Внимание всем владельцам сайтов! С 1 июля штраф за нарушение закона о персональных данных увеличен до 75 тыс. рублей. Как обезопасить себя от нарушений при обработке персональных данных? Как выполнить все требования законодательства?

Штрафы были  увеличены  и стали  зависеть  от  вида  нарушений. Если  вы  не разместили  на сайте политику  конфиденциальности, то физ. лица (в т. ч.  ИП могут получить быть  привлечены  к  ответственности  в  виде  штрафа   в   размере 10 000 руб., а организации  до  30 000 руб. Если вы обрабатываете  личные данные  без разрешения клиента, то  штраф  на  фирму составит до 75 000 руб. Для  физлица, директора организации или ИП  штраф  составит до 20 000 руб.

До  01.07.17  протоколы о  нарушениях при  обработке  персональных  данных оформляла  Прокуратура. Да  и  штрафы  были не  очень  большие: 1 000 руб. —  для  физического  лица, для  организации – 10 000 руб. Процесс проверки и наложения  штрафа  был  не  быстрый  и  хлопотный, и, учитывая  не  большие  суммы  штрафов, проверки проходили достаточно  редко.

Сейчас  проверки  будут  в  гораздо  больших  объемах  и   процесс оформления  сократиться  т.к. контролем за   нарушением законодательства  о  персональных  данных  теперь  занимается  Управление Роскомнадзора.

Владельцам  сайта  стоит  беспокоиться,  если  они  являются  операторами  персональных данных.  Как  определить  —  являетесь  ли  вы  оператором персональных данных?

Персональные  данные — это  любые  данные, определяющие человека. В  законе  нет их  точного  исчерпывающего  перечня. Но  сложившаяся  практика   привлечения  к  ответственности,  судебная  практика говорит следующее. Например  просто, e-mail не  является персональными  данными,  но  в  совокупности с  ФИО,  это  уже Персональные  данные(ПД),  имя и логин не дают  возможность определить человека, а имя и телефон – дают.

Если вы на  своем  сайте  получаете от пользователя   информацию, которая перечислена  ниже,  то  вы  вероятнее всего  являетесь оператором личных данных:

  • Фамилия, имя или отчество
  • Адрес проживания или виртуальная почта
  • Контактный номер телефона, e-mail.
  • Дата, место рождения
  • Фото
  • Ссылка на сайт или социальные группы, сети
  • Образование
  • Профессиональная занятость
  • Семейный статус
  • Уровень дохода

Если  на  вашем   сайте  имеются  личные кабинеты, предоставлена возможность осуществить подписку, регистрацию, вы предлагаете заполнить анкетные данные или подать объявление, присутствуют различные формы для связи  в  которых  отражаются  каких — либо  из  вышеперечисленных данных – вы  оператор личных данных. Копка  для оформления звонка,  отправки  сообщения на  сайт также   является обработкой данных.

Указанные  требования  не  распространяются на данные, которые используются для  личных или семейных нужд,  разумеется   при условии, что вы не нарушаете права лица, которому принадлежит информация. Например,  вы  не отправите номер телефона друга,  его  имя  коллекторам или  какой то  рекламной  базе..

Как  же  обезопасить  себя  от  штрафа?

  • Брать согласие на обработку персональных данных у каждого, кто регистрируется или оставляет свои персональные данные. При этом согласие может быть дано в любой форме, позволяющей подтвердить факт его получения, если иное не установлено в законе №152-ФЗ “О персональных данных”.
  • Разместить на  сайте в общем доступе документ, определяющий политику компании(сайта) в отношении обработки персональных данных, а также сведения о реализуемых требованиях к защите персональных данных.
  • Немедленно предоставлять  проверяющим органам  любую информацию, касающуюся сбора информации  о  физическом  лице.
  • Получать и  обрабатывать  информацию  о  человеке необходимую только  для какой-то конкретной цели. К  примеру, если   пользователь  регистрируется  для подписки на почтовую рассылку, то не требуйте  с  него   паспортные  данные или адрес места жительства.
  • Используйте полученные персональные данные только  для целей, которые вы указали  в документах  регламентирующих  обработку  персональных  данных  на  вашем  сайте.
  • По запросу  пользователя  сообщайте  ему  информацию  о тех личных данных, которые вы  храните  и  обрабатываете, цель  обработки и кому передавались.
  • По требованию пользователя немедленно удаляйте  его  личные  данные, которые  вы используете для рассылки сообщений о скидках  и акциях.
  • Все базы  с  личными  данными  должны  храниться  в надежном месте, защищенном от взлома и утечки информации.
  • Обучать и инструктировать лиц   работающих с личными данными клиентов.

В  определенных  случаях  вы  должны зарегистрироваться в Управлении Роскомнадзора.

По действующему законодательству лица, обрабатывающие  персональными данными, обязаны  зарегистрироваться в Управлении Роскомнадзора. Желательно это сделать  до сбора персональных данных.

Уведомление  Роскомнадзора не  требуется в  следующих  случаях:

  • Вы обрабатываете только данные работников  вашей  организации.
  • Данные запрошены только для заключения конкретного договора с конкретным  лицом, и больше нигде  не  будут  использоваться  или куда то  передаваться.
  • Лицо самостоятельно представило вам свою личную информацию.
  • Кроме сведений о  Ф.И.О. у вас нет  другой  информации о  человеке.

 

   Ваши  действия  если  вы  владелец  сайта  и  понимаете  что являетесь оператором персональных  данных.

Если к  настоящему  моменту  вы никаких  из  вышеуказанных  мероприятий  не  осуществляли, то  вы уже нарушили закон, и можете быть подвергнуты штрафу.

  1. В первую очередь вам необходимо  выяснить, есть ли   уже  в реестре операторов персональных данных ваша организация. Для этого в поиске необходимо  заполнить ИНН компании. Если такого уведомления нет, то необходимо его подать.  Как  уже  говорилось, если такого уведомления не было  ранее   то  это уже повод для Роскомнадзором  наложить штраф на  вас  или  вашу компанию.

    В  уведомлении  предлагаемые  к  заполнению поля должны  соответствовать действительности. Практика привлечения операторов к ответственности  показывает,  что  очень  много предписаний выносится Роскомнадзором как  раз в связи с несоответствием содержания уведомления, и  реального  положения  дел  с  обработкой  персональных  данных  у  вас.  Например, в графе «Категории обрабатываемых персональных данных» вы  указали  «ФИО, паспортные данные, адрес проживания, номер телефона», а вы  кроме  этого  обрабатываете  еще  сведения о хобби  человека  или  его возрасте.
    Кроме   уведомления  на  сайте вы так же должны  отправить бумажное письмо в свое территориальное управление Роскомнадзора.

  1. Далее вам необходимо подготовить  и утвердить в своей организации   множество документов (это приказы, инструкции, положения, журналы и т.п.). Причем документы должны регламентировать как автоматизированную обработку так и «аналоговую» обработку  персональных  данных.
    Определенного перечня документов нет, есть только  перечень вопросов, которые должны быть  отражены  в  них.
    2.1.Необходимо назначить ответственного за организацию обработки персональных данных —  это лицо вы  должны  будете  указать в уведомлении оператора. Это лицо будет отвечать в  за организационные(«бумажные») вопросы. Необходимо назначить администратора по безопасности персональных данных. Он отвечает за техническое обеспечение процесса обработки. Оба ответственных обычно  назначаются одним приказом. Все формулировки необходимо  четко   согласовывать с действующими  нормами законодательства, так как при  проверке  часто придираются к этому.

2.2. Обязательное  требование: во всех помещениях, в которых обрабатываются ПД  должны быть указаны места хранения (сейф, шкаф, стеллаж) и ответственные за сохранность конфиденциальности ПД. Это  так же  делается приказом, в котором утверждается  место хранения — сейф, ответственным назначается конкретное  лицо.

2.3. Должны  быть утверждены комиссия по классификации и комиссия по уничтожению ПД.  Состав  комиссий: председатель комиссии и  не  менее  двух членов комиссии. В  состав  комиссий  могут  входить  одни  и те же  лица.
2.4. Необходимо утвердить лиц, допущенных к обработке персональных данных. Сотрудники, допущенные к обработке персональных данных обязаны подписать соглашение о неразглашении ПД.
2.5. Необходимо  четко  определить виды персональных данных, которые вы  обрабатываете. Для  этого  так же  издается  приказ. Отдельным приказом должен быть утвержден также перечень  конфиденциальных данных. Перечень конфиденциальных данных  вы  можете  взять  из Указа президента РФ № 188 от 6 марта 1997 г.- возьмите пункты, которые  относятся  к вашей организации.
2.6. Вы должны разработать и утвердить основной документ, регламентирующий защиту ПД. Такой документ называют Положение или Политика об обработке и защите персональных данных. В  нем  необходимо указать основные положения законодательства, цели  обработки ПД, права и обязанности оператора, права и обязанности субъекта ПДн.
2.7.Необходимо иметь журналы, которые Роскомнадзор  обязательно  будет  требовать при  проверке. Журналы показывают,  что регулярно проводите мероприятия по защите ПД. Это  такие  журнал: «Журнал проведения инструктажа по информационной безопасности», «Журнал учета мероприятий по контролю обеспечения защиты персональных данных», «Журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав,  «Журнал учета проверок юридических лиц контролирующими органами».

Ниже   расположен   перечень документов, которые мы обычно разрабатываем для  наших  клиентов  для выполнения  всех  требований  законодательства  о  защите  персональных  данных.

  1. перечень сведений конфиденциального характера;
  2. перечень персональных данных, подлежащих защите;
  3. инструкция администратора информационной безопасности;
  4. инструкция пользователей системы персональных данных;
  5. инструкция осуществления антивирусного контроля в информационной системе персональных данных;
  6. инструкция по организации парольной защиты персональных данных и перечне мероприятий по защите персональных данных;

7.приказ об утверждении мест хранения персональных данных;

  1. приказ о перечне лиц, допущенных к обработке персональных данных;
  2. приказ о назначении лиц, ответственных за организацию обработки персональных данных;

10.приказ о назначении комиссии по уничтожению персональных данных;

  1. приказ о вводе в действие системы персональных данных;
  2. журнал учета носителей информации для системы персональных данных;
  3. журнал учета мероприятий по контролю обеспечения защиты персональных данных;
  4. журнал периодической проверки и тестирования средств защиты информации;
  5. журнал учета обращений лиц — субъектов персональных данных о соблюдении их законных прав;
  6. журнал учета средств защиты информации;
  7. журнал проведения инструктажа по информационной безопасности;
  8. правила обработки персональных данных без использования средств автоматизации;
  9. порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации;
  10. положение о разграничении прав доступа к обрабатываемым персональным данным;
  11. форма акта классификации информационной системы персональных данных;
  12. форма акта уничтожения документов, содержащих персональные данные;
  13. соглашение о неразглашении персональных данных;
  14. положение об обработке и защите персональных данных;
  15. план мероприятий по обеспечению безопасности персональных данных;
  16. план внутренних проверок режима защиты персональных данных;

Ко всем вышеуказанным  документам всегда  должен быть  лист ознакомления с  подписями  лиц,  которых данный документ касается.

В должностных инструкциях всех лиц, допущенных к обработке ПД  необходимо  включить  фразу  «При работе с персональными данными руководствоваться Положением об обработке и защите персональных данных».

Кроме  внутренних документов  вашей компании, необходимо разработать публичный  документ.  Обычно  это так  называемая  «Политика в отношении обработки персональных данных». Данный  документ вы должны  разместить  на своем сайте.

Ниже  краткое  резюме  или   памятка по правилам  обработке  персональных  данных.

  1. Уведомление оператора или проверка наличия уведомления, проверка актуальности  сведений в  уведомлении.
  1. Роскомнадзор не будет проверять  ваши информационные системы персональных данных, это  делает Федеральная служба по техническому и экспортному контролю (ФСТЭК)  и ФСБ России (в случае использования средств шифрования), поэтому лучше уделить  больше  внимания именно  документальному обеспечению.
  2. Со всех лиц необходимо  собирать согласие на обработку ПД. Выше  мы  указывали,  что  иногда  такое  согласие не требуется, (например оператор и субъект  обработки  ПД –это стороны по  договору. НО, обработка специальных категорий ПД   и  передача ПД третьим лицам осуществляются ТОЛЬКО с согласия субъекта.  Поэтому  наличие  согласия на обработку ПД обезопасит   вас от  неприятных неожиданностей. Если  есть  возможность  брать  согласие —  обязательно  берите.
  1. При  проверке  покажите проверяющим, что вы  готовы все  оперативно  предоставить и исправить  в ходе самой проверки. Проверка , длится 10-20  дней. Если замечания  устраняются в  ходе  проверки то в  протоколе проверки это не  должно  отразиться.

 

 

 

2 комментария to Внимание всем владельцам сайтов! С 1 июля штраф за нарушение закона о персональных данных увеличен до 75 тыс. рублей. Как обезопасить себя от нарушений при обработке персональных данных? Как выполнить все требования законодательства?

  1. Вопрос будет задан в первую очередь владельцу сайта. Если владелец скажет, что на сайте не его продукт, контент и договора, то пойдут к тому, кому это принадлежит. Максим, а если нет на сайте договоров и реквизитов, просто формы для сбора лидов, кого оштрафует в этом случае Роскомнадзор?

    • Богдан:

      Здравствуйте! За размещённый на сайте/ресурсе контент ответственность несёт именно владелец сайта, к сожалению, таковы российские реали

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *