Как реагировать на изменение закона о персональных данных

Похоже, в этом году не погода делает лето жарким. Июль принес собой изменения в процедуры защиты персональных данных (Федеральный закон от 27.07.2006 № 152-ФЗ с изменениями и дополнениями, вступившими в силу 01.07.2017). Изменения касаются веб-сайтов всех организаций и физических лиц - индивидуальных предпринимателей, обрабатывающих персональные данные. Напомним, что к последним относятся ФИО, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, данные о поведении пользователя на сайте, файлы cookies, сведения о геопозиции и IP-адрес.

Какие шаги необходимо предпринять, чтобы не попасть под опалу контролирующих органов и удовлетворить новым требованиям закона? Ниже мы приведем наиболее важные, на наш взгляд, новшества в отношении обработки персональных данных на веб-сайтах и прокомментируем, что с ними делать.

Сервер
Для начала необходимо удостовериться, что ваш сервер физически находится на территории Российской Федерации. Если же нет – срочно перевести его туда.
Согласие на обработку персональных данных

Далее – на веб-сайте компании в свободном доступе должен появиться ряд новых текстов для пользователей. Во-первых, текст о том, что пользователь соглашается на обработку персональных данных. Во-вторых, политика обработки персональных данных, содержащая отсылки к локальным актам по защите персональных данных, а также указание информации, которая хранится в вашей организации на бумажных носителях. В обоих документах следует указать электронный адрес, по которому пользователь может обратиться в случае, если он захочет изменить или удалить свои данные. В-третьих, на всех страницах веб-сайта должен появиться так называемый дисклеймер, или отказ от ответственности, уведомляющий пользователя об обработке его персональных данных и предлагающий в случае несогласия покинуть сайт. В-четвертых, документ, предоставленный вашим хостингом и подтверждающий, что центр обработки данных находится непосредственно на территории Российской Федерации.

Уведомление Роскомнадзора
В дополнение к вышеперечисленным документам придется позаботиться и еще о нескольких моментах. Во-первых, это – уведомление Роскомнадзора об обработке персональных данных.

По новому закону, компании, являющиеся операторами персональных данных, должны зарегистрироваться в Роскомнадзоре посредством подачи специального уведомления
(ч. 3 ст. 22 Федерального закона № 152-ФЗ). Для этого необходимо заполнить электронную форму на портале персональных данных Роскомнадзора и отправить ее в информационную систему уполномоченного органа по защите прав субъектов персональных данных. Кроме того, распечатанную и заверенную форму нужно отправить в территориальный орган Роскомнадзора, к которому приписана ваша компания по месту регистрации.

Соглашение с разработчиком сайта
Второй момент, о котором нужно помнить, – заключение соглашения о безопасности персональных данных с разработчиком сайта и/или с агентством, осуществляющим его техническую поддержку. В таком соглашении необходимо указать, какие персональные данные они могут обрабатывать, в каких целях и какие действия с ними выполнять, а также прописать требование о защите персональных данных.

SSL-сертификат
Отдельно хотим упомянуть еще одно требование. Оно хоть и не обязательное, но поможет вам предотвратить попытку подмены вашего веб-сайта двойником. Мы говорим об установке SSL-сертификата. При наличии такого сертификата на сайте, пользователь сможет понять, нужный ли ему сайт размещен на домене, не дубликат ли это. Кроме того, SSL-сертификат обладает еще двумя преимуществами: с его помощью можно проверить, кто является владельцем сайта, и установить шифрование интернет-соединения. Зашифрованное соединение необходимо для предотвращения возможного хищения конфиденциальных данных при их передаче в сети.

Штрафы
Новым законодательством вводятся не только повышенные штрафы за нарушение требований в отношении сбора, хранения и обработки персональных данных (Федеральный закон от 07.02.2017 № 13-ФЗ), но и большее количество составов правонарушения в области персональных данных в КоАП. Итак, в зависимости от типа нарушения для юридических лиц предусмотрены следующие штрафы:

• до 50 000 рублей за обработку персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных
• (ч.1 ст.13.11 КоАП);
• до 75 000 рублей за обработку персональных данных без соответствующего письменного согласия субъекта персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, если эти действия не содержат уголовно наказуемого деяния, либо за обработку персональных данных с нарушением установленных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных; за сбор, хранение и обработку специальных персональных данных (сведения о здоровье, о вероисповедании, политических взглядах и т. д.) на сайте без явного согласия на обработку таких данных; за отсутствие в согласии или оферте списка третьих лиц, кому могут передаваться персональные данные; за неисполнение требований к форме согласия на обработку персональных данных, описанных
• в ч.4 ст.9 Федерального закона № 152-ФЗ (ч.2 ст.13.11 КоАП);
• до 30 000 рублей за отсутствие на веб-сайте или странице мобильного приложения общедоступной ссылки на политику организации в отношении обработки персональных данных (ч.3 ст.13.11 КоАП);
• до 40 000 рублей за игнорирование запросов физических лиц по поводу обработки и защиты их персональных данных; за превышение установленных законом сроков ответа на запрос; за предоставление ложной информации (ч.4 ст.13.11 КоАП);
• до 45 000 рублей за игнорирование запросов физических лиц и Роскомнадзора о прекращении обработки персональных данных и их уничтожении; за нарушение сроков предоставления ответов на поступившие запросы (ч.5 ст.13.11 КоАП);
• до 50 000 рублей за отсутствие списка лиц, допущенных к обработке персональных данных; за отсутствие раздельного хранения персональных данных (ч.6 ст.13.11 КоАП).

Кира Ованесова – юрисконсульт Департамента юридических услуг «ИАС».
Материал размещен на Право.ру