Как организовать работу с персональными данными, чтобы не стать нарушителем закона

В июле 2017 года были внесены корректировки в КоАП РФ, касающиеся работе с персональными данными. Нововведения ужесточают наказание за нарушение правил работы с ними. Многим владельцам интернет-ресурсов еще в начале года пришлось выплачивать штрафы лишь по той причине, что на страницах их сайтов в формах для ввода информации о клиенте отсутствовала отметка о том, что пользователь разрешает сайту проводить обработку его данных. После июльских изменений количество сайтов, на которые будут наложены штрафные санкции в связи с нарушением новых законов, значительно возрастет.

В данном материале вы узнаете, что такое персональные данные, и как работать с ними в рамках действующего на территории России Законодательства.

Что принято понимать под термином «персональные данные», и кто их оператор?

Персональные данные представляют собой любые сведения, которые относятся к физическому лицу и могут быть любым доступным методом, не нарушающим действующего Законодательства. Такая информация позволяет идентифицировать любого человека.

Полного списка тех данных, которые можно было отнести под рассматриваемый нами термин, в Законодательстве нет. Однако учитывая уже имеющуюся судебную практику и нормативно-правовую базу, персональными данными следует считать следующие сведения о физическом лице:

•  Фамилия, имя, отчество;
•  Фотография, на которой запечатлен человек;
•  Адрес электронной почты;
•  Образование;
•  Данные браузера, в том числе и cookie;
•  Профессия;
•  Номер телефона;
•  Любые страницы на ресурсы, где размещена личная информация о пользователе (например, социальные сети);
•  Степень доходов;
•  Семейное положение;
•  Другие.

Можно сказать, что практически любая информация, в той или иной степени описывающая физическое лицо, охраняется законом.

Все те, кто по роду своей деятельности совершает любые операции с персональными данными (хранение, запись, сбор, обработку и т. д.) являются операторами. И именно они рискуют попасть в число правонарушителей, если не будут соблюдать требования обновленных нормативно-правовых актов.

К операторам относятся те владельцы сайтов, на страницах которых есть любые формы, связанные с отправкой личной для пользователя информации: регистрация, авторизация, отправка сообщений, заказ звонка или товара и т. д.

Ответственность за нарушение закона

Размер штрафа, который накладывается за нарушение закона о персональных данных, зависит от степени тяжести и субъекта, его нарушившего. Субъектами могут выступать, как физические лица, так и индивидуальные предприниматели и юридические лица. Для первых величина штрафных санкций невелика, а вот для ИП, ООО, ОАО и других форм собственности предусмотрены более высокие расходы.

Например, за не выполнение требований о необходимости оповещать пользователя о согласии обработки персональных данных, индивидуальному предпринимателю придется уплатить штраф в размере 10-15 тысяч рублей, а для юридического лица эта сумма достигает отметки в 20-40 тысяч. А вот если данные были получены без согласия физического лица, то размер штрафа достигает 75 тысяч рублей.

И если раньше, до вступления новых изменений в силу, оператор платил лишь единожды, независимо от количества выявленных нарушений, то с июля ему придется отвечать за каждое из них.

Как работать в рамках закона?

•  В компании должна быть принята Политика конфиденциальности. Из всех сотрудников необходимо выбрать тех, кто будет отвечать за обработку персональных данных. Так же важно выбрать ответственное лицо, которое будет контролировать соблюдение существующей Политики и действующего Законодательства;
•  Доступ к Политике конфиденциальности должен быть открытым, чтобы любой из пользователей мог в любой момент ознакомиться с ней;
•  В Роскомнадзор необходимо отправить уведомление о том, что вы являетесь владельцем сайта, на страницах которого расположены формы для обработки персональных данных;
•  Любая форма, которая требует от пользователей ввода личных данных, должна сопровождаться получением от них согласие на обработку этой информации. Например, это может быть кнопка, при нажатии на которую, человек соглашается с обработкой его данных или специальный checkbox;
•  Хостинг в обязательном порядке должен располагаться на территории РФ;
•  Пользователи ресурса должны знать на какой адрес электронной почты они могут отправить письмо с вопросами по работе с персональными данными;
•  На каждой странице, в нижней его части, должна располагаться информация о том, что работа сайта связана со сбором, хранением и обработкой всей введенной пользователем информации и, если он не откажется от использования ресурса, это будет расценено, как его согласие на процедуру обработки его данных;
•  Должен быть разработан и принят локальный акт, описывающий процедуры передачи и хранения данных, а также с указанием лица, ответственного за выполнение этих процедур с перечислением его полномочий. Текст акта должен содержать информацию о порядке хранения и уничтожения личной информации пользователей и соответствующие сроки.