Штрафы за нарушение закона о персональных данных

27 Июня 2017

Штрафы за нарушение закона о персональных данных

В феврале внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных. Они вступят в силу 1 июля 2017 года и коснутся всех, кто собирает, обрабатывает и хранит любые персональные данные.

За не размещение на сайте Политики обработки и хранения Персональных данных:

  • ИПмогут оштрафовать на 10 тысяч рублей,
  • компанию — на 30 тысяч.

Обработка персональных данных без согласия клиента интернет-магазина, то штраф для юрлица составит до 75 тысяч рублей. Директору компании или предпринимателю придется заплатить до 20 тысяч. Если нарушений несколько, то и штрафов будет несколько.

Как привести сайт в соответствие с законом

С 1 июля выписывать протоколы будет Роскомнадзор — дело пойдет быстрее.

Являетесь ли вы оператором персональных данных?

Персональные данные — это любые данные о человеке, по которым его можно идентифицировать. В законе нет перечня таких данных, поэтому приходится догадываться самим. Например, по имени или логину нельзя понять, что это за человек, а по имени и телефону или имени и электронной почте — можно.

Скорее всего, вы являетесь оператором персональных данных, если каким-то образом получаете от любых людей такую информацию в любом сочетании:

  • фамилию,
  • имя,
  • отчество,
  • какой-то физический адрес, в нашем случае – адрес доставки и местоположение
  • электронную почту,
  • телефон,
  • ссылку на персональный сайт или соцсети,

Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету, — это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения — это тоже обработка персональных данных.

Как получить согласие Пользователя, чтобы не нарушить закон?

закон требует письменного согласия Пользователя на обработку персональных данных, но для интернет-магазина получить такое согласие почти не реально. В пояснениях РОСКОМНАДЗОРА говорится:

«При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных является файл электронной цифровой подписи.

Кроме того, предложения оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта.

Таким образом, субъект персональных данных, акцентируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.»

rkn.gov.ru/treatments/p459/p468/

Для соблюдения закона, как мы это поняли, достаточно сделать чек-бокс на странице оформления заказа или формы с возможностью «нажать кнопку» только после отметки в нем, кроме этого:

  • публиковать в открытом доступе информацию обо всём, что касается персональных данных клиентов и посетителей;
  • запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
  • использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
  • сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
  • удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
  • хранить базы данных в надежном месте, защищать их от взлома и утечки;
  • научить сотрудников работать с персональными данными;

Необходимость уведомления РОСКОМНАДЗОРА?

Да, по закону операторы персональных данных должны уведомить Роскомнадзор. Причем сделать это нужно до начала обработки данных или как можно скорее. Роскомнадзор внесет информацию об операторе в общий реестр и будет выдавать по запросу.

Уведомление можно не подавать, если:

  • обрабатываются только данные сотрудников;
  • персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более — распространяться;
  • человек сам опубликовал эти данные в общем доступе;
  • у вас есть только ФИО клиента и больше ничего.

Разместите на своем интернет-магазине информацию о публичной оферте, по аналогии с соглашением Пользователя с Политикой обработки персональных данных, и, в этом случае, Вам не нет необходимости подавать уведомление в соответствующий Орган.

Назад к списку новостей