С 1 июля 2017 года ужесточили правила сбора, обработки и хранения персональных данных и обязали все сайты уведомлять клиентов о 3 вещах.
1. Использование куки файлов
2. Принимать политику конфиденциальности
3. Принимать пользовательское соглашение или договор оферты.
Если Вам нужно просто исправить ситуацию - звоните нам, мы оценим работу и исправим нарушение.
Средняя цена за исправление около 5000 рублей с учётом составления документов конкретно под Ваш сайт.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Но и здесь есть поле, которое не ограничивает только этот набор. Поэтому под персональными данными может пониматься и обычный e-mail. Тем более по решению суда уже были штрафы за формы обратной связи.
Кто попадает под закон 152-ФЗ?
Все владельцы сайтов, на которых есть:
- формы комментариев;
- регистрация и личные кабинеты;
- формы подписки по e-mail;
- сбор данных посетителей;
- формы заказа.
Грубо говоря, под этот закон попадают все сайты . Подробнее остановлюсь на 4-м пункте. Здесь подразумеваются и cookie, и IP, и поисковые запросы, и так далее. Многие ссылаются на то, что суды и РКН считают это персональными данными. В одном из решений судов я не увидел информацию про cookie, IP и т.п. В РКН есть перечень документов для проведения проверки оператора (того, кто обрабатывает ПД: владелец сайта или его доверенное лицо). Там есть пункт 4.1.
Вот на него якобы и ссылаются. При проверке могут запрашивать много разной информации, которая напрямую не касается самого закона. Прямой связи данных посетителей с персональными данными я не увидел. Может быть, кто-то из вас объяснит и докажет ?
Штрафы: какие и за что?
Сейчас в КоАП (Кодекс об административных правонарушениях) существует 7 пунктов. Я оформил их в виде таблицы и с примечаниями (ссылка на законодательный документ).
| Нарушение | ФЛ | ДЛ | ИП | ЮЛ |
| Ст.13.11 КоАП ч. 1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния. | предупреждение или | |||
| Пример №1: сбор паспортных данных для заказа товара - чрезмерная и излишняя информация. | 1-3 т. | 3-5 т. | нет | 30-50 т. |
| Пример №2: сбор номеров телефонов для подтверждения заказа, а впоследствии СМС-рассылка. Сначала была одна цель, а по факту данные используются для другой. | ||||
| Ст.13.11 КоАП ч. 2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных. | 3-5 т. | 10-20 т. | нет | 15-75 т. |
| Пример. Сбор e-mail без явного согласия посетителя. | ||||
| Примечание. В письменной можно понимать как в электронной форме. | ||||
| Ст.13.11 КоАП ч. 3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных. | предупреждение или | |||
| Пример. Отсутствие "Политики конфиденциальности" и публичной ссылки на нее. | 0,7-1,5 т. | 3-6 т. | 5-10 т. | 15-30 т. |
| Ст.13.11 КоАП ч. 4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных. | предупреждение или | |||
| Примечание. Нежелание обрабатывать и надежно хранить персональные данные физических лиц. Игнорирование их запросов на предоставление данных. | 1-2 т. | 4-6 т. | 10-15 т. | 20-40 т. |
| Ст.13.11 КоАП ч. 5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. | предупреждение или | |||
| Примечание. Отказ или игнорирование запросов субъекта персональных данных на их изменение или удаление. | 1-2 т. | 4-6 т. | 10-20 т. | 25-45 т. |
| Ст.13.11 КоАП ч. 6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния. | 0,7-2 т. | 4-10 т. | 10-20 т. | 25-50 т. |
| Примечание: Наказание в сфере хранения и обработки. Оператор должен обеспечивать безопасность хранения и обработки персональных данных. | ||||
| Ст.13.11 КоАП ч. 7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных. | предупреждение или | |||
| Примечание. К вебмастерам не относится. | нет | 3-6 т. | нет | нет |
Интересно, почему в 2-х пунктах не описана ответственность индивидуальных предпринимателей? Какой придет штраф, если физическое лицо зарегистрировано как ИП, но предпринимательскую деятельность по сайту, на котором обнаружено нарушение, не ведет? Как обычно не обходится без вопросов .