Руководители и владельцы компаний задаются вопросом, насколько обязательно нужно размещать документы, регулирующие правила пользования сайтом, порядок сбора и обработки персональных данных пользователей? Согласно поправкам, внесенным в Кодекс Российской Федерации об административных правонарушениях (КоАП РФ), увеличена ответственность за нарушения Закона в области персональных данных пользователей. Вопрос серьезный, и на него нужно обратить внимание. Давайте разбираться.
Что такое персональные данные?
Персональные данные – это информация, которая относится прямо или косвенно к человеку, его ФИО, номер телефона, адрес проживания, электронной почты и др. Такая информация предоставляется другому человеку или организации исключительно по желанию субъекта персональных данных, то есть того, что эти данные передаёт.
Персональные данные защищаются Конституцией России, Федеральным законом «О персональных данных», Указом Президента России «О перечне сведений конфиденциального характера» и другими нормативными актами.
Что такое обработка персональных данных?
Обработка персональных данных – это действия с персональными данными, включающие в себя сбор, хранение, пользование, передачу, систематизацию, уничтожение данных и др., оператором, государственным или муниципальным органом, физическим или юридическим лицом, самостоятельно или в группе с другими лицами.
Проще говоря, это любые действия, которые производит тот, кто получил персональные данные, с этими данными.
Как понять, являетесь ли вы оператором персональных данных или нет?
Если на вашем сайте есть любая форма регистрации, запроса или форма для ввода персональных данных пользователем, поздравляю вас, вы оператор персональных данных! Теперь любой пользователь, который решил предоставить вам свои персональные данные, должен получить доступ к обязательному документу – политике конфиденциальности и/или обработки персональных данных. Этот документ должен содержать подробное описание порядка получения согласия пользователя на обработку его персональных данных и обязательно размещается на сайте. Оператор персональных данных (то есть вы) обязан получать согласие пользователя на обработку его персональных данных по установленной форме, которая позволяет подтвердить факт получения такого согласия. Чаще всего такое согласие дается проставлением галочки пользователем в форме, которая включает также ссылку на политику конфиденциальности, надпись о том, что пользователь ознакомлен с этим документом, согласен с условиями и даёт согласие на обработку своих данных.
Ответственность лиц, осуществляющих обработку персональных данных с нарушением Закона
Обработка персональных данных без согласия в письменной форме (пользователь нигде на сайте с этим не соглашался) или обработка персональных данных с нарушением к составу сведений, включаемых в согласие в письменной форме (то есть вы используете не те данные, согласие на использование которые пользователь дал), грозит штрафом до 5 000 руб. для физических лиц, и до 75 000 руб. для юридических лиц.
Если на сайте даже просто не опубликована политика конфиденциальности – это штраф до 1 500 руб. для физических лиц, и до 30 000 руб. для юридических лиц.
Осуществление обработки персональных данных, не соответствующую целям их сбора, грозит штрафом до 3 000 руб. для физических лиц, и до 50 000 руб. для юридических лиц. То есть, допустим, вы говорите, что собираете email для подписки, а в реальности перепродаёте базу.
Вывод
- Проверьте на сайте наличие варианта согласия со сбором и обработкой персональных данных (галочка или иной способ).
- Убедитесь в наличие на сайте необходимых документов политики конфиденциальности и соглашения об обработке персональных данных. Добавьте, если их нет.
- Используйте персональные данные исключительно в соответствии с указанными целями их сбора.
- Да, и не забудьте сообщить в Роскомнадзор, что вы являетесь оператором персональных данных.
Тамерлан Джиджоев, эксперт по безопасности Академии интернет-резерва.