Представьте: Вы занимаетесь любимым делом, например, продаёте котят или строите дома, и даже не подозреваете, что Вам угрожает довольно большой штраф, сопоставимый со стоимостью целого помёта или опалубки. Представили? Бред? А это правда!
В феврале 2017 года в статью 13.11 Кодекса об административных правонарушениях внесены поправки, согласно которым с 1 июля за неинформирование клиента о сборе его персональных данных владельцу сайта грозит штраф:
- для физических лиц и ип — до 20 тысяч рублей;
- для юридических лиц — до 75 000 рублей;
Больше того, с 1 июля вместо прокуратуры (которая загружена и своими делами помимо этих), которая сейчас выписывает штрафы, в дело вступит Роскомнадзор (у которого специфика сосредоточена в этой сфере и времени значительно больше).
Подробнее об административной ответственности и конкретных поводов привлечения к ней можно почитать в открытых источниках по запросу в Google или Яндексе "статья 13.11 Кодекса об административных правонарушениях Российской Федерации с действием в редакции закона №13-ФЗ от 07.02.2017".
Что это за зверь и почему его надо бояться?
Сбор и хранение персональных данных — штука в нашем мире популярная. Сейчас почти все собирают данные о пользователе: начиная от гигантских корпораций типа Google, Apple, сотовых операторов, банков, и заканчивая мелкими сайтами-блогами частных лиц. Согласно п. 1 ст. 3 Федерального закона №152-ФЗ "персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)". То есть это может быть всем, чем угодно, включая ФИО, электронные почты, номера телефонов, адреса, пол, возраст и/или дата рождения, профессия, образование, место и должность работы, ссылки на страницы в интернете и так далее в любом наборе.
Так вот, если на Вашем сайте происходит сбор подобной информации (в том числе хранение), то поздравляем Вас: Вам досталось почётное право стать оператором персональных данных!
И как я могу собирать такие ценные данные? Это же смешно!
Нет ничего сложного: достаточно разместить форму обратной связи или подключить Яндекс.Метрику (Google Analytics), как Вы начинаете собирать о пользователях данные.
Что делать при этом?
Для того, чтобы предупредить пользователя о сборе и хранении данных, на сайте можно разместить страницу с политикой конфиденциальности (страницу с соглашением о предоставлении персональных данных), а также ссылку на неё (в подвале сайта, форме обратной связи и т.д.).
Если речь идёт о формах обратной связи, то можно сделать галочку с принятием условий пользовательского соглашения, после которой активируется кнопка "Отправить". Если используется Яндекс.Метрика или другой аналитический сервис, то лучше сделать ссылку, например, в подвале сайта.
Но простым соглашением, написанным "на отвали", отделаться невозможно. Существует целый ряд крайне важных нюансов, таких как:
- необходимость получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных;
- публикация в открытом доступе информации обо всём, что касается персональных данных клиентов и посетителей;
- запрос только тех даннх, которые нужны для конкретной цели (например, для формы перезвона не стОит запрашивать пол, возраст или адрес проживания);
- использование данных возможно только для тех целей, о которых оповещали;
- сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
- удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
- хранить базы данных или данную информацию в надежном месте, защищать их от взлома и утечки;
- научить ответственных сотрудников работать с персональными данными;
- зарегистрироваться в Роскомнадзоре ещё до начала сбора персональных данных или как можно раньше.
По последнему пункту регистрация может не проводиться только в случаях:
- обрабатываются только данные сотрудников (например, в рамках закрытой CRM);
- персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и распространяться;
- человек сам опубликовал эти данные в общем доступе;
- у вас есть только ФИО клиента и больше ничего.
Пфф... мне не грозят штрафы!
Ну вот и нет! Прецеденты штрафов уже есть, достаточно загуглить "Постановление Тамбовского областного суда № 4А-288/2016", "Определение КС № 100-О от 28.01.16 по делу директора УК", "О штрафах в Астрахани в газете «Волга»".
Кстати, все штрафы платить будете именно Вы, даже если Вашим интернет-ресурсом занимаются вторые или третьи лица (веб-студии, аутсорсеры, фрилансеры и т.д.), так что банальный перевод стрелок здесь не "прокатит".
Убедили. Дальше что?
Как и у кого составлять пользовательское соглашение, размещать его на сайте, а также подавать документы в Роскомнадзор — Ваше личное дело. Мы, со своей стороны, за отдельную платы готовы помочь в решении данной проблемы в полном объёме. Для этого просто обратитесь по реквизитам, указанным в Контактах. или оставьте заявку в форме ниже.
Оставьте заявку и мы поможем!
Положитесь на нас, мы уже являемся оператором персональных данных :)