Перейти к основному содержанию

Консалтинговые услуги

Казань:+7(843)528-22-18, +7(8552) 25-01-99
+7 (917) 272-13-90, +7(843) 278-19-00

152-ФЗ. Владельцам сайтов о персональных данных. Владельцам сайтов: изменения в законе о персональных данных. Как избежать штрафов и что нужно знать о новых поправках.

Владельцам сайтов: изменения в законе о персональных данных. Как избежать штрафов и что нужно знать о новых поправках

Материал сайта Tilda Education

Почти все владельцы сайтов обрабатывают персональные данные — например, собирают почтовые адреса для рассылки.
 

Что такое персональные данные?

Любые данные о человеке, по которым его можно опознать.

Точного перечисления в законе нет, но, например, если логин пользователя нам ни о чем не говорит, то электронная почта — это уже персональные данные.

Определение из закона 152-ФЗ «О персональных данных»:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Часто используемые персональные данные

Неважно, используете ли вы эту информацию по отдельности или в сочетании — если вы как-то получаете ее от пользователей, вы — оператор персональных данных.

  • Email
  • Телефон
  • Имя, фамилия, отчество (и по отдельности)
  • Адрес
  • Дата рождения
  • Фотография
  • Ссылка на персональный сайт и профиль в соцсетях

Трактовка расплывчатая, но исходя из позиции судов и Роскомнадзора - также являются персональными данными (даже без указания фамилии и имени):

  • данные файлов cookie,
  • данные об IP-адресе,
  • данные о местоположении

1 июля 2017 года вступили в силу изменения в законе о персональных данных, из-за которых в разы вырастут штрафы.

Максим Лагутин, эксперт по персональным данным в компании Б-152, рассказывает, на кого это повлияет и как избежать штрафов.

Максим Лагутин Эксперт по защите персональных данных, основатель консалтинговой компании Б-152

Сейчас по статье 13.11 есть только одно нарушение со штрафом 10 000 рублей для юрлиц.

После 1 июля их станет семь и общий штраф может составить до 295 000 рублей.

Почему сейчас?

Все штрафы, которые вступают в силу с 1 июля, являются наиболее частыми нарушениями, которые Роскомнадзор выявлял в течение последних пяти лет. Ужесточение законодательства РФ связано с ужесточением законодательства в Евросоюзе.

Например, если в форме обратной связи нет ссылки на соглашение на обработку персональных данных, компания должна будет заплатить 50 000 рублей.

Если на сайте нет политики конфиденциальности, ИП оштрафуют на 10 000 рублей, компанию — на 30 000 рублей.

Кого будут штрафовать?

Операторов персональных данных.

Оператор — любая организация, ИП и физическое лицо, которые обрабатывают персональные данные, например, собирает электронные адреса для рассылки.

Определение из закона 152-ФЗ «О персональных данных»:

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В деле LinkedIn (который заблокировали за использование cookie, сведений о поведении пользователя на странице и сведений о местонахождении) и провайдера Скартел позиция судов и Роскомнадзора подтверждается. Если на вашем сайте есть любая форма сбора данных — обратной связи, подписки на рассылку, регистрации или личный кабинет, это считается обработкой персональных данных. Я не обрабатываю персональные данные, а только собираю Хранение и сбор тоже попадают под определение обработки. Даже если вы собираете данные и через пару минут удаляете, это будет считаться обработкой персональных данных. Определение из закона 152-ФЗ «О персональных данных»: Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Что делать с сайтом Вам нужно сделать так, чтобы сайт соответствовал требованиям 152-ФЗ. Эти требования применимы для всех — физических лиц и компаний. Убедитесь, что вы соблюдаете следующие условия: 1 Хостинг и база данных с персональными данными должна располагаться на территории России. Об этом прямо говорят данные проверок Роскомнадзора (снова LinkedIn) и закон № 242-ФЗ, который обязывает записывать, хранить, обновлять и извлекать персональные данные граждан РФ с использованием баз данных на территории России с 1 сентября 2015 года.

Это касается иностранных компаний с юрлицом в России и без него, а также российских компаний, которые пользуются иностранными хостинг-провайдерами, дата-центрами и облачными платформами. Все осложняется тем, что требования Роскомнадзора до конца не ясны, приходится догадываться самим. Подробнее о локализации данных рассказывается в статье.

Если вы не понимаете, где хранить данные и что делать, обратитесь с запросом в Роскомнадзор или Минкомсвязи. И возможно у вашего хостинг-провайдера есть готовые решения на такой случай. 2 Под каждой формой сбора данных, включая сбор email, разместить текст «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных». В тексте должна быть ссылка на документ — Пользовательское соглашение, договор или согласие на обработку персональных данных. Текст самого документа можно разместить на отдельной странице. В Тильде в каждом блоке с формой сбора данных есть поле, в котором можно разместить текст о согласии на обработку данных и ссылку на соглашение и таким образом выполнить требование закона.

Какая информация должна быть в соглашении об обработке персональных данных

Согласно ч.4 ст. 9 закона 152-ФЗ «О персональных данных» в соглашении обязательно должна быть следующая информация:

  • наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

Также нужно указать информацию о том, как физическое лицо может отозвать свое согласие на обработку персональных данных (ч.2 ст. 9 152-ФЗ «О персональных данных»). 3 Разместить на сайте в общем доступе (например, в подвале сайта) ссылку на документ — политику организации в отношении обработки персональных данных на сайте. Пример политики организации в отношении обработки персональных данных на сайте 4 Показывать всем новым пользователям сайта предупреждение с текстом о том, что вы собираете метаданные пользователя (cookie, данные об IP-адресе и местоположении) для функционирования сайта и, если он не хочет, чтобы эти его данные обрабатывались, то должен покинуть сайт.

На Тильде блок с предупреждением находится в категории «Другое» под номером Т657 5 Подать уведомление, чтобы внести организацию в реестр операторов персональных данных Роскомнадзора — можно сделать через сайт.

Уведомление можно не подавать, если вы:

  • обрабатываете только данные работников и только для исполнения требований трудового законодательства (без передачи данных в банки, например, оформления зарплатного проекта)
  • обрабатываете данные, заключая договор с каждым клиентом и работником, и не передаете данные третьим лицам
  • обрабатываете персональные данные только на бумажных носителях.

Другие исключения, когда уведомление в Роскомнадзор можно не подавать, содержатся во втором пункте статьи 22 закона 152-ФЗ. Подтверждать статус оператора в Роскомнадзоре не нужно. Вы или ваша компания итак уже является оператором, если имеет доступ к персональным данным. Что еще нужно сделать, если вы — юрлицо Выше мы назвали главные требования, которые Роскомнадзор предъявляет ко всем сайтам — неважно, физическое вы лицо или юридическое. Ниже еще несколько групп требований, которые должны дополнительно выполнять юридические лица. Что нужно еще сделать компаниям: 1 Назначить ответственных лиц и разработать пакет внутренних документов, регламентирующих процессы обработки и защиты персональных данных. Список необходимых документов, который прошел огонь, воду и проверки Роскомнадзора. 2

Правильно отрегулировать взаимодействие с физическими лицами, государственными органами и контрагентами. Это значит, вам нужно:

  1. Подписать с сотрудниками обязательства о неразглашении персональных данных, согласие на обработку персональных данных и под роспись ознакомить их с внутренними документами по персональным данным.
  2. Со всеми другими физическими лицами подписывать согласие на обработку персональных данных или добавлять пункты об обработке персональных данных в договоры, которые вы заключаете.
  3. Заключать поручения на обработку персональных данных, если вы передаете кому-то данные физических лиц (например, рекламным агентствам).
  4. Отвечать на запросы физических лиц по поводу обработки их персональных данных — не игнорировать, как часто делают.

3 Защитить персональные данные техническими и организационными мерами — антивирусными системами, средствами межсетевого экранирования, разграничить права доступа. Все это прописано в приказе ФСТЭК № 21. В зависимости от требований проверять компанию могут разные инстанции: Роскомнадзор, ФСТЭК и ФСБ России. Самые редкие случаи проверки для частных организаций — проверка технической защиты персональных данных, это делает ФСБ в малом количестве. Основной риск представляет Роскомнадзор, проводящий тысячи проверок в год. Какие штрафы ждут за невыполнение закона с 1 июля Если раньше сумма штрафов для юридических лиц не превышала 10 000 рублей, то с 1 июля она спокойно может доходить до 300 000 рублей. Если нарушений несколько, штрафов тоже будет несколько. Например, если вам напишет пользователь и попросит уточнить или удалить его персональные данные с вашего сайта, а вы не предоставите эту информацию, то штраф для физических лиц будет до 2000 рублей, для ИП — до 20 000 рублей, для компаний — до 45 000 рублей. Все штрафы можно посмотреть в поправках к закону.

Как правило, вначале Роскомнадзор присылает «письмо счастья», в котором указывает выявленные нарушения на сайте, связанные с неправомерной обработкой персональных данных. Хотя в случае с астраханскими сайтами, которых оштрафовали за форму обратной связи на сайте, проверку просто начали по алфавиту.

Пример «письма счастья»: Еще Роскомнадзор может запросить большой список документов. Если проверка выявит нарушения, то Роскомнадзор может заблокировать сайт, наложить штрафы и в редких случаях приостановить деятельность компании.

Не ждите «письмо счастья». Начните выполнять все основные требования, чтобы избежать плачевных последствий и штрафов. Текст: Максим Лагутин
Иллюстрации, дизайн и верстка:

Юлия Засс

 

Источник: //tilda.education/articles-personal-data-law

 

 

Российская Федерация Российская Федерация

Решение от 04 августа 2016 года

По делу № 02-3491/2016 Принято Таганским районным судом (Город Москва)

  1. РЕШЕНИЕ
  2. ИМЕНЕМ РОСССИЙСКОЙ ФЕДЕРАЦИИ
  3. дата Москва
  4. Таганский районный суд адрес в составе
  5. председательствующего судьи фио,
  6. при секретаре фио, рассмотрев в открытом судебном заседании гражданское дело №2-3491/2016 по исковому заявлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций к LinkedIn Corporation о признании деятельность интернет – ресурсов (http://www.linkedin.com, http://linkedin.com) по сбору, использованию и хранению персональных данных граждан Российской Федерации нарушающей требования Закона «О персональных данных» и права граждан на неприкосновенность частной жизни, личную и семейную тайну,
  7. Истец Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций обратилась в суд с иском к ответчику LinkedIn Corporation о признании деятельность интернет – ресурсов (http://www.linkedin.com, http://linkedin.com) по сбору, использованию и хранению персональных данных граждан Российской Федерации, указывая в обосновании иска на то, что Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор) в ходе мониторинга информационно-телекоммуникационной сети (Интернет) выявлено нарушение интернет – сайтом, расположенным по адресам: http://www.linkedin.com,http://linkedin.com, прав и законных интересов граждан Российской Федерации, как субъектов персональных данных, посредством сбора информации о пользователях интернет - ресурса, а также гражданах Российской Федерации, не являющихся пользователями интернет - ресурса, её использование и передачу, в том числе посредством указанного сайта, без соответствующего согласия а также с нарушением требований законодательства Российской Федерации в области персональных данных, что является нарушением ч. 1 ст. 6 и ч. 5 адрес закона от дата № 152-ФЗ «О персональных данных». Незаконное использование персональных данных гражданина в информационно-телекоммуникационной сети «Интернет» нарушает права и свободы человека и гражданина при обработке его персональных данных, в том числе право на неприкосновенность его частной жизни, личную и семейную тайну. По данным интернет - сервиса http://1whois.ru/ установлено, что администратором доменного имени интернет – сайта linkedin.com является компания LinkedIn Corporation, расположенная за пределами Российской Федерации.
  8. На основании изложенного, истец просит суд признать деятельность интернет – ресурсов (http://www.linkedin.com, http://linkedin.com) по сбору, использованию и хранению персональных данных граждан Российской Федерации нарушающей требования Закона «О персональных данных» и права граждан на неприкосновенность частной жизни, личную и семейную тайну. Обязать Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций принять меры по ограничению доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, путем внесения доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети «Интернет», содержащих информацию, обрабатываемую с нарушением законодательства в области персональных данных, в Реестр нарушителей прав субъектов персональных данных следующего интернет-ресурса:http://www.linkedin.com, http://linkedin.com.
  9. Представитель истца Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций в судебное заседание по доверенности фио в настоящее судебное заседание явился, исковые требования поддержал в полном объеме.
  10. Ответчик LinkedIn Corporation в судебное заседание не явился, о дате, времени и месте слушания дела извещен по известному адресу места нахождения, о причинах своей неявки ответчик суд не уведомил, возражений на иск не представил, своего представителя в суд не направил, в связи с чем, суд рассмотрел дело по существу в отсутствие ответчика.
  11. Суд, выслушав представителя истца, исследовав письменные материалы дела приходит к следующему.
  12. В соответствии со статьей 46 Гражданского процессуального кодекса Российской Федерации в случаях, предусмотренных законом, органы государственной власти, органы местного самоуправления, организации или граждане вправе обратиться в суд с заявлением в защиту прав, свобод и законных интересов других лиц по их просьбе либо в защиту прав, свобод и законных интересов неопределенного круга лиц.
  13. В силу пункта 10 части 3 статьи 402 ГПК РФ суды Российской Федерации вправе рассматривать дела с участием иностранных граждан о защите прав субъекта персональных данных, в том числе о возмещении убытков и (или) компенсации морального вреда, если истец имеет место жительства в Российской Федерации.
  14. Согласно п. 5 ч. 3 ст. 23 Закона «О персональных данных» Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, как уполномоченный орган по защите прав субъектов персональных данных, вправе обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных, в том числе в защиту прав неопределенного круга лиц, и представлять интересы субъектов персональных данных в суде.
  15. В соответствии со адрес закона от дата № 152-ФЗ «О персональных данных» (далее - Закон «О персональных данных») персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
  16. В ходе судебного разбирательства из письменных материалов дела установлено, что Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в ходе мониторинга информационно-телекоммуникационной сети выявлено нарушение интернет – сайтом, расположенным по адресам:http://www.linkedin.com,http://linkedin.com, прав и законных интересов граждан Российской Федерации, как субъектов персональных данных, посредством сбора информации о пользователях интернет - ресурса, а также гражданах Российской Федерации, не являющихся пользователями интернет - ресурса, её использование и передачу, в том числе посредством указанного сайта, без соответствующего согласия а также с нарушением требований законодательства Российской Федерации в области персональных данных.
  17. Указанная информация подтверждается скриншотами страниц сайтов и протоколом оценки содержания интернет-сайта, составленным главным государственным инспектором отдела организации контроля и надзора за соответствием обработки персональных данных Управления по защите прав субъектов персональных данных фио и начальником Управления по защите прав субъектов персональных данных фио
  18. Данные обстоятельства подтверждаются материалами дела, не оспариваются ответчиком, вследствие чего, у суда сомнений не вызывают.
  19. В обосновании своих требований представитель Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций указал, что по данным, размещённым на сайте https://www.linkedin.com/, LinkedIn (LinkedIn Corporation) является ответственной за предоставляемые указанным сайтом услуги. Деятельность LinkedIn предусматривает сбор информации о пользователях интернет - ресурса, гражданах Российской Федерации, её использование и передачу, в том числе посредством указанного сайта, что является нарушением ч. 5 адрес закона от дата № 152-ФЗ «О персональных данных» оператор при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет» обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на адрес, и в соответствии с положениями Политики конфиденциальности, размещённой на сайте https://www.linkedin.com/, LinkedIn осуществляет сбор и обработку данных третьих лиц, не являющихся Участниками или Посетителями, на которых действие Пользовательского соглашения, а также иных документов LinkedIn, не распространяется, что является нарушением ч.1 адрес закона от дата № 152-ФЗ «О персональных данных».
  20. Поскольку действующим законодательством Российской Федерации в области персональных данных установлено обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требований предусмотренных Федеральным законом от дата № 152-ФЗ «О персональных данных», при таких обстоятельствах суд приходит к выводу, что ответчиком, являющимся администратором доменного имени linkedin.com, обрабатывающим персональные данные граждан в информационно-телекоммуникационной сети «Интернет» допущено нарушение прав и свобод человека и гражданина при обработке его персональных данных, в том числе право на неприкосновенность его частной жизни, личную и семейную тайну.
  21. Ответчик в настоящее судебное заседание не явился, возражений по иску не представил, доказательств и иных законных оснований обработки персональных данных суду не представил.
  22. Таким образом, оценив собранные по делу доказательства в их совокупности и во взаимной связи с положениями ст. 15.1, чч. 1,2,3 ст. 15.5 Федерального закона от дата № 149-ФЗ «Об информации, информационных технологиях и о защите информации» суд считает исковые требования Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций к LinkedIn Corporation о признании деятельность интернет – ресурсов (http://www.linkedin.com, http://linkedin.com) по сбору, использованию и хранению персональных данных граждан Российской Федерации нарушающей требования Закона «О персональных данных» и права граждан на неприкосновенность частной жизни, личную и семейную тайну незаконной, в связи с чем удовлетворяет требования в полном объеме.
  23. Удовлетворяю исковые требования, суд, в соответствии с требованиями ст. 103 ГПК РФ, взыскивает с ответчика государственную пошлину в доход бюджета адрес в размере сумма
  24. На основании изложенного, руководствуюсь ст.ст. телефон ГПК РФ, суд
  25.  
  26. Решил:

  27. Признать деятельность интернет – ресурсов (http://www.linkedin.com, http://linkedin.com) по сбору, использованию и хранению персональных данных граждан Российской Федерации нарушающей требования Закона «О персональных данных» и права граждан на неприкосновенность частной жизни, личную и семейную тайну.
  28. Обязать Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций принять меры по ограничению доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, путем внесения доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети «Интернет», содержащих информацию, обрабатываемую с нарушением законодательства в области персональных данных, в Реестр нарушителей прав субъектов персональных данных следующего интернет-ресурса: http://www.linkedin.com, http://linkedin.com.
  29. Взыскать с LinkedIn Corporation государственную пошлину в доход бюджета адрес в размере сумма
  30. Решение может быть обжаловано в апелляционном порядке в Московский городской суд через Таганский районный суд адрес в течение одного месяца со дня его принятия в окончательной форме.
  31. Судья

 

Источник http://docs.pravo.ru/document/view/87232058/

 

Сотрудники компании "Верное решение" оказывают услуги консультационного сопровождения для предпринимателей, консультируют по финансово-экономическим, правовым вопросам, маркетингу, иным вопросам развития бизнеса.

Мы предлагаем Вам воспользоваться комплексом услуг Компании:

  • консультационная и информационная поддержка и сопровождение участников федеральных и региональных мер государственной поддержки в том числе налоговых льгот, грантов и субсидий (мы помогли нашим клиентам привлечь более 11 миллиардов рублей государственных средств)
  • разработка бизнес-плана, технико-экономического обоснования (ТЭО), меморандума, презентации, паспорта проекта, концепции развития (стратегии), подготовка пакета документации по проекту (мы оказали уже 1 160 комплексов таких услуг),
  • проведение исследований рынков (маркетинговых) продукта, работ, услуг, поиск рыночных ниш, анализ конкурентной среды и перспектив развития,
  • помощь финансиста, экономиста, юриста, маркетолога - для использования льготных налоговых режимов, льготных ресурсов, привлечения льготных государственных инвестиций в проект, бизнес (мы провели более 11 400 консультаций для малого и среднего бизнеса),

Мы будем рады помочь Вам в решении Ваших задач. По любым возникающим вопросам, пожалуйста, обращайтесь.