Если у вас на сайте есть форма регистрации, вам нужно отправить уведомление в Роскомнадзор и составить политику конфиденциальности. Без них вы нарушаете закон.
С 1 июля вступают в силу поправки к 13.11 КоАП о нарушениях в работе с персональными данными. За нарушение в сборе, хранении или обработке персональных данных можно получить штраф до 75 000 рублей. Роскомнадзор уже составил план проверок компаний. Но без паники: всё не так страшно, срочно бежать к юристу не нужно. А что нужно — давайте разбираться.
Кого касается закон?
Закон касается операторов персональных данных: физических лиц и организации, которые собирают, хранят и обрабатывают персональные данные.
Оператором персональных данных может стать кто угодно. Даже если у вас личный сайт с формой регистрации, вам всё равно могут выписать штраф. Правда штрафы компаниям выше.
В законе нет четкого списка, что считать персональными данными. Правило такое: если по данным, что вы собираете, можно найти пользователя, сотрудника или клиента, это персональные данные. Например, если у вас есть имя, фамилия и электронная почта клиента, теоретически вы сможете найти его через поиск в Гугле.
Что считается персональными данными
- фамилия, имя, отчество;
- адрес;
- электронная почта;
- телефон;
- дата или место рождения;
- ссылка на соцсети;
- профессия.
Давайте на примерах. Вы обрабатываете персональные данные, если:
- в форме обратной связи на сайте клиенту нужно написать свое имя и телефон;
- на форуме посетители регистрируются и оставляют свои имя и почту;
- в интернет-магазине покупатель оставляет свои имя, телефон, адрес доставки;
- в форме быстрого обращения система запрашивает у клиентов телефон и имя;
- в блоге можно оставить комментарий, если указать имя и почту;
- в рассылке есть форма подписки, куда посетители вписывают адрес почты;
- в компании работают сотрудники по трудовому договору, а у соискателей на должность вы запрашиваете имена, телефоны и почты, чтобы пригласить на повторное собеседование или прислать новости о компании.
Выходит, если вы получаете и храните данные посетителей сайта, сотрудников или соискателей, вы оператор персональных данных.
Если посетители сайта оставляют вам только никнеймы, вы можете не читать дальше эту статью. По никнеймам нельзя опознать человека в интернете, поэтому они не относятся к персональным данным.
Чтобы перестраховаться, мы рекомендуем держаться правила: собираете данные о пользователях на сайте, считайте их персональными. Чтобы не получить штраф, выполните действия, которые требует закон.
А если я собираю куки?
Трактовка закона расплывчатая, и однозначного ответа нет. Сама по себе кука — информация о поведении посетителя, она обезличена и по ней нельзя точно определить личность. Но если вместе с куками вы собираете электронную почту, фамилию и имя посетителя сайта, всё вместе это становится персональными данными. То же самое — с айпи-адресом.
Я определяю геоданные посетителей. Я оператор?
Здесь так же, как с куками. Закон не говорит точно, но по логике геоданные не считаются персональными данными. В сочетании с телефоном, именем, почтой или другими данными, геоданные становятся персональными данными. Здесь тоже лучше перестраховаться.
Что делать, если я оператор?
Порядок действий для ИП, физических лиц и компаний похож. И тем, и другим нужно:
- получить письменное разрешение на обработку персональных данных у каждого пользователя сайта, соискателя на работу или сотрудника. На сайте около каждой формы напишите: «Когда нажимаете на кнопку, вы даете согласие на обработку персональных данных».
- разместить на сайте политику конфиденциальности;
- поставить ссылку на политику конфиденциальности рядом с каждой формой и в подвал сайта;
- уведомить Роскомнадзор, что вы являетесь оператором персональных данных. Ниже мы указали случаи, кому и когда это делать не нужно;
- для компаний сделать приказ и назначить конкретного сотрудника ответственным за обработку персональных данных.
Универсальной формы политики конфиденциальности нет. Нельзя скачать политику конфиденциальности с Озона и Гугла и использовать их. По закону вы не должны собирать лишние персональные данные, только те, которые нужны для вашей цели. Если у вас форум для автомобилистов, вам не нужен адрес по прописке или номер паспорта. А налоговой такие сведения понадобятся вполне законно.
Составить документы поможет бесплатный сервис Контура. Сервис задает вопросы, вы заполняете реквизиты компании, данные сотрудников, а Контур оформляет политику конфиденциальности и другие документы и по шагам рассказывает, что вам нужно сделать. Если документ нужно распечатать и хранить в компании, Контур об этом скажет.
подготовит документы по 152 ФЗ бесплатно
Без документов никак?
Лучше оформить документы, тем более за это не нужно платить.
Иначе только два варианта:
- убрать с сайта все формы регистрации, которые запрашивают данные посетителей;
- вместо формы регистрации поставить одно поле «Контактные данные» и надеяться, что Роскомнадзор не сможет понять, относятся эти данные к персональным или нет. Один посетитель напишет свое имя, другой — телефон, третий — обругает матом.
Мы не рекомендуем играть в игры с Роскомнадзором, лучше сделать всё по правилам.
Как уведомить Роскомнадзор?
Уведомления надо подать до момента обработки данных. То есть если форма подписки на сайте есть, а вы не уведомили Роскомнадзор, вы уже нарушаете закон. Но если пришлете уведомление сейчас, Роскомнадзор не оштрафует за прошлые годы нарушений.
Заполнить и отправить уведомление можно на сайте Роскомнадзора. Для этого придется заполнить форму с 57 полями. Сначала ее надо отправить в электронном виде, потом — по почте и ждать ответа Роскомнадзора.
Форма регистрации оператора персональных данных на сайте Роскомнадзора
Когда не нужно уведомлять Роскомнадзор?
Бывают случаи, когда вы обрабатываете данные, но сообщать об этом в Роскомнадзор не нужно:
- пользуетесь общедоступными данными. Например, пользователь написал о себе в социальных сетях или разместил телефон в открытом телефонном справочнике;
- обрабатываете данные, в которых есть только фамилия, имя и отчество пользователя;
- запрашиваете данные, чтобы один раз выписать пропуск в свою компанию;
- обрабатываете данные только на бумаге;
- обрабатываете только данные сотрудников, например, чтобы заключить трудовой договор или оформить зарплатный проект;
- обрабатываете данные клиентов, чтобы заключить договор, и не передаете их третьим лицам.
В законе есть и другие случаи, но они не касаются предпринимателей.
Меня проверят?
По новым поправкам увеличились штрафы для компаний, а за дело взялся Роскомнадзор. И взялся серьезно, на сайте можно скачать план проверок в компаниях.
Документы длинные, искать в них долго, поэтому рекомендуем один раз выполнить все требования закона и больше не волноваться о персональных данных.
За обработку персональных данных без предупреждения штраф для юридических лиц — от 15 000 до 75 000 рублей.
Шпаргалка
Когда попадаете под закон на сайте есть форма обратной связи, регистрации или подписки;
- храните данные соискателей на работу;
- нанимаете сотрудников.
Как действовать
- получить письменное разрешение на обработку персональных данных;
- разместить на сайте политику конфиденциальности;
- поставить ссылку на политику конфиденциальности во все формы на сайте;
- уведомить Роскомнадзор;
- для компаний сделать приказ и назначить конкретного сотрудника ответственным за обработку персональных данных.
75 000 ₽ — максимальный штраф для компаний с 1 июля 2017 года
Разобралась и написала:
Ирина Усиченко,
автор Модульбанка, предприниматель
Источник: АО КБ «Модульбанк» Лицензия ЦБ РФ №1927 от 16.03.2016 г.
