Министерство связи и коммуникаций подготовило разъяснения по вопросам, касающимся персональных данных, например, какую информацию можно, а какую нельзя признать таковой.
В соответствии с федеральным законодательством о персональных данных, к таким данным можно отнести абонентский номер или адрес электронной почты в случае, если они прямо или косвенно относятся к определенному или определяемому физлицу. При этом к ним не относится абонентский номер, принадлежащий юрлицу.
Обработка персональных данных осуществляется с согласия на то субъекта, но бывают случаи, когда данные могут обрабатываться и без него. Поэтому предоставлять третьим лицам сведения о личном номере мобильного телефона любого человека можно, только если он разрешил это сделать, правда, за исключением случаев, прямо предусмотренных законодательством. Доказывать, что согласие было получено, должны операторы связи. Если же сотовый оператор поручил обработку персональных данных третьему лицу (например, работодателю или посреднику), то для этого не требуется согласие абонента-гражданина.
Юрлица и индивидуальные предприниматели, применяющие контрольно-кассовую технику (ККТ) при осуществлении расчетов, в случае предоставления покупателем номера телефона либо адреса электронной почты, должны направить электронный кассовый чек на эти данные. Одновременно с этим бизнес становится оператором персональных данных клиента, со всеми функциями, полномочиями и обязанностями в соответствии с законом “О персональных данных”.
С 1 июля вступили в силу поправки, которые обязывают компании, являющиеся операторами персональных данных, зарегистрироваться в Роскомнадзоре. Кроме того, за их неправильное хранение и обработку данных теперь грозят штрафы: например, до 50 000 руб., если их обработка не совпадает с целями сбора информации, и до 30 000 руб. за отсутствие на веб-сайте или странице мобильного приложения общедоступной ссылки на политику организации в отношении обработки персональных данных.
Как это работает: защитите персональные данные на своем сайте
Для начала защитите свой сервер
Для начала необходимо удостовериться, что ваш сервер физически находится на территории РФ. Если же нет – срочно перевести его туда. Определить местоположение сервера можно, введя IP-адрес ресурса вот здесь. Узнать свой IP также можно через специальный сервис, указав название или доменное имя вашего сайта. Затребуйте у вашего хостинга и разместите на сайте справку, которая подтвердит, что центр обработки данных находится в Российской Федерации.
Потом – получите согласие на обработку персональных данных
Разместите в свободном доступе на веб-сайте вашей компании несколько новых текстов для пользователей. В первом должно говориться, что, регистрируясь, пользователь соглашается на обработку его персональных данных. Во втором нужно рассказать о политике обработки персональных данных с отсылками к локальным актам по их защите, а также указать, какая информация о пользователях может храниться в вашей организации на бумажных носителях. В обоих документах укажите электронный адрес, по которому пользователь может обратиться в случае, если он захочет изменить или удалить свои данные. И, наконец, на всех (в том числе, внутренних) страницах вашего сайта должен появиться так называемый дисклеймер, или отказ от ответственности, уведомляющий пользователя об обработке его персональных данных и предлагающий в случае несогласия покинуть ресурс.
Не забудьте уведомить Роскомнадзор
По новому закону, компании, являющиеся операторами персональных данных, должны зарегистрироваться в Роскомнадзоре, подав туда специальное уведомление (ч. 3 ст. 22 Федерального закона № 152-ФЗ). Сделать это довольно просто – достаточно заполнить специальную форму на портале персональных данных ведомства и отправить ее в информационную систему уполномоченного органа по защите прав субъектов персональных данных. Кроме того, распечатанную и заверенную форму нужно отправить в территориальный орган Роскомнадзора, к которому приписана ваша компания по месту регистрации.
Заключите соглашение с разработчиком сайта
Не забудьте оформить соглашение о безопасности персональных данных с разработчиком сайта и/или с агентством, осуществляющим его техническую поддержку. В документе необходимо указать, какие персональные данные они могут обрабатывать, в каких целях и какие действия с ними выполнять, а также прописать требование о защите персональных данных.
Чтобы ваш сайт не подменили
Хотя установка SSL-сертификата и не является обязательным требованием, она поможет предотвратить попытку подмены вашего веб-сайта двойником. Secure Socket Layer (SSL) – стандартная технология безопасности в интернете, которая используется, чтобы обеспечить зашифрованное соединение между сайтом и браузером. SSL сертификат позволяет использовать https протокол, создавая безопасное соединение, гарантирующее, что информация, которую пользователь передает из браузера на сервер, останется приватной и будет защищена от хищения. Один из самых распространенных примеров использования SSL — это защита клиента во время онлайн транзакции (покупки товара, оплаты). Кроме того, при наличии такого сертификата на сайте, пользователь сможет понять, нужный ли ему сайт размещен на домене, не дубликат ли это и проверить, кто является владельцем ресурса.
Что будет, если я всего этого не сделаю?
Иначе вас ждут неприятности в виде крупных штрафов, в основном, по новым статьям КоАП:
- до 50 000 руб. за обработку персональных данных в случаях, если такая их обработка не предусмотрена законодательством или когда она не совпадает с целями сбора персональных данных (ч.1 ст. 13.11 КоАП);
- до 75 000 рублей за обработку персональных данных без письменного согласия субъекта, если оно необходимо, либо с нарушением требований, установленных в таком согласии, за сбор, хранение и обработку специальных персональных данных (сведения о здоровье, о вероисповедании, политических взглядах и т. д.) на сайте без явного согласия на обработку таких данных, за отсутствие в согласии или оферте списка третьих лиц, которым может быть передана песональная информация, за неисполнение требований к форме согласия на обработку персональных данных, описанных в ч.4 ст.9 Федерального закона № 152-ФЗ (ч.2 ст.13.11 КоАП);
- до 30 000 рублей за отсутствие на веб-сайте или странице мобильного приложения общедоступной ссылки на политику организации в отношении обработки персональных данных (ч.3 ст.13.11 КоАП);
- до 40 000 рублей за игнорирование запросов физических лиц по поводу обработки и защиты их персональных данных; за превышение установленных законом сроков ответа на запрос; за предоставление ложной информации (ч.4 ст.13.11 КоАП);
- до 45 000 рублей за игнорирование запросов физических лиц и Роскомнадзора о прекращении обработки персональных данных и их уничтожении; за нарушение сроков предоставления ответов на поступившие запросы (ч.5 ст.13.11 КоАП);
- до 50 000 рублей за отсутствие списка лиц, допущенных к обработке персональных данных; за отсутствие раздельного хранения персональных данных (ч.6 ст.13.11 КоАП).
ПРАВО.ру