С 1 июля штрафы за нарушение закона о персональных данных

Автор detanatar, 29-06-2017, 16:40:42

« назад - далее »

detanatarTopic starter

Всем, у кого есть сайт! С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 75 тысяч рублей

В феврале внесены newbielink:http://www.consultant.ru/document/cons_doc_LAW_212391/3d0cac60971a511280cbba229d9b6329c07731f7/ [nonactive] по поводу нарушений закона о персональных данных. Они вступят в силу 1 июля 2017 года и коснутся всех, кто собирает, обрабатывает и хранит любые персональные данные.

Штрафы разделили по видам нарушений и увеличили в десятки раз. Например, если не разместить на сайте политику конфиденциальности, ИП могут оштрафовать на 10 тысяч рублей, а компанию — на 30 тысяч. А если обрабатывать персональные данные без согласия клиента интернет-магазина или подписчика на информационный курс, то штраф для юрлица составит до 75 тысяч рублей. Директору компании или предпринимателю придется заплатить до 20 тысяч. Если нарушений несколько, то и штрафов будет несколько.

    Нужно срочно привести в порядок свои сайты. Проверки уже идут

Сейчас протоколы о нарушениях может выписывать только прокуратура. Штраф не зависит от вида нарушения и составляет для ИП или директора максимум 1000 рублей, а для юрлица — 10 тысяч рублей. Процедура занимает много времени, штрафы маленькие, поэтому проверяют редко и не всех.

С 1 июля выписывать протоколы будет рoскомнадзор — дело пойдет быстрее.
Как узнать, являюсь ли я оператором персональных данных?

Персональные данные — это любые данные о человеке, по которым его можно идентифицировать. В законе нет перечня таких данных, поэтому приходится догадываться самим. Например, по имени или логину нельзя понять, что это за человек, а по имени и телефону или имени и электронной почте — можно.

Основные понятия в законе о персональных данных

Скорее всего, вы являетесь оператором персональных данных, если каким-то образом получаете от любых людей такую информацию в любом сочетании:

    фамилию,
    имя,
    отчество,
    какой-то физический адрес,
    электронную почту,
    телефон,
    дату или место рождения,
    фотографию,
    ссылку на персональный сайт или соцсети,
    профессию,
    образование,
    уровень доходов,
    семейное положение.

Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету, — это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения — это тоже обработка персональных данных.
А если я записываю телефон друга или электронную почту девушки на сайте знакомств, мне нужно соблюдать этот закон?

Нет, не нужно. На данные для личных и семейных нужд закон не распространяется. Но если передать телефон друга коллекторам или опубликовать объявление с почтой девушки на форуме женоненавистников — это уже нарушение.

Что регулирует закон и когда он не действует
Как правильно работать с персональными данными, чтобы не нарушить закон?

Как минимум нужно:

    получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных;
    публиковать в открытом доступе информацию обо всём, что касается персональных данных клиентов и посетителей;
    запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте;
    использовать данные только для тех целей, которые указаны в документах и о которых человека предупредили;
    сообщать по запросу человека, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали;
    удалять по первому требованию данные, которые используются для рассылки информации о скидках и акциях;
    хранить базы данных в надежном месте, защищать их от взлома и утечки;
    научить сотрудников работать с персональными данными;
    зарегистрироваться в рoскомнадзоре.

Условия обработки персональных данных
Что? Я должен еще где-то зарегистрироваться?

Да, по закону операторы персональных данных должны уведомить рoскомнадзор. Причем сделать это нужно до начала обработки данных или как можно скорее. рoскомнадзор внесет информацию об операторе в общий реестр и будет выдавать по запросу.

Реестр операторов персональных данных

Уведомление можно не подавать, если:

    обрабатываются только данные сотрудников;
    персональные данные получены только для исполнения конкретного договора с конкретным человеком и больше никак не будут использоваться и тем более — распространяться;
    человек сам опубликовал эти данные в общем доступе;
    у вас есть только ФИО клиента и больше ничего.

Уведомление на сайте рoскомнадзора
У меня есть сайт, и я получаю персональные данные. Что мне делать?

Если вы до сих пор ничего не сделали, то вы уже нарушаете закон и вас уже сейчас могут оштрафовать. Даже если ваш сайт обслуживает веб-студия или удаленный айтишник, штраф всё равно выпишут на ту компанию или ИП, которые указаны на сайте.





Подготовьте публичные документы и разместите их на сайте так, чтобы они были доступны на всех страницах. Это может быть пользовательское соглашение, newbielink:https://www.lamoda.ru/about/oferta/?from=footer#Konfidencial%27nost%27%20i%C2%A0zashhita%20informacii [nonactive], правила продажи, newbielink:https://www.chitai-gorod.ru/about/rules.php [nonactive], официальное уведомление, newbielink:http://www.mvideo.ru/legalcontent [nonactive], политика конфиденциальности, newbielink:https://www.re-store.ru/oferta/politika/ [nonactive], «Адидаса» или «Озона». Можно прописать условия обработки персональных данных в обычном договоре или оферте, newbielink:http://www.sberbank.ru/ru/inform [nonactive].





Не используйте чужие документы. Их можно взять для ориентира, но список данных и цели использования нужно прописывать свои. То, что нужно банку для оформления кредита или интернет-магазину для доставки товара, не понадобится для электронной рассылки или доски объявлений. Запрашивать ненужные данные — нарушение закона и повод для штрафа.

Реализуйте решение, которое позволит четко установить, что человек согласился на обработку персональных данных. Это может быть галочка в форме регистрации или предупреждение при оформлении заказа. Для надежности заверьте веб-страницы у нотариуса.

Подготовьте внутренние документы о хранении персональных данных и ответственности сотрудников, которые с ними работают. Приказы, регламенты и должностные инструкции не нужно выкладывать в общий доступ.

Если нужно, отправьте уведомление в рoскомнадзор. Если уверены, что уведомление отправлять не нужно, оформите документы так, чтобы это было понятно при проверке. Например, пропишите в политике, что используете персональные данные только для исполнения конкретного договора. Или укажите, что создаете ресурс, на котором данные размещаются в общем доступе по желанию пользователя.

Если не знаете, нужно ли вам отправлять уведомление, лучше отправьте.

Требования ФСТЭК к безопасности данных

Постановление правительства о защите данных

Это правда, что хранить персональные данные можно только на российских серверах? Если у меня хостинг в Европе, я нарушаю закон?

В законе много непонятного по этому поводу. С одной стороны, собирать, обрабатывать и хранить базы данных нужно на российских серверах. Но при этом есть отдельная статья про трансграничную передачу данных. На сайте Минкомсвязи опубликованы разъяснения по этому поводу, но в них тоже много противоречий.

О базах данных в РФ

О трансграничной передаче данных

Пояснения Минкомсвязи

Сами делайте выводы, где хранить данные. Если не знаете, что делать, отправьте запрос в рoскомнадзор или Минкомсвязи. Еще можно обратиться к своему хостеру: чаще всего у таких компаний есть готовые решения.

Спросить у Минкомсвязи

Спросить в рoскомнадзоре

Да успокойтесь вы все! Никого не будут штрафовать из-за каких-то форм на сайте и ненужных бумаг.

В Тамбовской области прокуратура оштрафовала юридическую компанию за заполнение формы обратной связи без согласия пользователя на обработку персональных данных. Суды поддержали.

Директора управляющей компании оштрафовали за то, что он передал юристам данные должников, чтобы составить исковые заявления. Согласие на обработку персональных данных у жильцов он не получил. Конституционный суд ему не помог.

В Астрaхани прокуроры штрафуют владельцев сайтов за формы обратной связи по алфавиту.


newbielink:http://sudact.ru/regular/doc/TRz3NsNQuVWy/ [nonactive]
Определение КС № 100-О от 28.01.16 по делу директора УК newbielink:http://astravolga.ru/v-astraxani-nachaki-shtrafovat-organizacii-u-kotorih-est-sobstvenniy-sait/ [nonactive]


Кроме штрафов в пользу государства за нарушение правил обработки персональных данных могут взыскать компенсацию морального вреда и даже посадить в тюрьму.
  •  


budavnik

А вот интересно каких это доменов то касается???
Только *.ru, *.рф, *.рус или и su и т.д.???
И к примеру вот такая форма http://minskportal.ru/registration - это уже нарушение?
У кого вообще как дела с этим, кто как решал???
А то у знакомых много всяких Г-сайтиков на ru - и что теперь с ними делать - писать на всех политику конфиденциальности что ли???
http://budavnik.by Строить и жить помогаем! // А кушать хочется всегда! :) http://prodportal.info // Не упоминай имя Господа всуе! http://turki.by
  •  


Klimentiy

Простая форма комментирования в блоге является ли нарушением закона о персональных данных ? Комментатор указывает имя мыло и сайт.
  •  

Royalpartner

Политика конфиденциальности на сайте сможет обезопасить от такого?
  •  

kosmon

Тааак. Есть у нас тут юристы? А если сайт не принадлежит не ИП и не организации? Какие тогда возможны санкции и штрафы?
Аренда VIP авто, микроавтобусов Мерседес в СПб.  8) http://dalex-vip.ru
  •  


akeelow

Цитата: Klimentiy от 06-07-2017, 22:17:46
Простая форма комментирования в блоге является ли нарушением закона о персональных данных ? Комментатор указывает имя мыло и сайт.
Если пользователь укажет настоящее имя то да. Проще всего сделать всплывающее окошко с предупреждением, как делают европейские сайты предупреждая о куках
★★★★★ Магазин фриланс-услуг «Всё за 500» выполняет: Разработка | Дизайн | Продвижение | Тексты | SEO | Аудиты. Выбери или создай свою услугу.
  •  

lulaka8

Цитата: budavnik от 29-06-2017, 18:13:00
А вот интересно каких это доменов то касается???
Только *.ru, *.рф, *.рус или и su и т.д.???
И к примеру вот такая форма http://minskportal.ru/registration - это уже нарушение?
У кого вообще как дела с этим, кто как решал???
А то у знакомых много всяких Г-сайтиков на ru - и что теперь с ними делать - писать на всех политику конфиденциальности что ли???

Часто вижу в подобных темах и на разных форумах, как владельцы сайтов задают одни и те же вопросы: - а если у меня то, а если у меня это??

Универсальный ответ для всех - есть сайт?

Ставьте политику конфиденциальности, независимо от того какой у вас сайт и что там есть. Где взять политику? С любого похожего на ваш сайт (по тематике) и переделайте под себя!

Суть не в том, чтобы "содрать" с вас денег!

Суть в том, что это общеевропейская практика, и тем самым вы предупреждаете пользователя сайта о том, что его персональные данные могут быть как-то использованы, вот и всё!
Это делается для того, чтобы этот самый посетитель не потащил вас потом в суд, так как вы, ЯКОБЫ не предупредили его о использовании его ПД. Это для того чтобы обезопасить владельцев сайтов от претензий пользователей!

Почему такие конские штрафы?

У нас если человека не припугнёшь рублём он и не пошевелится! Вспомните пример за езду в пьяном виде? Раньше как пятница, так в моем населённом пункте все гоняли пьяные после работы, и пили прямо в авто.

Как ещё заставить русского человека предпринять какие то действия? Большим штрафом!

ВЫВОД - неважно какой у вас сайт ГС или СДЛ и не важно какой он направленности и тематики, и неважно что у вас на сайте есть: форма комментариев, обратной связи, регистрации и т.п. - опубликуйте у себя на сайте страницу с политикой и вставьте ссылку в подвал! Можно добавить ещё Пользовательское соглашение и Отказ от ответственности (смотря по ситуации). У кого нет на сайте всех этих форм - поставьте плагин Cookies Notice dFactory (настраивается легко) и у посетителя снизу будет выезжать форма предупреждающая его о том, что сайт использует куки. Он нажимает кнопку "ОК" и смотрит сайт дальше.
  •  

Elena73171

А я убрала галочку в настройках Вордпресс об обязательном вводе имени и емейл в комментариях, я никак не использую эти данные. У меня нет формы подписки, сайт информационный. И как в этом случае, если не обязательно оставлять свои данные?
:angel:
  •  


lulaka8

#8
Цитата: Elena73171 от 20-07-2017, 08:14:22
А я убрала галочку в настройках Вордпресс об обязательном вводе имени и емейл в комментариях, я никак не использую эти данные. У меня нет формы подписки, сайт информационный. И как в этом случае, если не обязательно оставлять свои данные?

Вас могут оштрафовать только за то, что нет страницы с политикой конфиденциальности! Посетители всё равно смогут оставлять свои ПД, хоть обязательно, хоть не обязательно! Лучше вообще полностью отключить комментарии на сайте/убрать форму комментирования (есть специальный плагин). Вы используете кукис!

Добавлено: 20-07-2017, 08:22:52


Цитата: Elena73171 от 20-07-2017, 08:14:22
... я никак не использую эти данные.
Как вы докажете в суде, что вы не используете эти данные? Вот и пропишите это в политике конфиденциальности!

Добавлено: 20-07-2017, 08:26:23


Цитата: Nikamrita от 20-07-2017, 07:24:37
Во всех программах, что надо скачать стоит кнопка-я соглашаюсь...
Я. поставил кнопку и ставят клиенты галочку: Я соглашаюсь на обработку персональных данных :

https://amrita.net.ua/
в таком случае нарушений нет?

Виктор
и должна быть ссылка на страницу, где подробно расписано об этой самой обработке ПД...
  •  


alexburn

Оставил в комментах только имя, почта и сайт по сути не так важны. Не оставил шанса доеб...ся :)