Увеличение штрафов за хранение и использование персональных данных. Как этого избежать

Этой зимой в Российское законодательство были внесены изменения, а именно: в статью 13.11 о нарушении персональных данных. Эти изменения вступают в силу 1-го июля текущего года.

Штрафные санкции, которые могут быть на вас наложены за нарушение закона о персональных данных, теперь расширены, они подразделяются по видам и выросли в 10-ки раз.

Если вы владелец сайта и на вашем ресурсе не размещена политика конфиденциальности, то вам грозит штраф до 10000 р. А владельцам компаний, в этом случае придется заплатить штраф в 3 раза больше. Для обработки личных данных требуется согласие человека, если же такового согласия у вас нет, то штраф для юридического лица может составить 75000 рублей, для частного предпринимателя и директора компании – 20000 рублей. Если нарушение не одно, то соответственно и штраф будет не один.

Сейчас проверками занимается прокуратура, штрафы фиксированные и не зависят от вида выявленных нарушений. Для частных лиц они составляют 1000 р., а для юридических – 10000 р. На сегодняшний день штрафы небольшие, а ревизия отнимает немало времени, поэтому проверяют не всех подряд и пока – редко. Но с 1 июля все изменится, проверками займётся Роскомнадзор, проверять сайты будут быстрее и чаще.

Что такое персональные данные и как понять, являюсь ли я их оператором?

Персональные данные – это личная информация о человеке, с помощью которой можно установить его личность. В законе точно и подробно не говорится, что это за данные, но принято считать, что невозможно узнать личность человека только по одному его имени или логину, даже если они общедоступны. А вот по номеру мобильного телефона и ФИО, или по е-mail адресу и ФИО – можно.

Вы считаетесь оператором персональных данных, если по вашему требованию, люди сообщают вам такую информацию о себе:

• ФИО.
• Домашний адрес.
• Номер мобильного телефона.
• Е-mail адрес.
• Образование, профессию.
• Место работы.
• День, месяц и год рождения.
• Размер зарплаты.
• Семейное положение.
• Дают ссылку на свой личный сайт или страницу в социальной сети.
• Загружают свое фото.

Итак, операторами персональных данных можно считать владельцев ресурсов, которые:

• при регистрации требуют заполнить анкету;
• имеют личный кабинет;
• дают возможность подать объявление;
• позволяют заказать какой-то товар;
• имеют кнопку обратной связи.

Нарушает ли человек закон, если регистрирует на портале знакомств номер телефона или е-mail адрес какого-то знакомого или родственника?

Нет - не нарушает. Закон не касается данных, распространяемых для личных нужд. Однако вы нарушите закон если, например, передадите чей-то номер телефона коллекторам или опубликуете е-mail адрес девушки на сайте женоненавистников.

Как мне работать с личными данными людей, чтобы избежать штрафов?

Для того чтобы все было по закону, вам нужно:

1. Получить от человека согласие на обработку его персональных данных.
2. Опубликовать всю информацию, касающуюся обработки персональных данных и сделать ее доступной для каждого желающего с ней ознакомиться.
3. Просить человека указать только те личные данные, которые действительно вам необходимы для какой-то конкретной цели.
4. Использовать личные данные только по назначению. То есть – для той цели, для которой они запрашивались.
5. По первому же запросу клиента, посетителя сообщить ему какие именно личные данные о нем у вас имеются и для чего они использовались.
6. Удалить данные, например, использовавшиеся для почтовых рассылок, по первому требованию человека.
7. Обезопасить хранимые данные от взлома и утечки.
8. Обучить своих сотрудников работать с личными данными клиента.
9. Пройти регистрацию в Роскомнадзоре.

Для чего мне нужно регистрироваться в Роскомнадзоре?

Оператор должен поставить в известность Роскомнадзор об обработке персональных данных перед ее началом. Информация о вас будет внесена в общий реестр и будет выдаваться по запросу.

Можно не ставить в известность Роскомнадзор об обработке личных данных в таких случаях:

• Если обрабатываемые данные, касаются только ваших сотрудников.
• Если данные получены для разовой операции с конкретным клиентом и в дальнейшем использоваться не планируются.
• Если клиент сам опубликовал свои данные в открытом доступе.
• Если у вас есть лишь фамилия, имя и отчество человека.

Я владелец портала и оперирую персональными данными. Что я должен делать?

Если у вас возникает такой вопрос, значит, вы не выполнили требований, предусмотренных законодательством и тем самым его, нарушаете. За это вас могут оштрафовать в любой момент.

Вам необходимо подготовить документы и разместить их на своем ресурсе так, чтобы все страницы можно было просмотреть. Все это можно оформить пользовательским соглашением или правилами продаж, это может быть официальное уведомление или политика конфиденциальности. Также, условия обработки данных могут быть прописаны в обычном договоре.

Ни в коем случае не используйте документы, которые вам не принадлежат. На них можно ориентироваться, как на наглядный пример, но данные и цели указывайте только свои. Не требуйте указывать данные, в которых не нуждаетесь – это нарушение закона и очередной повод для штрафа.

Чтобы человек дал согласие на распространение своих личных данных, вам стоит реализовать такое решение, которое позволит четко понять для чего это нужно и в каких целях данные будут использоваться.

Подготовьте документацию об обработке персональных данных и ответственности людей, работающих с ними. Инструкции и приказы, касающиеся только ваших сотрудников, не делайте открытыми для просмотра.

Уведомите Роскомнадзор, при необходимости. Если вы считаете, что отправлять уведомление нет надобности, оформите документы соответствующим образом, чтобы в случае ревизии, у Роскомнадзора не возникло вопросов. Можно указать, что портал создан для размещения данных в общедоступном виде по желанию пользователя, при условии, что это действительно так.

Если неуверены нужно ли вам уведомлять Роскомнадзор, то лучше отправьте уведомление.

Что мне делать, если я владелец интернет-магазина?

Если ваш интернет-магазин намерен передавать информацию о клиенте кому бы, то ни было (службе доставки, монтажникам оборудования или прочим лицам), то данный пункт необходимо обязательно внести в пользовательское соглашение на вашем портале. Относительно защищенного канала связи, который в соответствии с Постановлением Правительства 1119, входит в перечень неукоснительных мер, по защите личных данных, то обеспечить ГОСТ-овую криптографию на произвольном ресурсе - это что-то плохо реализуемое (однако, выполнимое хотя бы в виде развёртывания Trusted SSL ГОСТ). А вот обычный SSL ввести можно, что решает фактическую проблему с защитой канала, и с таким решением вполне можно рассчитывать на лояльность регуляторов и суда.