С 1 июля 2017 года введены в действие поправки в Кодекс по административным правонарушениям, которые увеличивают штрафы за нарушения федерального закона №152 “О персональных данных”. ИП и особенно юрлица, у которых есть сайты, сильно рискуют.
В Интернете активно цитируют афоризм Салтыкова-Щедрина о том, что строгость российских законов компенсируется необязательностью их исполнения. Как обычно, люди думают, что их это не коснётся.
Буквально только что прочитал в одном блоге рекомендацию: выждать пару месяцев и посмотреть на правоприменительную практику. Парень просто не в курсе: решения судов уже есть, вплоть до Конституционного. Закон действует второй год, а новые поправки только изменяют суммы штрафов.
Персональные данные: что к ним относится
Самое простое определение персональных данных: это данные, на основе которых можно идентифицировать человека. Например, зная номер телефона и ФИО человека, его можно идентифицировать. А зная только электронный адрес – как правило, нельзя.
К персональным данным относится следующее:
- фамилия, имя, отчество;
- адрес;
- E-mail;
- телефон;
- дата рождения;
- место рождения;
- личное фото;
- ссылка на личный сайт;
- ссылка на страничку в социальной сети;
- профессия;
- образование;
- доходы;
- имущественное положение;
- семейное положение;
- раса;
- философские убеждения;
- религиозные убеждения;
- национальность;
- состояние здоровья;
- состояние интимной жизни;
- другое.
Если ваш сайт собирает что-то из перечисленного, то вы должны быть зарегистрированы в Роскомнадзоре как оператор персональных данных.
Предварительно нужно выполнить ряд требований: хранить базу данных сайта, включающую заказы и обращения пользователей, на территории России, подготовить пакет документов предприятия по работе с персональными данными, проинструктировать сотрудников и т.п.
Почему не штрафовали раньше
Вообще-то штрафовали и раньше, но это не получило широкой огласки, потому что суммы были небольшие, а занималась этим только прокуратура. Известно о нескольких случаях:
- Прокуратура Астрахани зимой стала проверять все фирмы по алфавиту. При наличии на сайте формы обратной связи брали штраф.
- В Тамбовской области прокуратура оштрафовала за форму обратной связи юридическую фирму. Областной суд поддержал.
- Управляющая компания нарушила закон, передавая юристам данные должников, не получив согласия на обработку персональных данных. Конституционный суд РФ оставил в силе решение судов предыдущих инстанций.
Закон о персональных данных действует с осени 2015 года, поэтому ждать правоприменительной практики не нужно: она уже есть.
С 1 июля 2017 года вопрос передан Роскомнадзору. А значит, дело пойдёт гораздо веселее.
О нарушениях будут узнавать из двух основных источников: собственные проверки и заявления граждан. Проще сказать, если Роскомнадзор не найдёт нарушений сам, ему поможет конкурент-недоброжелатель.
Суммы штрафов
- Если на сайте не опубликована политика конфиденциальности при обработке персональных данных, штраф составит до 30 тысяч рублей.
- За обработку персональных данных без согласия клиента или подписчика сайта – штраф до 75 тысяч рублей.
- За отсутствие предупреждения о передаче данных за границу (особенно касается пользователей Wix и других “конструкторов”) – до 40 тысяч рублей.
- Самое “популярное” нарушение на сегодня – сбор персональных данных без уведомления Роскомнадзора. Новый штраф – до 50 тысяч рублей.
Указаны максимальные штрафы для ООО. За каждое нарушение придётся заплатить отдельно.
Если данные утекут с сайта и человек в результате пострадает, то наказание предусмотрено ещё серьёзнее, вплоть до тюрьмы и лишения права заниматься определённой деятельностью. Но это регулируется уже не КоАП, а уголовным кодексом (статья 137).
Как избежать штрафов: советы для сайтовладельцев
- В любом случае – разработайте политику конфиденциальности. Разместите её на сайте и поставьте ссылку таким образом, чтобы было видно на любой странице. В первую очередь, на страницах заказа или формы обратной связи.
- Сократите форму обратной связи: чтобы перезвонить человеку, не обязательно знать его ФИО, равно как и чтобы ответить на электронное письмо. Сокращение формы может положительно сказаться на откликах – ведь заполнять придётся меньше.
- Сделайте так, чтобы форму обратной связи нельзя было отправить, не поставив галку о согласии с политикой конфиденциальности.
- Если на сайте нельзя отредактировать форму обратной связи, нельзя добавить галочку о согласии с политикой конфиденциальности и с обработкой персональных данных – удалите такую форму.
- Существуют “кнопки обратной связи”, поставщики которых являются зарегистрированными в России операторами персональных данных. Заключите с ними договор и разместите такую кнопку на сайте вместо формы обратной связи. Предварительно проверьте наличие данного юрлица в реестре операторов персональных данных.
- Если сайт работает на оборудовании за рубежом, то сайт нужно перенести в Россию. При необходимости передачи данных за рубеж (например, в целях исполнения заказа), пользователь должен быть предупреждён об этом заранее. Роскомнадзор – тоже.
Хорошая новость в том, что регистрироваться в качестве оператора персональных данных и уведомлять Роскомнадзор не обязательно, если собираете данные только в целях исполнения договора (в том числе, договора оферты).
Текст такого договора нужно разместить на самом сайте и он должен быть доступен каждому перед регистрацией, оплатой или отправкой заявки.
Выводы
- За соблюдением закона следят и будут следить дальше. Новый регламент проверок тоже утверждён и вступил в силу 23 февраля 2019 года: для некоторых категорий операторов плановые проверки могут проводиться чаще, чем раньше (раз в год, а не раз в три года).
- Штрафы за разные нарушения могут суммироваться.
- Можно собирать персональные данные без уведомления Роскомнадзора, если они нужны только для исполнения договора.
- Это не отменяет наличия на сайте политики конфиденциальности и “галочки” согласия с обработкой данных.
- Если данные нужны вам в каких-то ещё целях, зарегистрируйтесь как оператор персональных данных, отправив заявление в Роскомнадзор.
Если вы по техническим причинам не можете привести свой сайт в соответствие этим требованиям – обратитесь к нам.