1 июля 2017 года вступят в силу поправки к 2 Федеральным законам:

  1. ФЗ-54 «О применении контрольно-кассовой техники» – актуален для тех, кто принимает платежи на сайте.
  2. ФЗ-152 «О защите персональных данных» – актуален, для тех, у кого на сайте есть различные формы обратной связи: форма регистрации, подписки на рассылку, отправки резюме.

Ужесточение закона №152-фз «О защите персональных данных» коснется владельцев сайтов, а также сторонние организации, которые ведут работы с сайтами.

Так как теперь владельцы веб-ресурсов, на которых в ходе ведения бизнеса собирается персональная информация, считаются операторами персональных данных и обязаны соблюдать законодательство.

Под оператором персональных данных понимается любое физлицо, ИП или организация, занимающаяся сбором и анализом персональных данных:

  • E-mail,
  • Телефонов,
  • Ф.И.О.,
  • Адресов проживания,
  • Дат рождений,
  • Фотографий,
  • Номеров банковских карт,
  • Ссылок на персональные сайты или профили в соцсетях.

То есть все то, что сегодня запрашивается у пользователей на большинстве сайтов для регистрации, авторизации, подписки на рассылку и других действий.

 

Чем грозит неповиновение?

С новыми поправками в законы появятся и штрафы за несоблюдение требований. Размер штрафов во много раз превысит те, что были раньше. Например, теперь за отсутствие политики конфиденциальности вместо действующего наказания для юрлиц в 10 000 руб. компаниям придется заплатить 30 000 рублей.

А общая сумма штрафов, которая зависит от количества выявленных нарушений, может составить до 300 000 рублей. Подробная информация раскрывается в поправках к закону.

План работ перед проверкой Роскомнадзора

Если вы планируете самостоятельно провести все необходимые работы, чтобы удовлетворить требования Роскомнадзора, то вам предстоит выполнить следующие действия:

  1. Для начала необходимо проверить, находится ли хостинг и база данных с персональными данными в РФ.
  2. Разместить под всеми формами на сайте короткий текст, информирующий пользователя о том, что нажав на кнопку, пользователь автоматически соглашается на обработку своих введенных данных.
  3. Разработать текст соглашения об обработке персональных данных.
  4. Разместить текст на отдельную страницу сайта и поставить ссылку на эту страницу с текста (см. пункт 2), который размещен под всеми формами.
  5. Также необходимо разместить ссылку на документ соглашения в футер веб-ресурса.
  6. Настроить новым посетителям сайта показ предупреждения о сборе их метаданных (cookie, данные об IP-адресе и местоположении) для адекватного функционирования сайта. И при нежелании пользователя делиться этими данными, ему необходимо покинуть сайт.

Если вашим сайтом занимается веб-студия или вы хотите заказать эту услугу в агентстве комплексного интернет-маркетинга (например, у нас), то вами должны быть выполнены следующие действия:

  1. Подача уведомления для внесения организации в реестр операторов персональных данных Роскомнадзора — это можно сделать на сайте Роскомнадзора. При необходимости это также можно делегировать нам, предоставив требующиеся данные.
  2. Заключение между агентством/веб-студией и вашей организацией допсоглашения об обеспечении безопасности персональных данных.

Это общие требования, касающиеся и физлиц, и юрлиц.

 

Отдельные требования для юрлиц

Также существуют отдельные требования для юрлиц, которые обязывают осуществлять:

  1. Назначение ответственных лиц и разработку внутренних документов, регламентирующих процессы обработки и защиты персональных данных.
  2. Взаимодействие с физлицами, госорганами и контрагентами:
    • Заключение с сотрудниками всех необходимых обязательств о неразглашении данных и согласие на их обработку.
    • Получение согласия на обработку персональных данных от других физлиц или добавление пунктов об этом в заключаемые договоры.
    • Заключение поручений на обработку персональных данных, при передаче данных физлиц третьим лицам для обработки (рекламным агентствам).
  3. Организацию оперативных ответов физлицам на запросы по поводу обработки их персональных данных.
  4. Защиту персональных способами. Полный текст можно увидеть в приказе ФСТЭК №&21.

Как проверяются исполнение требований из поправок?

До этого проверкой занималась Прокуратура, теперь право выносить административные дела по таким нарушениям получил Роскомнадзор.

Так, на сегодняшний день основной проверяющей инстанцией является Роскомнадзор, который в год проводит тысячи проверок. Обычно проверенным организациям служба присылает письма с выявленными нарушениями.

По какому принципу выбираются организации для проверки сайтов, информации нет: сформированы ли определенные списки компаний, которые требуется проверить, или они выбираются рандомно. Было предположение, что компании проверяют в алфавитном порядке. Так, в начале 2017 года, согласно статье из астраханской газеты «Волга», ряд астраханских компаний, название которых начиналось с буквы «а», получили штрафы за отсутствие соглашения об обработке персональных данных на своих сайтах. В других регионах такая информация не подтвердилась.

Поэтому, лучше быть готовым к проверке заранее. Кроме вышеописанных требований желательно, чтобы всегда был в наличии готовый список документов, который может запросить Роскомнадзор в ходе проверки. Также существует еще один перечень документов  (см. ниже), который предоставляется проверяемым организациям вместе с приказом до начала проверки.

В зависимости от выявленных нарушений в ходе проверки Роскомнадзор вправе наложить штраф, заблокировать сайт и даже приостановить деятельность компании.

Кроме Роскомнадзора исполнение требований также могут проверять ФСТЭК и ФСБ России. Поэтому не ждите, пока к вам нагрянут проверяющие инстанции, подготовьте свои сайты к 1 июля заранее.

Если потребуется помощь, наши менеджеры проконсультируют вас по телефону: +7 (812) 425-30-79.

 

Перечень документов