Extyl-PRO. Битрикс-интегратор №1. Сложный ecommerce и нестандартные интеграции. Extyl-PRO
Адрес: Павелецкая набережная, 2, БЦ LoftVille 115114 Москва,
Телефон:+7 495 995–23–37, Электронная почта: info@extyl-pro.ru
По будням с 9:30 до 20
Сразу оговоримся, что данная статья посвящена штрафам и содержит рекомендации только для сайтов и интернет-магазинов, ибо спектр действия закона достаточно широк.

Здесь и далее ПД = Персональные Данные.

Что случилось?

Итак, КоАП поменялся с 1 июля 2017 года, добавилась статья 13.11. Семь пунктов, нас касаются первые шесть. Седьмой — про операторов, являющихся государственным или муниципальным органом, и это не про нашу тему.

Итак, часть 1 статьи 13.11. До 50 000 ₽ штраф Вы получите, если собираете через сайт сканы паспортов и иных документов. Роскомнадзор считает именно сканы документов избыточной информацией. Или Вы производите обработку ПД не в тех целях, когда это требуется (например, взяли для исполнения договора, но попутно рассылаем email-рассылки)

Часть 2 этой же статьи. Штраф до 75 000 ₽ за одно из этих нарушений:
  1. Сбор, хранение и обработка специальных персональных данных (сведения о здоровье, о вероисповедании, политических взглядах и т.д.) на сайте без явного согласия на обработку таких данных (нет галочки про ПД, нет соглашения о ПД)
  2. Проведение онлайн-скоринга его данных (включая IP, cookie и сведения из аккаунтов в соц.сетях) без явного согласия на обработку персональных данных в целях скоринга (аналогично)
  3. Отсутствие в согласии или оферте списка третьих лиц, кому могут передаваться персональные данные
  4. Неисполнение требований к форме согласия на обработку персональных данных, описанных в ч.4 ст.9 152-ФЗ (пруфлинк)
Часть 3: до 30 000 ₽ за отсутствие на сайте или странице мобильного приложения общедоступной ссылки на Политику организации в отношении обработки персональных данных.

Часть 4: до 40 000 ₽ за вот что:
  1. Игнорирование запросов физических лиц по поводу обработки и защиты их персональных данных.
  2. Ответ на запрос в сроки, превышающие установленные законом
  3. Предоставление ложной информации
Часть 5 почти такая же, только штраф — 50 000 ₽:
  1. Игнорирование запросов физических лиц и Роскомнадзора по поводу прекращения обработки персональных данных и их уничтожении
  2. Нарушение сроков предоставления ответов на поступившие запросы
Ну и часть 6 с аналогичным штрафом:
  1. Отсутствие списка лиц, допущенных к такой обработке
  2. Отсутствие раздельного хранения данных

Проверки от Роскомнадзора

Роскомнадзор получил право выносить административные дела по вышеперечисленным статьям нарушений без Прокуратуры. То есть теперь от штрафа точно не отделаться.

Помимо этого, ещё с 1 сентября 2015 года проверки по соответствию закону «О персональных данных» вышли из под действия закона 294-ФЗ «О защите бизнеса при проверках».

К чему это привело:

  • Роскомнадзор теперь не уведомляет о плановых проверках коммерческих организаций и ИП Прокуратуру, поэтому в сводном плане проверок на сайте Прокуратуре не найти проверок по персональным данным;

  • закон защищал бизнес от частых проверок и «маски шоу». Теперь при проверках Роскомадзор регулирует свою деятельность только своим внутренним регламентом;

  • Роскомнадзор может блокировать сайты, которые незаконно собирают ПД (случай с Linkedin — явный тому пример).

Что делать?

Это самый важный и основной пункт.
Сейчас есть 7 основных пунктов, которые нужно сделать на своем сайте как можно скорее:
  1. Под каждой формой ввода данных на сайтах и в мобильных приложениях (форма регистрации, заявки, обратной связи и т.д.) разместить текст «Нажимая на кнопку НАЗВАНИЕ_КНОПКИ, я даю согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на сам документ. В качестве примера согласия можно посмотреть наше согласие.

  2. Разместить ссылку на Политику в отношении обработки персональных данных на сайте — см. подвал нашего сайта как пример и сам приказ. При этом с данным документом регистрирующийся не должен соглашаться при заполнении формы.

  3. Перенести сайт на территорию РФ. Эту информацию Роскомнадзор умеет проверять, так как также контролирует операторов связи.

  4. Указать e-mail, куда физическое лицо может обратиться за тем, чтобы его ПД были удалены, заблокированы и по всем вопросам по ПД. Можно всё отправлять и на общую почту, но вы тогда должны проконтролировать, что письмо, касающееся ПД, не потеряется.

  5. Подать уведомление об обработке персональных данных в Роскомнадзор (форма тут).

  6. До 1 июля 2017 года поставить на сайте дисклеймер, который будет уведомлять посетителей сайта, что его персональные данные обрабатываются на сайте в целях его функционирования и если он не согласен, то должен покинуть сайт. В противном случае это будет являться согласием на обработку его персональных данных.


Сразу хочу сказать, что это только 10% требований Роскомнадзора к компаниям (полный перечень тут), но его достаточно, чтобы начать решать вопрос и в случае проблем не подставить клиента и себя.

Возврат к списку

Выберите способ связи и мы свяжемся с Вами в течение одного рабочего дня или быстрее.
, ,
Заказать звонок