152-ФЗ: что нужно знать, если у вас есть сайт

152-ФЗ: что нужно знать, если у вас есть сайт

С 1 июля 2017 года штрафы за несоблюдение требований Федерального закона N 152-ФЗ «О персональных данных» выросли в разы. Если раньше предпринимателя могли оштрафовать на сумму до 10 000 рублей, то сегодня — до 295 000 рублей. Мы разобрались, как этого избежать.

Кто может получить штраф

Закон действует для всех операторов персональных данных. Оператор персональных данных — это юридическое лицо или ИП, которое собирает, обрабатывает и хранит данные пользователей. Если на вашем сайте есть форма обратной связи, в которую пользователь вводит своё имя и номер телефона, или вы собираете email-адреса клиентов, чтобы рассылать им рекламные предложения, вы — оператор персональных данных.

Максим Лагутин, сооснователь компании Б-152 и ведущий эксперт по защите персональных данных:

«Закон не распространяется на физических лиц, которые обрабатывают персональные данные исключительно для своих личных целей или семейных нужд, если при этом не нарушаются права других людей. Например, Коля и Света составляют список приглашённых на свадьбу. В этом списке — имена гостей и их контакты, по которым жених и невеста будут рассылать приглашения. Коля и Света обрабатывают данные для семейных нужд и не попадают под действие закона.
152-ФЗ также не распространяется на архивное хранение. Если сотрудник уволился, а его документы переданы на хранение в архив организации, компания не считается оператором персональных данных.
И третье: под действие закона не попадают компании, которые работают с данными, составляющими государственную тайну».

Если на вашем сайте есть хотя бы одно из этого, вы — оператор персональных данных:

  • форма обратной связи;
  • личный кабинет пользователя;
  • форма заказа обратного звонка;
  • форма заявки;
  • форма подписки на email-рассылку;
  • Яндекс.Метрика или Google Analytics.

Что такое персональные данные

Закон чётко не определяет, что такое персональные данные. К ним относится любая информация о пользователе. Чаще всего это:

  • ФИО (вместе и по отдельности);
  • дата рождения;
  • адрес;
  • телефон;
  • email;
  • фотография;
  • ссылка на профиль в соцсетях;
  • список заказанных товаров или услуг;
  • сookies;
  • данные о местоположении;
  • IP-адрес.

Сookies — это небольшие текстовые файлы, которые содержат информацию о посещённых сайтах, например имя или пароль от аккаунта, которые при следующем заходе на сайт применяются автоматически

Логин и никнейм не считаются персональными данными — их легко придумать и по ним сложно найти пользователя. Но в привязке к другим данным они могут стать персональными.

Штрафы

Для компаний, должностных лиц и ИП штрафы разные. Они также зависят от типа правонарушения. Например, если вы на своём сайте собираете cookies, но уведомления об этом нет, компанию могут оштрафовать на сумму до 75 000 рублей. А за то, что вы забыли дать активную ссылку на политику обработки персональных данных, придётся заплатить до 30 000 рублей. Вот подробный перечень штрафов.

С данными нужно быть особенно аккуратными, потому что бывают щекотливые ситуации. Например, вы заказали у агентства рекламную рассылку. Предоставили работникам агентства базу, которую собрали на своём сайте, а они разослали по ней ваше рекламное предложение. После рассылки сотрудники агентства решили заработать и продали доступ к этой базе другому своему клиенту. Если это вскроется, Роскомнадзор оштрафует вас, а не предприимчивых сотрудников агентства.

Максим Лагутин, сооснователь компании Б-152 и ведущий эксперт по защите персональных данных:

«Минкомсвязь подготовило законопроект, который вводит новые штрафы: за утечку персональных данных и за их неправильную обработку лицами, обрабатывающими персональные данные по поручению оператора. Поэтому лучше следить за всеми нововведениями касательно персональных данных».

Как соблюдать 152-ФЗ

Мы разобрались, что обязательно нужно сделать предпринимателю, который собирает данные пользователей онлайн. Следуйте нашей пошаговой инструкции.

Шаг 1. Зарегистрируйтесь как оператор персональных данных.

Подайте уведомление об обработке персональных данных в Роскомнадзор. Это нужно сделать до публикации сайта, который собирает данные о посетителях (основание — часть 1 статьи 22 Закона). Уведомление подаётся в электронном виде через сайт Роскомнадзора и в бумажном виде по почте в отделение Роскомнадзора по месту вашей регистрации.

Шаг 2. Выложите на сайт политику обработки персональных данных.

Документ можно составить с помощью бесплатного онлайн-конструктора, например, от Tilda. После этого необходимо разместить на сайте активную ссылку на политику — обычно это документ в формате PDF. Ссылка чаще всего располагается в подвале сайта.

Не обязательно вставлять в каждую форму сбора данных ссылку на политику с активной галочкой, нажав на которую, пользователь подтверждает, что ознакомился с этим документом. Такого требования в законе нет.

Шаг 3. Составьте согласие на обработку персональных данных.

Согласие составляется в свободной форме, вот пример. Главное, чтобы в документе было прописано то, что требует часть 4 статьи 9 152-ФЗ:

  • название и адрес вашей компании или фамилия, имя, отчество, адрес индивидуального предпринимателя, который собирает персональные данные;
  • цель обработки персональных данных пользователя;
  • перечень персональных данных, на обработку которых пользователь даёт согласие;
  • наименование или фамилия, имя, отчество и адрес лица, которое осуществляет обработку персональных данных по вашему поручению (если есть);
  • перечень действий, которые вы будете совершать с персональными данными пользователя, и общее описание способов обработки данных, которые вы используете;
  • срок, в течение которого действует согласие пользователя, а также способ отзыва этого согласия.

По закону в согласии должна быть подпись субъекта персональных данных и его паспортные данные. Но это требования к письменному согласию. В онлайне это выполнить невозможно, поэтому при проверках Роскомнадзор не требует этого от предпринимателя.

Максим Лагутин, сооснователь компании Б-152 и ведущий эксперт по защите персональных данных:

«Часто на сайтах под формой сбора данных мы видим такой текст: „Я соглашаюсь с политикой и даю согласие на обработку своих персональных данных“. И ссылка на политику сбора персональных данных. Это плохой вариант, потому что в политике обычно перечислены все цели (если перечислены), для которых обрабатываются данные, и пользователь не может понять, для каких именно целей он вводит свои персональные данные в данной форме.
Лучше написать так: „Нажимая на кнопку „Заказать звонок“, вы даёте согласие на обработку своих персональных данных“. И дать активную ссылку на согласие, в котором прописать цели сбора информации для конкретного случая».

Согласие на обработку персональных данных на сайте Точки

Шаг 4. Дайте ссылку на реестр операторов персональных данных.

После того, как Роскомнадзор зарегистрирует вас как оператора персональных данных, он внесёт эту информацию в реестр и присвоит вам уникальный номер. Ссылаясь на это, вы подтверждаете, что являетесь оператором персональных данных и действуете в соответствии с 152-ФЗ.

Шаг 5. Повесьте на сайт уведомление о сборе cookies и других данных.

К этим данным относятся cookies, информация о местоположении пользователя и его IP-адрес. Прочитав и закрыв такое уведомление, пользователь соглашается, что вы собираете и обрабатываете его персональные данные. Если он с этим не согласен, должен уйти с сайта.

На сайте Точки о сборе cookies написали в самом низу страницы

Шаг 6. Подготовьте бумажные документы.

Роскомнадзор устраивает плановые и внеплановые проверки, а также дистанционно наблюдает за сайтами и проводит профилактику нарушений. В ходе проверок сотрудники Роскомнадзора напрямую общаются с предпринимателями и могут запросить дополнительные документы, например копию устава и справку о статусе оператора как субъекта малого предпринимательства с указанием типа предприятия.

Если у вас их не окажется, Роскомнадзор может заблокировать сайт, выписать штраф и даже приостановить деятельность. Специалисты из компании Б-152 составили перечень необходимых документов. Он большой, поэтому бумаги лучше собрать заранее.

Коротко:

  1. Законодательство в сфере сбора и обработки персональных данных ужесточилось, а штрафы для предпринимателей выросли в разы. Дальше — больше.
  2. Почти все юридические лица и ИП, которые собирают информацию о пользователе на сайте, считаются операторами персональных данных и попадают под действие 152-ФЗ.
  3. Закон чётко не определяет, что такое персональные данные. К ним относится любая информация о пользователе: имя, фамилия, телефон, ссылка на профиль в социальных сетях и другое.
  4. Для компаний, должностных лиц и ИП штрафы разные. Они также зависят от типа правонарушения.
  5. Чтобы соблюдать 152-ФЗ, надо зарегистрироваться как оператор персональных данных, составить политику обработки персональных данных и согласие на обработку персональных данных, повесить на сайт уведомление о сборе метаданных и подготовить несколько десятков бумажных документов.

Полезная рассылка для предпринимателей

Рассказываем про налоги, законы, чужой опыт и полезные инструменты для бизнеса.