Штрафы за несоблюдение закона о персональных данных в интернете

Важно знать: за нарушение закона о персональных данных законодательством РФ предусмотрена ответственность. Давайте разберемся, какая.

Любой сайт, на котором есть форма регистрации, подписки, обратной связи, анкета для заполнения, личный кабинет или форма заказа попадает под действие закона от 27.07.2006 N 152-ФЗ. Точнее: владелец такого сайта. Если у вас интернет-магазин или сайт, ориентированный на физических лиц – пользователей – сейчас самое время разобраться с подводными камнями.

Нам понадобится словарь:

Персональные данные – информация, которая прямо или косвенно относится к физическому лицу, являющемуся субъектом персональных данных.

Оператор – лицо, осуществляющее сбор и обработку этих данных.

Обработка персональных данных – любое действие, которое с этими данными совершается. ФЗ понимает под таковым действием сбор, запись, хранение, накопление, редактирование, уточнение, передачу, использование, обезличивание, блокирование, удаление  и уничтожение.

Чтобы все было хорошо, познакомьтесь с требованиями закона.

Требование:

Наличие законодательно утвержденного основания для работы с персональными данными

В ч.1 ст 6 ФЗ о персональных данных предоставлен исчерпывающий список допустимых оснований.

Таковыми, в частности, являются:

• согласие физического лица на обработку персональных данных

• обработка информации необходима для осуществления обязанностей оператора, согласно действующему законодательству, а также для целей, предусмотренных законодательством и международным договором РФ

• в связи с участием лица в судопроизводстве

• для исполнения полномочий органов власти

• для исполнения договоров

• для защиты жизни и здоровья субъекта персональных данных

• для осуществления прав и интересов оператора

• для журналистских целей

• для статистических целей

И так далее.

Что делать:

1. Получать от пользователей согласие на обработку персональных данных. Можно, например, установить специальную «галочку» на шаге оформления заказа в корзине или в блоке отправки заявки.

2. По запросу физического лица обязательно предоставлять ему информацию, о том, какие его данные хранятся в базе.

3. Если пользователь требует удалить его данные, отписать его от рассылки, исключить из базы – нужно сделать это немедленно.

4. Определить объем получаемых данных, цели их получения, срок хранения информации. (Если пользователь подписывается на рассылку магазина, не нужно спрашивать адрес его регистрации по месту жительства).

Что читать, если нужно больше информации:

Сам ФЗ N 152, в идеале весь. Чтобы сэкономить время – ч. 2 ст. 5, ч. 2 ст. 9,  ч. 7 ст. 14, п. 5 ст. 21.

Что грозит?

Если случай обработки не предусмотрен законодательством  или имеет место быть кейс рода «прописку за подписку»: “для того, чтобы подписаться на нашу рассылку сообщите нам, пожалуйста, адрес регистрации по месту жительства” должностное лицо могут оштрафовать на 10 000 руб, а организацию – на 50 000 рублей.

За отсутствие согласия на обработку данных или нарушение требования касательно содержания этих  данных – должностному лицу могут выписать штраф до 20 000 рублей, а организации – до 75 000 руб.

Не сообщили пользователю, какие сведения о нем хранятся на сервере? Должностное лицо могут оштрафовать на 6 000 рублей, а организацию – на целых 40 000.

Не удалили данные по требованию пользователя? Должностное лицо рискует получить штраф до 10 000 рублей, а компания – до 45 000.

Требование

Правила сбора персональных данных и особенности реализации ряда процессов для их обработки (смотреть 18-ю статью закона).

Что делать?

Если получили сведения о физическом лице не от самого физического лица, необходимо сообщить субъекту о полученной информации и получить его согласие на обработку.

Что грозит?

Если оператор не раскрыл информацию о том, где хранятся данные пользователя, его могут оштрафовать на 500 рублей, а компанию – на 5 000.

Требование

Соблюдать обозначенные в законе меры безопасности: технические, правовые и организационные

Что делать?

Определить ответственного за обработку данных, подготовить пакет документов, опубликовать всю информацию, касающуюся работы с персональными, данными на сайте. В пакет документов обычно включают: политику в области обработки персональных данных, регламент по обработке персональных данных и безопасности хранения,  положение по работе с персональными данными, приказ о допуске определенных лиц к персональным данным. На сайтах принято публиковать политику конфиденциальности и пользовательское соглашение.

Что грозит?

Если на сайте организации никак не обозначена политика в области информации о пользователе, должностное лицо может получить штраф до 6 000 рублей, а компания – до 30 000 рублей.

Требование

Уведомить Роскомнадзор о  том, что организация начинает обработку персональных данных пользователей.

Что читать:

В самом законе – ст.22, а также Приказ Роскомнадзора от 30 мая 2017, N94.

Что делать?

Регистрироваться в Роскомнадзоре. Если данные, с которыми работает организация, содержат только ФИО, можно не регистрироваться. Прочитать 22-ю статью, однако, рекомендуем, там все подробно описано.

Что грозит:

Если уведомление не подано вообще, или подано уже после начала обработки данных пользователей, или подано, но с неверными сведениями, должностному лицу грозит штраф до 500 рублей, а организации – до 5 000.

В этом материале мы постарались описать наиболее часто встречающиеся случаи. Но формат сайта не позволяет предусмотреть все, что может произойти. Обращайтесь к нам за консультацией.