Дамоклов меч ФЗ-152
Согласно древнему преданию, правитель города Сиракузы Дионисий Старший однажды предложил своему фавориту Дамоклу на один день занять свое место. Среди шумного пира Дамокл, сидящий на месте правителя, поднял голову вверх и увидел над собой меч без ножен, который висел на одном только конском волосе. Так Дионисий напоминал самому себе о бренности бытия.
И хотя важные поправки в федеральный закон №152 «О персональных данных» были внесены еще в 2017 году — многие владельцы сайтов весьма опрометчиво не придают этому событию большого значения. Постараемся объяснить ситуацию.
С 1 июля 2017 года была существенно ужесточена ответственность за нарушения «установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)».
Как владелец сайта вы автоматически подпадаете под действие закона, если на вашем ресурсе присутствуют:
-
форма обратной связи,
-
форма заказа звонка,
-
форма подписки на почтовую или sms рассылку,
-
форма регистрации в личном кабинете,
-
форма регистрации для возможности оставлять комментарии,
-
форма заказа товаров или услуг,
-
форма голосования.
Осуществлять проверки и возбуждать дела по факту нарушений поручено Роскомнадзору. Перечень того, что считается персональными данными опубликован на сайте уполномоченного органа в специальной « Форме уведомления»:
Отдельного внимания заслуживает формулировка «Другие категории персональных данных, не указанные в данном перечне». То есть Роскомнадзор оставляет широкое пространство для толкования этого термина.
За нарушения предусмотрены штрафы. С индивидуального предпринимателя могут взыскать до 10 000 руб., а с компании — до 75 000 руб. Причем эта сумма будет взыскиваться за каждое нарушение. То есть если на сайте 2 формы не соответствуют закону, то выпишут 2 штрафа. Заплатить 1 штраф за 2 нарушения нельзя.
В чем заключается наиболее распространенное нарушение? Сбор и/или публикация персональных данных без явного согласия самих пользователей. В случае интереса Роскомнадзора к вашему ресурсу вам придется доказать, что данные были получены законным способом и предоставлены добровольно.
Что необходимо сделать?
1. Подготовить документы, в которых описаны цели и условия обработки персональных данных, и разместить их таким образом, чтобы они были доступны с любой страницы сайта (например, в шапке или «подвале»).
2. Привести формы получения данных в соответствие с законом. Не следует запрашивать данные, в которых нет необходимости для совершения той или иной операции (для заказа товара не важна группа крови или рост). Необходимо добавить галочку «Я согласен на обработку персональных данных»:
3. Работайте только доверенными компаниями. Если вы отдали работу со своим проектом на аутсорс, то согласуйте сохранность данных со своими подрядчиками (лучше в форме договора), поскольку в случае утечки конфиденциальной информации отвечать будете все равно вы. Если у вас в штате свои специалисты — объясните ситуацию и, при необходимости, внесите корректировки в должностные инструкции.
4. Обеспечьте хранение персональных данных в базах данных, расположенных на территории России. В самом простом варианте — используйте хостинг российских провайдеров, а не размещайте свой сайт за рубежом.
5. Будьте готовы по первому требованию сообщить человеку об имеющихся у вас персональных данных и, при соответствующем запросе, удалить всю эту информацию.
Формат данной статьи не позволяет вдаваться во все тонкости и детали. Если вы обратили внимание на висящий над вами меч Фемиды, который раньше не замечали или не хотели видеть, — это уже половина дела. Осталось привести сайт в соответствие с 152-ФЗ. Если будет трудно это сделать самим — обращайтесь к профессионалам.
Мы приводим формы на сайтах в соответствие с 152-ФЗ.
Обращайтесь.
//Виктор Сушин специально для портала CiTRON-ONLINE.ru
