Ужесточение штрафов за нарушения правил сбора, хранения и обработки персональных данных, грядущее 1 июля 2017 года, заставили снова вспомнить о принятом более 10 лет назад законе № 152 – ФЗ. И теперь ясно, что привлечь внимание Роскомнадзора может абсолютно любой сайт. Почему это так, и что необходимо сделать уже сейчас, расскажем в статье.
Кто рискует?
Согласно определению в законе, информационной системой персональных данных считается «информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств» (п.9 ст.3).
Каждый сайт, собирающий данные, «прямо или косвенно относящиеся к определенному или определяемому физическому лицу», считается оператором персональных данных. Определение этому понятию дано в п.2 ст.3: «оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных».
Другими словами, если на сайте ведутся продажи, собираются сведения для рассылки и таргетированной рекламы, присутствует форма обратной связи (все одновременно или что-то одно), - необходимо соблюдать предписания закона и уведомить Роскомнадзор о своей деятельности.
Исключений немного: это случаи обработки данных только сотрудников компании и сотрудничество по договору, где указывается цель и срок обработки персональных данных. Также обращаться в надзорный орган необязательно, если пользователи сами делают свои данные общедоступными (например, на виртуальной доске объявлений).
По сути, любой сайт, будь то информационный ресурс или интернет-магазин, является оператором персональных данных. И его владелец может быть оштрафован за несоблюдение требований закона.
Что нужно выполнять?
Из-за расплывчатости определения персональных данных, таковыми могут считаться не только контакты пользователей, но и сведения об их поведении на сайте, используемые для последующей рекламы. Полученными и обрабатываемыми данными являются и сведения, указанные при оформлении заказа, даже если покупка совершена не была. И это определяет порядок работы с ними.
- Необходимо получать согласие на сбор, хранение и обработку данных. Поскольку сделать это в письменной форме проблематично, допускаются такие способы, как подтверждение согласия с помощью триггерной рассылки или чек-бокса («галочки» в форме отправки сообщения). Форма сообщения упомянута не случайно – уже известны случаи штрафа за отсутствие «галочки».
- Необходимо информировать пользователей о целях сбора данных. Причем, за получение избыточных сведений тоже могут оштрафовать. Это не значит, что нужно отказаться от cookie и анкетирования. Но каждый человек должен знать, зачем он сообщает о себе ту или иную информацию, даже если это дата рождения или любимая торговая марка.
- Требуется уведомить Роскомнадзор обо всех аспектах работы с персональными данными. Это можно сделать письменно или на сайте надзорного органа. Понадобится указать:
- используемые системы сбора данных (Яндекс.Метрика, Google.Analytics, CRM, 1С и др.), а также характер получаемых сведений и цели их получения;
- физический адрес сервера хранения базы данных (только РФ), название провайдера хостинга и сведения о его владельце;
- категории пользователей и другие сведения о работе с их персональными данными.
- Необходимо обеспечить своевременное удаление или обезличивание данных по истечении оговоренного срока их использования или по требованию физического лица.
Все это требовалось и раньше, но выполнялось редко. Теперь же полномочия по проверке выполнения закона переданы Роскомнадзору, и проверки, в том числе, внеплановые, участились. Увеличение размера штрафов и числа поводов для них, надо полагать, количество проверок не сократит. Скорее, наоборот.
В ходе проверки потребуется предоставить пакет документов. И это не только утвержденная руководством Политика конфиденциальности, но и договоры со сторонними организациями, осуществляющими обработку данных (например, рекламное агентство), и также справки о характере работы используемых систем и приложений.
Защищенность баз данных тоже имеет большое значение, но проверять ее степень Роскомнадзор не уполномочен. Этим занимается ФСТЭК, но частные компании вне поля зрения.
Что делать?
Для выполнения требований закона понадобится:
- разместить на сайте «Согласие на обработку персональных данных» и «Политику конфиденциальности», причем, ссылку на первый документ желательно указать везде, где так или иначе оставляются сведения; в документах необходимо сообщить о собираемых данных, целях их получения и передаче третьим лицам (кому и зачем);
- предупредить посетителей о сборе cookie, разъяснив, что это и для чего используется (у человека должна быть возможность отказаться от предоставления данных!);
- заключить соглашения об обработке персональных данных со всеми агентствами и организациями, в которые передаются сведения;
- указать адрес электронной почты для получения вопросов и претензий от посетителей сайта;
- подать уведомление в Роскомнадзор (отсутствие официального статуса «оператор персональных данных» не освобождает от ответственности и не гарантирует отсутствие проверок).
Важно! Поскольку проверяется не сам факт наличия «Соглашения» и «Политики», а соответствие собираемых данных целям компании, использовать чужие документы или шаблоны нельзя. Рекомендуется проконсультироваться с юристами.
А если ко мне не придут?
Роскомнадзор проводит проверки не только по плану, но и по заявлениям граждан. Следовательно, любое «неверное движение» (рассылка по непонятной причине, навязчивое преследование таргетированной рекламой) может стать причиной для жалобы. А значит, проверки и, с большой долей вероятности, суда и штрафа.
Не повод для паники
Правильная работа с персональными данными необходима в любом случае, и ужесточение штрафов – повод наконец-то побеспокоиться, в первую очередь, о собственных клиентах. В конце концов, подготовить документы нужно один раз, а спокойствие и себе, и посетителям, будет обеспечено надолго. И вывод один: соблюдать. Нельзя игнорировать.
