До 30 июня только прокуратура может выписать протокол о нарушениях. Сейчас штраф для юр.лица максимум 10 000 рублей, а для частного предпринимателя или директора максимум 1 тыс. рублей. Штраф один и от типа нарушения не зависит. Штрафы маленькие, процесс их выдачи долгий. поэтому пока проверяют не всех и редко.
С 1 июля право составлять протоколы переходит в Роскомнадзор — процесс их выдачи явно пойдёт быстрее.
Как мне понять, что я - оператор персональных данных?
Персональные данные — это любая информация о людях, по которой их можно распознать (идентифицировать). К сожалению, в законе отсутствует чёткий перечень таких данных. Из-за этого владельцам сайтов приходится догадываться самим. Для примера: отдельно получив имя или логин нельзя узнать, что это за человек, а вот по сочетанию электронной почты и имени или имени и телефона — вполне.
С большой вероятностью, вы считаетесь оператором, если каким-нибудь способом получаете от любого человека в любом сочетании следующую информацию:
- фамилию,
- имя,
- отчество,
- e-mail,
- любой физический адрес,
- телефон,
- дату рождения,
- место рождения,
- любую личную фотографию,
- адрес на личного сайта,
- ссылки на одну или более соцсети,
- уровень доходов,
- место работы,
- профессию или образование,
- семейное положение.
Что это значит? Что практически все владельцы интернет-ресурсов являются, в текущей трактовке закона, операторами персональных данных. Если у Вас есть на портале личный кабинет или формы подписки, обратной связи, заказа товара, регистрации - поздравляем! Вы гордо именуетесь Оператором персональных данных. На Вашем ресурсе можно купить что-либо, опубликовать объявление, разместить анкету, — Вы оператор персональных данных. Для тех у кого на сайте можно только отправить сообщение или заказать обратный звонок - да, да, Вы тоже оператор персональных данных.
А записав номер товарища или e-mail девушки c сайта знакомств, мне тоже придется этот закон соблюдать?
Не придется. На данные для персональных и семейных нужд закон не действует. А вот передать телефон знакомого коллекторскому агенству или выложить объявление с почтой этой девушки на форуме "Всё зло от них" — будет нарушением.
Как взаимодействовать с персональными данными, соблюдая закон?
Точно потребуется:
- получать согласие (письменное или электронное) у каждого посетителя, подписчика или покупателя на сбор, хранение, распространение и обработку персональных данных;
- опубликовать на сайте в открытом доступе информацию обо всех процедурах, которые касаются персональных данных Ваших посетителей и клиентов;
- запрашивать у посетителя данные, которые требуются для конкретной цели. К примеру запрашивать домашний или почтовый адрес или данные паспорта для подписки на e-mail рассылку новостей - нельзя;
- пользоваться данными исключительно для целей, которые Вами указаны в положениях и других документах, и только о тех, о которых посетителя предупредили;
- при получении запроса от человека сообщать, какие у вас о нем есть данные, для чего и как они обрабатываются, передавались ли они кому-либо (важно убедиться, что польователь подаёт запрос о себе, иначе предоставление этой информации тоже будет нарушением);
- сразу же удалять при требовании данные, используемые для рассылок информации (например об акциях и скидках);
- хранить информацию в надежном месте, защищать её от утечки и несанкционированного доступа;
- обучить персонал работать с персональными данными;
- произвести регистрацию в Роскомнадзоре.
Нужно будет еще где-то регистрироваться?
В соответствии с законом операторы персональных данных обязаны сообщить о себе в Роскомнадзор. Сделать это потребуется ДО начала сбора персональных данных или же как можно быстрее. Роскомнадзор добавит запись об операторе в реестр и сможет выдавать её по запросу.
Можно не уведомлять Роскомнадзор, если:
- производится обработка только данных персонала (сотрудников);
- персональные данные берутся только для исполнения одного определённого договора с одним конкретным человеком и будут использоваться однократно;
- пользователь сам выложил эти данные в открытом доступе;
- есть только Фамилия Имя Отчество пользователя - больше никаких данных.
Я владею сайтом, и собираю персональные данные. Что делать "Карл"?
До сих пор бездействовали? Увы, закон Вы уже нарушаете и могут оштрафовать уже сейчас. Даже если сайт находится на аутсорсинге у web-студии или у фрилансера, штраф, тем не менее, выставят на ту организацию или предпринимателя, указанные на сайте.
Составьте необходимые документы и выложите их на сайте, обеспечив к ним доступ с любой страницы. Подойдёт пользовательское соглашение, правила продажи, официальное уведомление, политика конфиденциальности или согласие на обработку, как у нас. Прописать условия сбора, обработки и хранения персональных данных можно и просто в оферте или договоре.
Чужие документы, могут принести больше вреда, чем пользы при использовании. Допустимо их взять для примера, однако список данных и цели использования необходимо указать свои. То, что требуется банку для выдачи кредита, не потребуется интернет-магазину для доставки товара. Почтовый адрес например - не понадобится для электронной рассылки. Запрос ненужных данных — может быть расценен, как нарушение закона и предлог для штрафа.
Внедрите решение, которое позволит точно установить, что посетитель согласился на обработку персональных данных. Таким может быть предупреждение в форме регистрации, галочка при оформлении заказа, или банер для новых посетителей. Для гарантии можно заверить web-страницы у нотариуса.
Создайте пакет внутренних бумаг о хранении и обработке персональных данных, определите ответственность сотрудников, работающих с ними. Приказы, должностные инструкции и внутрикорпоративные требования остаются конфиденциальными - их не выкладывают в открытый доступ.
Отправьте уведомление в Роскомнадзор. в случае если Вы уверены, что этого Вам делать не нужно, тогда подготовьте документы, чтобы это было очевидно в случае проверки. К примеру, пропишите в политиках, что пользуетесь персональными данными исключительно для исполнения одного конкретного договора. Можно указать, что у Вас сайт, где информация выкладывается в открытый доступ по собственному желанию пользователя.
Если сомневаетесь, требуется ли Вам направлять уведомление, то лучше отправьте.
Если Вам требуется квалифицированная помощь, наша компания вместе с командой юристов наших партнёров готовы помочь выполнить непростые пребования законодательства. Обойдётся это от 35 тысяч за разработку индивидульных документов и размещение их на сайте. Цена может сильно отличаться в зависимости от выбранного решения по внедрению.
К первому числу точно не успеем, что делать?
Всё равно готовить сайт и документы. Подавать уведомление сразу как только они будут готовы. Лучше сделать поздно, чем ждать когда придёт уведомление о штрафе.