Nothing personal, it's just business

02.11.2018
Автор: Digital-агентство Цунами

1 июля 2017 года в силу вступили новые поправки в КоАП, которые повлияют на работу большинства сайтов, ведущих свою деятельность на территории РФ. Цель этих изменений – ужесточение политики государства в области защиты персональных данных. В этой статье мы разберемся, как из-за персональных данных не нажить себе персональных проблем. Пост так или иначе будет полезен всем, кто ведет бизнес в интернете.

Что такое персональные данные?

Буква закона №152-ФЗ гласит: «Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Формулировка предельно расплывчата, что указывает на то, что трактоваться она всегда будет субъективно и явно не в пользу владельцев сайтов. Под это определение с легкостью подпадают такие данные, как ФИО, номер телефона или адрес электронной почты. Все сайты, на которых есть личный кабинет, регистрационная анкета, форма обратной связи, опция «заказать звонок» и тому подобные вещи автоматически попадают в зону риска. Напомним также, что именно этот закон стал причиной блокировки на территории РФ ресурса LinkedIn. 

Что нового в законе?

Основных нововведений два. Первое – теперь протоколы по делам, связанным с персональными данными, возбуждает не прокуратура, а Роскомнадзор, который уже начал активно пользоваться своими новыми полномочиями. Второй момент - возросшие штрафы, которые теперь могут суммироваться в зависимости от количества нарушений. Линейка штрафов начинается от 10 тыс. руб. и заканчивается на отметке 300 тыс. руб. Сайт может попасть под внимание РКН как в ходе плановой проверки, так и из-за того, что на ресурс пожаловались. В прошлом году РКН провел более 2000 плановых проверок, а количество жалоб перевалило за 33000.

Все это выглядит особенно угрожающим, если учесть, что жалобы вполне могут строчить конкуренты или недоброжелатели. Помимо штрафов, сайт могут внести в реестр нарушителей, что повлечет за собой пристальное внимание контролирующего органа с последующими регулярными проверками документов о порядке обработки персональных данных. Что касается блокировки сайта, то она возможна только по решению суда как санкция за непредоставление (а также предоставление в недостаточном объеме или вне установленного срока в 30 дней) данных в РКН. 

Как уберечь себя?

Первое, о чем стоит подумать – расположение сервера Вашего сайта. По закону все персональные данные жителей РФ должны храниться в пределах нашей страны. Местонахождение сервера всегда можно уточнить у хостинг-провайдера. Бизнес-сообщество уже ищет пути обхода этой крайне неудобной препоны. В частности, предлагается вариант, когда на российском сервере создается база данных пользователей, а сайт, расположенный за границей, обращается к ней по необходимости. 

На сайте необходимо разместить в открытом доступе документы, регламентирующие работу с персональными данными. Возможные форматы - уведомление, пользовательское соглашение, правила продажи или политика в отношении обработки персональных данных. Важно понимать, что для каждого отдельного вида интернет-бизнеса такой документ будет особым, а потому нельзя вставлять на сайт плоды чужого креатива без предварительной редакции. Благо, на данный момент в сети полно инструкций по составлению подобных документов (пример такого шаблона). Оригинально из ситуации вышла администрация соцсети ВКонтакте, возможно это послужит кому-то примером (Правила пользования Сайтом ВКонтакте, пункт 5.8).

Но не стоит забывать: Что дозволено Юпитеру, не дозволено быку. 

Ко всем формам обратной связи на сайте необходимо прикрепить кнопку или галочку, снабженную определенным текстом, нажимая на которую пользователь дает согласие на обработку персональных данных. Это условие следует сделать обязательным при заполнении форм. Еще один нюанс, о котором часто забывают – файлы cookies Роскомнадзор также признает персональными. Поэтому стоит запрашивать разрешение посетителя на сбор информации подобным способом. 

И, наконец, последний пункт – подача уведомления (допускается подача электронного документа с соответствующей подписью) в РКН о том, что Вы являетесь оператором персональных данных. Начинать стоит с заполнения формы на сайте РКН  по ссылке . Такое уведомление можно не подавать в нескольких случаях, они подробно разобраны в ч.2 ст. 22 №152-ФЗ. 

Итак, в статье мы разобрали основные моменты, о которых нужно позаботиться, чтобы не попасть под санкции обновленного закона о защите персональных данных. Напоследок стоит сказать о том, что в интернете появилось несколько сервисов различной степени компетентности, предоставляющий комплексное решение по данной проблеме

Предупрежден – значит вооружен. Дальше дело за Вами.