Здесь и далее ПД = Персональные Данные.
Что случилось?
Итак, КоАП поменялся с 1 июля 2017 года, добавилась статья 13.11. Семь пунктов, нас касаются первые шесть. Седьмой — про операторов, являющихся государственным или муниципальным органом, и это не про нашу тему.Итак, часть 1 статьи 13.11. До 50 000 ₽ штраф Вы получите, если собираете через сайт сканы паспортов и иных документов. Роскомнадзор считает именно сканы документов избыточной информацией. Или Вы производите обработку ПД не в тех целях, когда это требуется (например, взяли для исполнения договора, но попутно рассылаем email-рассылки)
Часть 2 этой же статьи. Штраф до 75 000 ₽ за одно из этих нарушений:
- Сбор, хранение и обработка специальных персональных данных (сведения о здоровье, о вероисповедании, политических взглядах и т.д.) на сайте без явного согласия на обработку таких данных (нет галочки про ПД, нет соглашения о ПД)
- Проведение онлайн-скоринга его данных (включая IP, cookie и сведения из аккаунтов в соц.сетях) без явного согласия на обработку персональных данных в целях скоринга (аналогично)
- Отсутствие в согласии или оферте списка третьих лиц, кому могут передаваться персональные данные
- Неисполнение требований к форме согласия на обработку персональных данных, описанных в ч.4 ст.9 152-ФЗ (пруфлинк)
Часть 4: до 40 000 ₽ за вот что:
- Игнорирование запросов физических лиц по поводу обработки и защиты их персональных данных.
- Ответ на запрос в сроки, превышающие установленные законом
- Предоставление ложной информации
- Игнорирование запросов физических лиц и Роскомнадзора по поводу прекращения обработки персональных данных и их уничтожении
- Нарушение сроков предоставления ответов на поступившие запросы
- Отсутствие списка лиц, допущенных к такой обработке
- Отсутствие раздельного хранения данных
Проверки от Роскомнадзора
Роскомнадзор получил правовыносить административные дела по вышеперечисленным статьям нарушений без Прокуратуры. То есть теперь от штрафа точно не отделаться.Помимо этого, ещё с 1 сентября 2015 года проверки по соответствию закону «О персональных данных» вышли из под действия закона 294-ФЗ «О защите бизнеса при проверках».
К чему это привело:
Роскомнадзор теперь не уведомляет о плановых проверках коммерческих организаций и ИП Прокуратуру, поэтому в сводном плане проверок на сайте Прокуратуре не найти проверок по персональным данным;
закон защищал бизнес от частых проверок и «маски шоу». Теперь при проверках Роскомадзор регулирует свою деятельность только своим внутренним регламентом;
Роскомнадзор может блокировать сайты, которые незаконно собирают ПД (случай с Linkedin — явный тому пример).
Что делать?
Это самый важный и основной пункт.Сейчас есть 7 основных пунктов, которые нужно сделать на своем сайте как можно скорее:
Под каждой формой ввода данных на сайтах и в мобильных приложениях (форма регистрации, заявки, обратной связи и т.д.) разместить текст «Нажимая на кнопку НАЗВАНИЕ_КНОПКИ, я даю согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на сам документ. В качестве примера согласия можно посмотреть наше согласие.
Разместить ссылку на Политику в отношении обработки персональных данных на сайте — см. подвал нашего сайта как пример и сам приказ. При этом с данным документом регистрирующийся не должен соглашаться при заполнении формы.
Перенести сайт на территорию РФ. Эту информацию Роскомнадзор умеет проверять, так как также контролирует операторов связи.
Указать e-mail, куда физическое лицо может обратиться за тем, чтобы его ПД были удалены, заблокированы и по всем вопросам по ПД. Можно всё отправлять и на общую почту, но вы тогда должны проконтролировать, что письмо, касающееся ПД, не потеряется.
Подать уведомление об обработке персональных данных в Роскомнадзор (форма тут).
До 1 июля 2017 года поставить на сайте дисклеймер, который будет уведомлять посетителей сайта, что его персональные данные обрабатываются на сайте в целях его функционирования и если он не согласен, то должен покинуть сайт. В противном случае это будет являться согласием на обработку его персональных данных.
Сразу хочу сказать, что это только 10% требований Роскомнадзора к компаниям (полный перечень тут), но его достаточно, чтобы начать решать вопрос и в случае проблем не подставить клиента и себя.