Деловое сообщество рассказывает, как избежать штрафа на 75 тысяч рублей от Роскомнадзора
Что случилось?
С 1 июля вступили в силу поправки в статью 13.11 КоАП, которые ужесточили ответственность за нарушение закона о персональных данных. Этот документ касается всех, кто собирает, обрабатывает и хранит любые персональные данные.
Это серьезно?
Очень. Например, отсутствие информации о политике конфиденциальности на сайте обойдется в 30 тысяч рублей. За обработку персональных данных без согласия человека Роскомнадзор выпишет штраф на 75 тысяч рублей. Штрафы уже выросли в десятки раз и более того – при нескольких нарушениях они суммируются.
А если у меня вообще нет сайта?
Это не повод расслабляться. У вас же есть сотрудники? В таком случае, как минимум, ваша бухгалтерия и отдел кадров работают с их персональными данными. И делать это нужно правильно, в соответствии с новым законом.
Что такое эти «персональные данные»?
Это любые данные о человеке, по которым его можно идентифицировать. К ним точно относятся: ФИО, физический адрес, электронная почта, номер телефона, дата рождения, фотография, ссылки на страницы в социальных сетей, сведения о профессии и образовании и т.д.
Другими словами – если у вас на сайте есть личный кабинет клиента или форма обратной связи (в том числе подписки и регистрации), значит вы являетесь оператором персональных данных. Действие закона распространяется даже на невинную кнопку «заказать обратный звонок».
Получается, я оператор персональных данных. Что делать?
Не нарушать закон и соблюдать ряд правил:
- Вы обязаны получать однозначное согласие у каждого посетителя на обработку персональных данных, а также размещать в открытом доступе все документы организации, которые касаются персональных данных.
- Не запрашивать и не хранить лишнего. То, что нужно банку для оформления кредита или интернет-магазину для доставки товара, не понадобится для электронной рассылки или обратного звонка с сайта. Запрашивать ненужные данные — нарушение закона и повод для штрафа.
- По первому требованию сообщать человеку, какие персональные данные о нём у вас есть, для чего вы их храните и кому успели передать. Также по первому требованию – удалять эти данные.
- Обеспечивать высшую степень защиты базы данных в надёжном месте. Если персональные данные «утекут» — вы рискуете получить коллективный иск на очень большую сумму.
- Зарегистрироваться в Роскомнадзоре. Регулятор создал реестр всех организаций, которые обрабатывают и хранят персональные данные граждан.
Закон можно обойти?
Нельзя. Но в некоторых случаях организация не обязана регистрироваться в Роскомнадзоре. Например, если вы обрабатываете только персональные данные сотрудников. Или если эти данные получены для исполнения конкретного разового договора, а далее будут уничтожены. Однако в любом случае и эти данные нужно обрабатывать в соответствии с новым законом.
Кого-то уже оштрафовали?
В Тамбовской области прокуратура оштрафовала юридическую компанию за заполнение формы обратной связи без согласия пользователя на обработку персональных данных. В Астрахани владельцев сайтов вообще штрафуют по алфавиту.
Кто может помочь?
Закон о персональных данных — это нормальная мировая практика. Чтобы его соблюдать, не нужно тратить много денег. И бояться штрафов тоже не нужно. Если один раз всё правильно оформить и аккуратно относиться к информации о других людях, вам ничего не грозит. Для этого достаточно обратиться к профессиональным юристам, стоимость их работ вас не испугает. Она ниже цены iPhone 7, который вы планируете купить жене на Новый год ;)