Виртуальным площадкам, на которых хранятся персональные данные пользователей – граждан РФ, грозит штраф от Роскомнадзора. Но только в том случае, если обнаружится нарушение Федерального закона №152 «О персональных данных». Владельцам сайтов пригодятся объяснение закона и подробные рекомендации, выполнение которых позволит избежать санкций. Тем более что в списке оштрафованных, рядом с оффлайн компаниями, уже появилось несколько виртуальных ресурсов.
Раньше этот аспект работы сайтов не попадал в поле зрения государственного контроля. А в первом полугодии 2017 года несколько компаний-владельцев оштрафовали на 10 000 рублей каждую за отсутствие в форме обратной связи согласия на обработку данных. Например, пришлось раскошелиться юридической компании из Тамбова, которая безрезультатно пыталась оспаривать это решение в судебном порядке.
Будет ли расти сумма штрафа, уже известно. После 1 июля 2017 года те, кто не озаботился анализом своей законопослушности, могут заплатить по 75 000 рублей за нарушение каждого пункта упомянутого закона. Ответственность будет возлагаться не только на компании-нарушители, но и на руководителей лично. Поэтому стоит внимательно ознакомиться с нижеизложенным.
Что скрыто в формулировке «персональные данные»?
Информация, имеющая отношение к конкретной личности и позволяющая определить эту личность, и есть ее персональными данными. Сюда относится все, что можно узнать из паспорта человека, а также образование и профессия, уровень обеспеченности и другие признаки социального статуса. Иначе говоря, все, что пользователь записывает в форме, предложенной сайтом для регистрации, связано с Федеральным законом № 152.
Под определение персональных данных попадают также результаты «общения» сервера с веб-клиентом – cookie, геолокация, IP-адрес и даже поведение на сайте. По закону каждый владелец Интернет-ресурса, который накапливает и хранит информацию о посетителях, является оператором персональных данных. Поправки, ужесточающие закон, касаются не только повышения размеров штрафов с 1июля 2017, но и ставят более жесткие условия для процесса оперирования персональной информацией.
Требования к географии хранения персональных данных
В соответствии с ФЗ «О персональных данных», физические носители персональных данных, принадлежащих гражданам Российской федерации, должны находиться на территории РФ. Даже те Интернет-ресурсы, которые только отслеживают поведение посетителей из РФ, могут быть заблокированы по решению Роспотребнадзора, если их сайты находятся на серверах Дата-центров, находящихся в других странах.
Процедурные изменения
С 1 июля 2017 – дня, когда вступают в силу поправки к ФЗ №152, право открывать дела об административном правонарушении переходит от прокуратуры к Роскомнадзору. То есть, процедура становится быстрее, процесс динамичнее, а шансы следующего правонарушения быть замеченным возрастают. И очень кстати, так как поправками предусмотрено право контролирующего органа привлекать за каждый из обнаруженных «проколов» отдельно, а суммы штрафов суммировать. Для сравнения – до внедрения изменений протокол составлялся только на одно из всех нарушений, выявленных в ходе одной проверки.
Как привести сайт в соответствие с законом?
Чтобы не подвергать себя угрозе штрафа, нужно как можно скорее внести в свой сайт несколько изменений.
- Дополнить все формы, в которые пользователю предлагается вписать какую-либо информацию о себе, текстом согласия на обработку личных данных. В рамках текста следует поместить ссылку на страницу с соответствующим документом. Альтернативой такому тексту может быть единая публичная оферта, составленная согласно требованиям ФЗ-152, статья 9, п. 4. Эта модель обязывает хранить лог-файлы, чтобы предоставить их при необходимости, как доказательство.
- Разместить на сайте документ «Политика компании в отношении обработки персональных данных». Документ должен информировать посетителей обо всем, что связано с наличием их личной информации на ресурсе, и быть доступным. Этот документ посетителям подтверждать не обязательно.
- Выяснить местоположения ЦОД с вашим сайтом. Такой информацией владеет хостинг-провайдер. А обращение в техподдержку сайта поможет перенести его на территорию РФ, если вышеупомянутый ЦОД находится за ее пределами.
- Отдельно упомянуть адрес электронной почты, по которому пользователь может решать вопросы, связанные с персональными данными. Для этого не обязательно заводить целую страницу, можно указать его в документах из п.1 или п.2. Обязательно – вовремя реагировать на просьбы пользователя об удалении личной информации.
- Уведомить Роскомнадзор о проведении на сайте обработки персональных данных. Это можно сделать в электронном виде, заполнив соответствующую форму на сайте Роскомнадзора.
- Согласовать вопросы безопасности персональных данных пользователей с разработчиками сайта. Это нужно, если у разработчика есть доступ к информации на сайте или необходимость обрабатывать персональные данные, чтобы обеспечивать техническую поддержку сайта. Нужно составить и заключить соглашение с указанием следующего: целей обработки персональных данных, связанных с этим действий, обязательств по защите информации.
- Заявить о снятии с себя ответственности за действия пользователя, открывающего сайт, поставив на сайт предупреждение-дисклеймер. В нем нужно сообщить посетителю об использовании сайтом средств обмена информацией с его компьютером (cookie, определение IP-адреса, прочее), что приводит к обработке его персональных данных. А переход на сайт означает его согласие с этими действиями.
Заниматься всем этим не обязательно самостоятельно. Можно обратиться нашу компанию, оказывающим техническую поддержку сайтам и их доработку.