Одна из сильных сторон любой коммерческой организации — наличие базы данных действительных и потенциальных клиентов. Но персональные данные из базы могут быть использованы не по назначению или недостаточно защищены от злоумышленников. В этом случае людей начинают «бомбить» ненужными звонками и письмами. С другой стороны, клиенты могут быть действительно заинтересованы в получении информации от компании, поэтому и доверяют ей сведения о себе. Кроме того, им часто приходится указывать свои персональные данные при заключении договоров или регистрации на сайтах.
Чтобы разрешить эту дилемму был утвержден Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ). Согласно этому документу персональные данные принадлежат только их владельцу и могут использоваться только с его разрешения или на других законных основаниях. Компания, принявшая персональные данные, обязана обеспечить их безопасность.
С 1 июля 2017 года штраф для юридических лиц за одно нарушение Закона № 152-ФЗ может достигать
75 000 рублей, а общая сумма штрафа — составить 290 000 рублей. Нельзя исключить вероятность того, что какие-то нарушения будут вам приписаны по ошибке. Но вы не сможете этого заметить или доказать, если не будете точно знать, как на вашем сайте реализована политика конфиденциальности, в чем ее сильные и слабые стороны.
Какие обязанности возложены на владельцев сайтов согласно 152-ФЗ
Согласно требованиям Закона № 152-ФЗ, Роскомнадзор должен быть уведомлен письменно или через форму на его сайте о том, что ваша компания — оператор персональных данных. Требуется сообщить наименование и адрес оператора, ФИО ответственного лица, виды персональных данных, с какой целью они собираются и обрабатываются. За непредставление этой информации или при несвоевременном уведомлении Роскомнадзора об изменениях в ней может быть наложен штраф 3000–5000 рублей. Сумма небольшая, но быть взятым на заметку никому не хочется.
Кроме того, хостинг сайта должен быть расположен на территории России или стран-участниц Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.
На сайте должна быть опубликована в общем доступе политика компании в отношении обработки персональных данных.
Какие сайты подпадают под действие закона о персональных данных
Практически любой современный коммерческий сайт собирает персональные данные. Сайтов-визиток без обратной связи уже никто не делает. Вы под прицелом Роскомнадзора, если на вашем интрнет-портале есть следующий функционал:
- регистрация и личные кабинеты;
- формы заказов и комментариев, подписки по e-mail;
- сбор данных посетителей (ip-адрес, поисковые запросы, идентификатор пользователя).
Даже если вы просто подключили свой сайт к статистическим сервисам, поздравляем: вы — оператор персональных данных! Если компания не является резидентом РФ, но собирает персональные данные российских граждан, она тоже попадает под действие Закона № 152-ФЗ. Правда, в этом случае ваш сайт, скорее всего, просто заблокируют, как это произошло с LinkedIn.
Какие штрафы и за что могут быть наложены
Штрафы назначаются согласно Кодексу Российской Федерации об административных правонарушениях (см. табл. 1). При первом единичном нарушении может быть вынесено предупреждение, но всерьез на это рассчитывать не стоит.
Таблица 1. Штрафы за нарушения положений Федерального закона от 27 июля 2006 года
№152-ФЗ «О персональных данных»
Нарушение |
Сумма штрафа для юридического лица (рублей) |
Положение |
Вы собираете какой-то вид персональных данных, которые в данном конкретном случае не нужны, или используете их не по целевому назначению. Например, проводите опрос по качеству товара и запрашиваете паспортные данные. Или делаете смс-рассылку по телефонным номерам, собранным для подтверждения заказов. |
30 000–50 000 |
Статья 13.11 |
Сбор и обработка персональных данных без согласия посетителя сайта в письменной или электронной форме. То есть, если он не поставил галочку под фразой на сайте «Я даю согласие на использование моих персональных данных для…», с его данными работать нельзя. |
15 000–75 000 |
Статья 13.11 |
Не обеспечена безопасность хранения персональных данных. Если базу «увели», вас оштрафуют. |
25 000–50 000 |
Статья 13.11 |
Отсутствие опубликованной политики конфиденциальности. |
15 000–30 000 |
Статья 13.11 |
Игнорирование просьбы владельца персональных данных убрать или изменить их в базе. |
25 000–45 000 |
Статья 13.11 |
Клиент поинтересовался деталями обработки данных и их защиты, а вы не стали предоставлять ему эту информацию. |
20 000–40 000 |
Статья 13.11 |
Что нужно сделать, чтобы не стать жертвой штрафа
- Собирайте только необходимую информацию и используйте ее только по целевому назначению.
- Политика конфиденциальности должна быть опубликована и содержать цели сбора персональных данных, а также условия их передачи третьим лицам. Ссылка на нее должна быть доступна с каждой страницы сайта.
- Посетитель сайта должен в явной форме дать свое согласие на сбор и обработку его данных.
- Не допускайте утечки информации и несанкционированной ее передачи третьим лицам.
- Не отказывайте пользователям в удалении или изменении их данных.
И разумеется, не следует уклоняться от контактов с клиентами и тем более с Роскомнадзором по вопросам сбора и обработки персональных данных. Всегда лучше идти на диалог, чтобы быстро исправить имеющиеся ошибки и недочеты. В этом случае есть шанс ограничиться предупреждением, сохранить деньги и репутацию.
6 июня 2022
Запуск бета-версии поисковой системы по предприятиям 3Клик.руСостоялся запуск поисковой системы по предприятиям, товарам и услугам 3Клик.ру. Проект является...
15 декабря 2021
Новые шаблоны DynaAds с нативными рекламными форматамиВ октябре этого года мы начали тестирование новых дизайн-шаблонов статей проекта...
6 августа 2021
Платформа для командной работы ComCoordСегодня запущена первая версия платформы для командной работы ComCoord. Теперь корпоративные...
4 июня 2021
Услуга «Аутсорсинг продаж» от BeneQuireПредставляем вашему вниманию услугу Аутсорсинг продаж. Теперь бизнес может делегировать часть...
20 мая 2021
Новая услуга в BeneQuireТеперь BeneQuire помогает ИТ-бизнесу, оказывая услуги юридического сопровождения. Мы берем на себя...