С начала июля веб-сайт любой организации или физлица, где содержатся персональные данные пользователей, может впасть в немилость у контролирующих органов. За неправильное их хранение и обработку грозят штрафы, а работают с персональной информацией практически все порталы, если на них предусмотрена регистрация пользователей, оплата покупок и так далее. То есть, неприятности могут начаться почти у каждого владельца веб-ресурса. Что произошло, и как с этим справляться, рассказала "Право.ru" Кира Ованесова – юрисконсульт департамента юридических услуг БКГ "Информаудитсервис".
Что случилось?
С 1 июля вступили в силу поправки в закон №152-ФЗ "О персональных данных" от 27 июля 2006 года. Изменения касаются веб-сайтов всех организаций и физических лиц - индивидуальных предпринимателей, которые занимаются обработкой персональной информации.
Что считать персональными данными?
К ним относятся:
ФИО
Дата и место рождения
Адрес
Семейное, социальное и имущественное положение
Образование и профессия
Данные о поведении пользователя на сайте
Файлы cookies
Сведения о геопозиции
IP-адрес.
Для начала защитите свой сервер
Для начала необходимо удостовериться, что ваш сервер физически находится на территории РФ. Если же нет – срочно перевести его туда. Определить местоположение сервера можно, введя IP-адрес ресурса вот здесь. Узнать свой IP также можно через специальный сервис, указав название или доменное имя вашего сайта.
Затребуйте у вашего хостинга и разместите на сайте справку, которая подтвердит, что центр обработки данных находится в Российской Федерации.
Потом - получите согласие на обработку персональных данных
Разместите в свободном доступе на веб-сайте вашей компании несколько новых текстов для пользователей.
В первом должно говориться, что, регистрируясь, пользователь соглашается на обработку его персональных данных.
Во втором нужно рассказать о политике обработки персональных данных с отсылками к локальным актам по их защите, а также указать, какая информация о пользователях может храниться в вашей организации на бумажных носителях.
В обоих документах укажите электронный адрес, по которому пользователь может обратиться в случае, если он захочет изменить или удалить свои данные.
И, наконец, на всех (в том числе, внутренних) страницах вашего сайта должен появиться так называемый дисклеймер, или отказ от ответственности, уведомляющий пользователя об обработке его персональных данных и предлагающий в случае несогласия покинуть ресурс. В-четвертых, документ,
Не забудьте уведомить Роскомнадзор
По новому закону, компании, являющиеся операторами персональных данных, должны зарегистрироваться в Роскомнадзоре, подав туда специальное уведомление (ч. 3 ст. 22 Федерального закона № 152-ФЗ). Сделать это довольно просто - достаточно заполнить специальную форму на портале персональных данных ведомства и отправить ее в информационную систему уполномоченного органа по защите прав субъектов персональных данных. Кроме того, распечатанную и заверенную форму нужно отправить в территориальный орган Роскомнадзора, к которому приписана ваша компания по месту регистрации.
Заключите соглашение с разработчиком сайта
Не забудьте оформить соглашение о безопасности персональных данных с разработчиком сайта и/или с агентством, осуществляющим его техническую поддержку. В документе необходимо указать, какие персональные данные они могут обрабатывать, в каких целях и какие действия с ними выполнять, а также прописать требование о защите персональных данных.
Чтобы ваш сайт не подменили
Хотя установка SSL-сертификата и не является обязательным требованием, она поможет предотвратить попытку подмены вашего веб-сайта двойником.
Secure Socket Layer (SSL) - стандартная технология безопасности в интернете, которая используется, чтобы обеспечить зашифрованное соединение между сайтом и браузером. SSL сертификат позволяет использовать https протокол, создавая безопасное соединение, гарантирующее, что информация, которую пользователь передает из браузера на сервер, останется приватной и будет защищена от хищения. Один из самых распространенных примеров использования SSL — это защита клиента во время онлайн транзакции (покупки товара, оплаты).
Кроме того, при наличии такого сертификата на сайте, пользователь сможет понять, нужный ли ему сайт размещен на домене, не дубликат ли это и проверить, кто является владельцем ресурса.
Что будет, если я всего этого не сделаю?
Иначе вас ждут неприятности в виде крупных штрафов, в основном, по новым статьям КоАП.
до 50 000 руб. за обработку персональных данных в случаях, если такая их обработка не предусмотрена законодательством или когда она не совпадает с целями сбора персональных данных (ч.1 ст. 13.11 КоАП);
до 75 000 рублей за обработку персональных данных без письменного согласия субъекта, если оно необходимо, либо с нарушением требований, установленных в таком согласии, за сбор, хранение и обработку специальных персональных данных (сведения о здоровье, о вероисповедании, политических взглядах и т. д.) на сайте без явного согласия на обработку таких данных, за отсутствие в согласии или оферте списка третьих лиц, которым может быть передана песональная информация, за неисполнение требований к форме согласия на обработку персональных данных, описанных в ч.4 ст.9 Федерального закона № 152-ФЗ (ч.2 ст.13.11 КоАП);
до 30 000 рублей за отсутствие на веб-сайте или странице мобильного приложения общедоступной ссылки на политику организации в отношении обработки персональных данных (ч.3 ст.13.11 КоАП);
до 40 000 рублей за игнорирование запросов физических лиц по поводу обработки и защиты их персональных данных; за превышение установленных законом сроков ответа на запрос; за предоставление ложной информации (ч.4 ст.13.11 КоАП);
до 45 000 рублей за игнорирование запросов физических лиц и Роскомнадзора о прекращении обработки персональных данных и их уничтожении; за нарушение сроков предоставления ответов на поступившие запросы (ч.5 ст.13.11 КоАП);
до 50 000 рублей за отсутствие списка лиц, допущенных к обработке персональных данных; за отсутствие раздельного хранения персональных данных (ч.6 ст.13.11 КоАП).