Рассказываем, как привести интернет-ресурс в соответствии нормам Федерального Закона №152, вступившего в силу 1 июля 2017 года.
Изменения в законодательстве РФ коснулись ст. 13.11 (о персональных данных граждан), а также ст. 28.3 и ст. 28.4 КоАП РФ. Теперь протоколы возбуждает Роскомнадзор, а не прокуратура, как это было ранее. Причем РКН уже активно проверяет и штрафует по каждому пункту нарушений. Многократно возросли суммы штрафов. Для индивидуального предпринимателя отсутствие на сайте политики конфиденциальности может обойтись в 10 000 руб., для компании - 30 000. Если речь идет о сборе персональных данных новостным сайтом или интернет-магазином без согласия клиентов, руководитель компании может быть оштрафован на сумму до 20 000 руб., а юридическое лицо – до 75 000. Причем, если выявлено несколько нарушений, число штрафов будет равняться их количеству.
Что делать?
1. С любой страницы вашего ресурса должны быть доступны документы о правилах и условиях обработки персональных данных (они могут называться как угодно - уведомление, пользовательское соглашение, политика конфиденциальности, правила продажи и др.).
2. Контактные формы следует привести в соответствии с публичным документом. Запрашивать следует только те личные данные, которые требуются для конкретной цели вашего сайта (комплексное продвижение сайта, информационные услуги, онлайн продажи и пр.). Чтобы пользователю хотелось их оставлять, рекомендуется указывать, зачем вы просите об этом.
3. Используйте программное решение, позволяющее установить согласие пользователя на обработку его данных. С этой задачей справится чек-бокс, в котором нужно будет поставить галочку, или кнопка, нажав на которую, человек соглашается с условиями использования персональных данных. Без выполнения этого требования пользователь не сможет оформить заказ или отправить сообщение, связаться с технической поддержкой сайта.
Важно! Если персональные данные планируется публиковать в общедоступных источниках или передавать III лицам, клиент должен дать письменное согласие на их получение, хранение и распространение.
4. Позаботьтесь о сохранности базы данных. Для этого должны быть разработаны внутренние документы, регламентирующие обработку и хранение личных данных, а также ответственность сотрудников, которые имеют к ним непосредственный доступ, в соответствии с требованиями ФЗ №152.
5. Если ваш сайт отвечает требованиям Закона, отправьте в РНК уведомление. Не подавать уведомление можно лишь в тех случаях, если:
• производится обработка только личных данных сотрудников;
• персональные данные получены для выполнения определенного договора с конкретным лицом и не будут распространяться;
• вы храните лишь ФИО клиентов;
• данные выложил в общий доступ сам пользователь или кто-то по его поручению.
Если вы уверены в том, что отправлять уведомление не нужно, оформите документацию так, чтобы у проверяющих не возникло вопросов. Также помните о том, что по запросу пользователя вы обязаны предоставить всю информацию об имеющихся о нем данных, для чего они обрабатывались и кому передавались.
По первому требованию клиента вы обязаны удалить его персональные данные, хранящиеся в вашей базе.
При возникновении вопросов рекомендуем проконсультироваться в Роскомнадзоре.
