора персональных данных. Основная цель — выполнение условий договора с пользователем, а также предоставление доступа к функциональности сайта.
  • Установите условия обработки персональных данных. Укажите сроки обработки, порядок охраны и основные нормативные акты, на основе которых составлен режим обработки персональных данных.
  • Предоставьте пользователям возможность удалить свои персональные данные при обращении. Опишите порядок предоставления такой возможности и способ связи с оператором персональных данных.
  • Укажите меры по защите персональных данных. Это может быть шифрование, установка паролей, хранение в защищенных местах и другие способы защиты информации.
  • Добавьте дополнительную информацию. Например, порядок изменения условий политики и разрешения споров.
Читайте также:  Seo форумы, блоги и социальные сети — что почитать и где почерпнуть информацию по продвижению сайтов

Ознакомиться с шаблоном политики можно здесь.

Как заполнить и подать уведомление в Роскомнадзор

Уведомление об обработке персональных данных направляется в территориальный орган Роскомнадзора в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.

Перед отправкой уведомления советую проверить полноту и правильность его заполнения. Уведомление должно содержать следующую информацию:

  1. Наименование (фамилия, имя, отчество), адрес оператора.
  2. Цель обработки персональных данных.
  3. Категории персональных данных.
  4. Категории субъектов, персональные данные которых обрабатываются.
  5. Правовое основание обработки персональных данных.
  6. Перечень действий с персональными данными, общее описание используемых оператором способов обработки.
  7. Описание мер, предусмотренных статьями Федерального закона «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.
  8. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, номера их контактных телефонов, почтовые адреса и адреса электронной почты.
  9. Дата начала обработки персональных данных.
  10. Срок или условие прекращения обработки персональных данных.
  11. Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки.
  12. Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.
  13. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями, установленными Правительством Российской Федерации.

Для подачи уведомления нужно:

  1. Перейти по ссылке на сайт Роскомнадзора и заполнить форму.
  2. После заполнения отправить форму, нажав на соответствующую кнопку на сайте. Одновременно с отправкой вы получите форму для печати.
  3. Распечатать форму в двух экземплярах. Формы должны быть подписаны руководителем организации.
  4. Отправить подписанный бумажный вариант формы в территориальный орган РКН по месту регистрации (по почте или лично).
  5. Дождаться ответа от Роскомнадзора по почте (как правило, занимает не больше месяца). Также можно узнать о статусе заявки по телефону или с помощью специального сервиса на сайте Роскомнадзора.

#Колонка #инструкции #право

Источник: https://vc.ru/legal/24849-personal-data-law

Закон о персональных данных: как не нарваться на штраф по 152-ФЗ

26 сентября 2017

Алексей Кондратов – о новых рисках для владельцев сайтов

IT-инструменты, которые используются в проекте 152ФЗ

С 1 июля 2017 года вступили в силу поправки в федеральный закон о персональных данных (152-ФЗ), нарушение которого может чувствительно ударить по карману: штрафы выросли в десятки раз, а Роскомнадзор получил новые полномочия для возбуждения административных дел. О том, что нужно сделать, чтобы не подвергнуться штрафу, и как привести свой сайт в соответствие с законом, в своей авторской колонке рассказал сооснователь сервиса 152ФЗ.РФ Алексей Кондратов.

Досье

Алексей Кондратов, сооснователь и руководитель юридического отдела сервиса 152ФЗ.РФ, специалист в области защиты персональных данных, юридического сопровождения стартапов и судебной защиты бизнеса. Образование: юридический факультет Поморского государственного университета. Ранее работал на позиции CEO в компании «Иски Онлайн».

Что нужно сделать, чтобы не получить штраф

Если вы владелец сайта и не хотите получить штраф за нарушение закона о персональных данных, то в первую очередь вам нужно сделать следующее:

  • Убедиться, что данные пользователей хранятся на российских серверах.
  • Добавить на сайт «Политику конфиденциальности» в открытом доступе и, желательно, «Пользовательское соглашение».
  • Позаботиться о том, чтобы на всех формах, где обрабатываются персональные данные пользователей, стояла галочка согласия с политикой конфиденциальности, а в самом документе были прописаны все виды действий с данными пользователя.
  • В ряде случаев необходимо отправить заявку в Роскомнадзор о регистрации в качестве оператора персональных данных.

Скопировать политику конфиденциальности – не лучший вариант

Первое, что приходит в голову — это решить проблему самостоятельно и без затрат. Например, скачать шаблоны документов из интернета или скопировать с какого-нибудь сайта, внушающего доверие.

Это вполне уместно, если вы являетесь юристом или у вас в штате есть юрист. В противном случае может оказаться так, что вы не только не решите задачу, но и добавите себе новых проблем.

Ибо в этих документах есть ряд нюансов, о которых человек «не в теме» просто может не знать.

Например, вы скопировали — и даже, возможно, слегка подредактировали — политику конфиденциальности с другого сайта, а там было указано, что ваш ресурс хранит skype-идентификаторы зарегистрированных пользователей, при том, что на самом деле эти данные на вашем сайте не запрашиваются.

Подобное нарушение может повлечь штраф за обработку персональных данных, не связанную с обозначенными целями обработки этих данных. Для компании такой штраф составляет 50 000 рублей. И это лишь один из нюансов, на которые необходимо обращать внимание.

Где от вас точно потребуют политику конфиденциальности

Источник: https://biz360.ru/materials/zakon-o-personalnykh-dannykh-kak-ne-narvatsya-na-shtraf-po-152-fz/

Закон о персональных данных — с 1 января 2018 с комментариями, последняя редакция, что является, нарушение банком, основные положения

Сотрудничество с организациями немыслимо без заключения письменного соглашения сторон, т.е. без договора. Как часто вы заключали договор, последним пунктом которого вы соглашались на использование и хранение ваших личных данных в базе соответствующей организации?

Если после подписания какого-либо договора или же после короткого сотрудничества, например, с кредитными организациями вам звонили из других фирм и предлагали свои услугу подобного характера, будьте уверены, что ваши персональные данные разглашены и ваши права нарушены.

Краткий обзор

Информация о гражданах РФ относится к персональным данным лиц и защищается одноименным законом. Кроме того, закон о персональных данных защищает все права и свободы человека, его интересы, связанные с личной информацией о нем в  причинно-следственном отношении. Как информацию о вас защитить, чтобы сохранить и не нарушить ваши интересы, права и свободы.

ФЗ 152 полноправно действует с 23.01.2007 года. До этой даты персональные данные лиц были фактически не защищены, поскольку отсутствовал соответствующий закон, который бы устанавливал правила и контролировал их исполнение, связанных с получением, хранением и передачей личных данных.

В законе описываются права и обязанности операторов, которые принимают информацию о лицах и при необходимости передают в уполномоченные органы.

Существуют определенные требования к обработке персональных данных, их также можно найти в законе.

 Ответственность за нарушение

Сохранность личных данных, правильный сбор информации, передача ее третьим лицам, а также уведомление самого лица о том, что сотрудник сохраняет ваши персональные данные, ведет ответственный в организации человек, это может быть сотрудник отдела кадров или же любой другой назначенный человек, в том числе оператор.

Наказание за нарушение закона о персональных данных может быть в виде штрафа, наложенного на самого сотрудника, принимающего персональные данные, и (или) на организацию, в которой случилась утечка данных.

Штраф за разглашение информации возлагается на каждый случай утечки, а не единожды на лицо, допустившее данную оплошность. В среднем штраф составляет от 500 до 1000 руб. с оператора, или же от 5000 до 10 000 руб. с организации.

В соответствии с Кодексом об административных нарушениях, если у юридического лица отсутствует Положение о личных данных персонала или клиентов, то при нарушении трудового кодекса организация может быть привлечена к административной ответственности. В таком случае сумма единовременных штрафов будет намного больше.

Кроме того, работу фирмы могут приостановить до выяснения всех необходимых обстоятельств до 3 календарных месяцев.

Уполномоченным органом, контролирующим выполнение закона о персональных данных, является Роскомнадзор.

Если предписания этого госоргана не выполняются, на предприятие может быть наложен штраф в размере 20000 руб. Игнорирование запроса Роскомнадзора о персональных данных обойдется организации в 5 000 руб.

Основные положения закона о персональных данных с 1 января 2018 года с комментариями

ФЗ №152 в его новой редакции обязывает хранить все персональные данные, касающиеся граждан РФ, на серверах, которые находятся на территории России. 

Категорически нельзя использовать ту информацию, которая практически может находиться за пределами России, т.е. берется с источников, находящихся за пределами России. Даже используя сеть интернет, нельзя дополнять личные данные человека информацией с зарубежных сайтов, если эти сайты ведутся не на территории России.

При нарушении закона, Роскомнадзор может заблокировать ваш сайти или добавить его в свой черный список. Каждая ситуация нарушения рассматривается в индивидуальном порядке по решению суда. Удалить свои персональные данные, в случае обращения лицом и получения отказа от оператора, можно также при помощи судебного разбирательства.

В соответствии с данным законом, к персональным данным лица относится или может относиться абсолютно любая информация о лице как-либо с ним связанная. Последняя редакция закона пояснила этот момент гражданам, что к персональным данным относятся не только их полное имя, дата рождения и адрес по регистрации.

При отсутствии таковых компания рискует быть оштрафованной или закрытой до выяснения обстоятельств.

Кроме того, ФЗ №152 обязует операторов при использовании личных данных получить согласие лица на данную процедуру.

Способы обеспечения защиты личных данных компаниями, которых нет в законе 152:

  • построение дата-центров (мелкие организации не могут позволить себе данную процедуру в виду ее высокой стоимости реализации);
  • обезличивание личной информации (отделить данные от субъекта, при необходимости данные возвращаются на территорию РФ и объединяются с их владельцами);
  • скрывать месторасположение иностранного сервера, дублировать информацию о клиентах и отправлять на зарубежные серверы;

Видео: Зачем нужен

Когда применяется

Закон применяется с целью защиты лиц, когда осуществляется процесс обработки его персональных данных. Также закон применяется в тех случаях, когда может пострадать неприкосновенность вашей личной жизни, на которую вы имеете право, тайны личного характера или тайны вашей семьи.

Что является персональными данными

Вся информация о вас, прямо или косвенно относящаяся к вам или вашей деятельности, в том числе ваше полное имя, дата рождения, место вашего проживания, все кредиты, оформленные вами когда-то, все ваши браки и прочее, относятся к персональным данным лица.

Какие отношения регулирует

Закон устанавливает правила работы между физическими лицами и юридическими, которые используют персональные данные граждан в своей работе. Задача закона предотвратить разглашение персональных данных лица, поскольку это может привести к нарушению прав, свобод и интересов граждан.

Имеет ли право банк передавать ваши персональные данные другим банкам – нет, подобное нарушение банком недопустимо в соответствии с ФЗ 152, и грозит уголовной ответственностью операторам и самому юридическому лицу.

Передача информации третьим лицам может осуществляться только при наличии письменного согласия лица.

В первую очередь, закон регулирует сам процесс обработки полученной информации. Она может быть получена государственными органами власти, муниципальными органами, а также частными предпринимателями, организациями или физическими лицами.

Подписывая соглашение об использовании юридическим лицом ваших персональных данных, вы позволяете исключительно ему ваши данные хранить и применять только для своей работы, поскольку вас связывают определенные рабочие отношения. Разглашение личных данных может грозить вам нарушением прав и свобод, а организации немалым штрафом или же привлечением к уголовной ответственности.

Источник: http://zakonmaster.ru/zakon-o-personalnyh-dannyh/

Ссылка на основную публикацию