Автор: Саша Жуковская

Источник: "Люди Дела"

1 июля вступили в силу поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных. Они касаются практически любого сайта — личного или корпоративного, если сайт собирает, обрабатывает и хранит данные пользователей.

В чём проблема

Штрафов стало больше и их размер вырос. Например:

— 10 тысяч рублей для ИП и 30 тысяч рублей для компаний — штраф за то, что на сайте не разместили политику конфиденциальности;

— 75 тысяч рублей — штраф для компаний за то, что клиент не согласился на обработку своих данных (не поставил галку в соответствующем месте или на сайте вообще нет места, где это можно сделать);

— от 10 до 20 тысяч рублей для ИП и от 25 до 45 тысяч рублей для компаний — штраф за то, что не удалили пользователя из рассылки, если он об этом попросил.

Если нарушений больше одного, штрафы суммируются. Причём не важно, как давно существует ваш сайт, кто его обслуживает (вы сами, кто-то ещё, разработчики), штрафы начнут выписывать сразу же. Заниматься этим теперь будет Роскомнадзор.

Любой сайт, на котором есть форма для обратной связи (даже кнопочка «Обратный звонок»), подписка на рассылку и сама рассылка, регистрация, попадает под действие закона. Любой сайт, который позволяет пользователю войти в личный кабинет через соцсеть — тоже. Если у вас есть сайт-портфолио, где заказчик может оставить заявку или связаться через форму, вы тоже должны привести его в порядок.

Какие данные пользователя имеются в виду

— ФИО;

— Дата и место рождения;

— Телефон;

— Электронная почта;

— Фактический или физический адрес (например, «Москва, ул. Бауманская»);

— Фотография;

— Ссылка на соцсети или сайт пользователя;

— Профессия;

— Образование;

— Уровень дохода;

— Семейное положение.

Эти данные могут быть в любой комбинации.

Что делать, чтобы не платить штрафы

1. Для начала — зарегистрироваться в реестре Роскомнадзора. Сделать это можно на специальной странице для отправки уведомлений в ведомство.

Регистрироваться не нужно, если сайт обрабатывает только данные сотрудников компании; данные клиентов, которые не передаются третьим лицам по условиям договора; данные, которые нужны, чтобы выписать человеку пропуск; если из данных имеются только ФИО; если пользователь сам опубликовал свои данные в интернете (например, его страница в соцсетях открыта поисковикам, а номер телефона или почта размещены на каком-то публичном ресурсе).

2. Подготовить и опубликовать на сайте соглашение о персональных данных с возможностью для пользователей согласиться или отказаться от обработки и хранения данных (для этого обязательно установите поле для галки или пометку).

3. Если есть физические договоры с клиентами или заказчиками, в каждый внести пункт о согласии клиента или заказчика на обработку данных. Предупреждайте посетителей сайта и клиентов о том, что их данные обрабатываются и хранятся.

4. Не требовать у пользователей данные, которые не нужны для конкретной задачи. Для подписки на рассылку не просите публиковать домашний адрес или телефон, а из формы «Заказать звонок» уберите все лишние требования, кроме номера телефона и имени.

5. Следите за тем, чтобы отписка от рассылки и SMS-уведомлений работала без сбоев. Разместите кнопки отписки на видных местах. Если хотя бы один человек пожалуется на то, что не смог отписаться (и вы храните в таком случае его данные незаконно) — будет штраф. Если вы — человек, кому без спроса приходят тупые SMS с распродажами, можно спокойно пожаловаться в Роскомнадзор.

Где можно хранить данные

В законе об этом ничего чётко не сказано. Лучше не рисковать и хранить все на российских серверах. Еще можно запросить подробности у самого Роскомнадзора (правда не факт, что они там разобрались).

Что всё это значит для пользователя

Ни один сайт не может хранить ваши личные данные без вашего согласия.

Ни один сайт не имеет права передавать ваши данные кому-то ещё без вашего разрешения. Лучше внимательно читать соглашение о персональных данных, чтобы знать, будет ли ещё кто-то помимо этого сайта иметь доступ к вашей личной информации. Если вам звонит какое-нибудь Дешели и не говорит, откуда взяли телефон — можно настучать в Роскомнадзор.

Ни один сайт не имеет права подписать вас без вашего ведома на рассылку, если только этот пункт не прописан в соглашении о персональных данных. Если до регистрации сайт вам это соглашение не показал и не предложил прочесть, можно пожаловаться куда надо.

А ещё вас должны отписать от любых нежелательных рассылок (SMS или почтовых) и удалить всю информацию о вас по первому требованию. Если магазин или сайт этого не сделает, вы можете подать в суд и потребовать компенсацию морального вреда. В законе об этом сказано.