Как привести сайт в соответствие требованиям 152-ФЗ

Чтобы разрешить эту дилемму был утвержден Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ). Согласно этому документу персональные данные принадлежат только их владельцу и могут использоваться только с его разрешения или на других законных основаниях. Компания, принявшая персональные данные, обязана обеспечить их безопасность.

С 1 июля 2017 года штраф для юридических лиц за одно нарушение Закона № 152-ФЗ может достигать
75 000 рублей, а общая сумма штрафа — составить 290 000 рублей. Нельзя исключить вероятность того, что какие-то нарушения будут вам приписаны по ошибке. Но вы не сможете этого заметить или доказать, если не будете точно знать, как на вашем сайте реализована политика конфиденциальности, в чем ее сильные и слабые стороны.

Какие обязанности возложены на владельцев сайтов согласно 152-ФЗ

Согласно требованиям Закона № 152-ФЗ, Роскомнадзор должен быть уведомлен письменно или через форму на его сайте о том, что ваша компания — оператор персональных данных. Требуется сообщить наименование и адрес оператора, ФИО ответственного лица, виды персональных данных, с какой целью они собираются и обрабатываются. За непредставление этой информации или при несвоевременном уведомлении Роскомнадзора об изменениях в ней может быть наложен штраф 3000–5000 рублей. Сумма небольшая, но быть взятым на заметку никому не хочется.

Кроме того, хостинг сайта должен быть расположен на территории России или стран-участниц Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

На сайте должна быть опубликована в общем доступе политика компании в отношении обработки персональных данных.

Какие сайты подпадают под действие закона о персональных данных

Практически любой современный коммерческий сайт собирает персональные данные. Сайтов-визиток без обратной связи уже никто не делает. Вы под прицелом Роскомнадзора, если на вашем интрнет-портале есть следующий функционал:

• регистрация и личные кабинеты;
• формы заказов и комментариев, подписки по e-mail;
• сбор данных посетителей (ip-адрес, поисковые запросы, идентификатор пользователя).

Даже если вы просто подключили свой сайт к статистическим сервисам, поздравляем: вы — оператор персональных данных! Если компания не является резидентом РФ, но собирает персональные данные российских граждан, она тоже попадает под действие Закона № 152-ФЗ. Правда, в этом случае ваш сайт, скорее всего, просто заблокируют, как это произошло с LinkedIn.

Какие штрафы и за что могут быть наложены

Штрафы назначаются согласно Кодексу Российской Федерации об административных правонарушениях (см. табл. 1). При первом единичном нарушении может быть вынесено предупреждение, но всерьез на это рассчитывать не стоит.

Таблица 1. Штрафы за нарушения положений Федерального закона от 27 июля 2006 года
№152-ФЗ «О персональных данных»

Что нужно сделать, чтобы не стать жертвой штрафа

• Собирайте только необходимую информацию и используйте ее только по целевому назначению.
• Политика конфиденциальности должна быть опубликована и содержать цели сбора персональных данных, а также условия их передачи третьим лицам. Ссылка на нее должна быть доступна с каждой страницы сайта.
• Посетитель сайта должен в явной форме дать свое согласие на сбор и обработку его данных.
• Не допускайте утечки информации и несанкционированной ее передачи третьим лицам.
• Не отказывайте пользователям в удалении или изменении их данных.

И разумеется, не следует уклоняться от контактов с клиентами и тем более с Роскомнадзором по вопросам сбора и обработки персональных данных. Всегда лучше идти на диалог, чтобы быстро исправить имеющиеся ошибки и недочеты. В этом случае есть шанс ограничиться предупреждением, сохранить деньги и репутацию.