Штрафы за нарушение закона о персональных данных

Персональные данные — это любая информация, которая позволяет идентифицировать конкретного человека. В законе нет точного перечня данных, которые относятся к персональным, поэтому универсального списка персональных данных не существует. Например, ник пользователя не относится к персональным данным, а вот телефонный номер часто относят к таковым.

За нарушения при обработке персональных данных компанию могут привлечь к ответственности по статье 13.11 КоАП РФ, при этом максимальный штраф составит 10 тысяч рублей. Но с 1 июля 2017 г. вступают в силу поправки в КоАП РФ, которые увеличивают штрафы для компаний за нарушения при обработке персональных данных и вводят семь новых составов правонарушений (Федеральный закон от 07.02.17 № 13-ФЗ).

Так, с 1 июля 2017 г. за обработку персональных данных без письменного согласия пользователя штраф может составить от 15 до 75 тысяч рублей, за неопубликование политики обработки персональных данных предусматривается штраф от 15 до 30 тысяч рублей. Если компания допускает сразу несколько нарушений, то штрафов также будет несколько.

В связи с этим соблюдение законодательства о персональных данных становится всё более актуальным. Ниже вы найдёте чек-лист, который поможет быстро проверить, соблюдает ли ваша компания основные требования законодательства о персональных данных.

Формы сбора данных

1. Наличие Политики конфиденциальности

У каждого сайта, собирающего персональные данные, должна быть Политика конфиденциальности (или другой документ, который определяет все требуемые по закону условия обработки персональных данных). Политика конфиденциальности должна быть доступна для ознакомления. Обычно компании размещают Политику конфиденциальности в футере сайта.

Вот основные положения, которые должны содержаться в Политике конфиденциальности:

  • перечень обрабатываемых персональных данных;
  • согласие пользователя на обработку;
  • цели обработки данных;
  • действия, которые могут быть совершены с персональными данными (должны совпадать с целями обработки);
  • согласие пользователя на передачу данных третьим лицам (включая список третьих лиц, кому могут передаваться данные). Если данные передаются за границу, то перечень стран, куда передаются данные, согласие пользователя на трансграничную передачу;
  • срок обработки данных;
  • порядок получения пользователем информации об обработке его персональных данных, уточнения пользователем своих персональных данных;
  • порядок отзыва согласия пользователем на обработку персональных данных.
  • Для примера можно ознакомиться с политикой конфиденциальности EMAILMATRIX. Однако все ресурсы уникальны и полное копирование чужого документа без учёта специфики того или иного сайта может привести к нарушению закона.

Чек-бокс согласия

Все формы сбора персональных данных на сайте нужно снабдить чек-боксом о согласии пользователя на обработку персональных данных. Например, чек-бокс может быть следующего содержания: «Я соглашаюсь на обработку моих персональных данных в соответствии с Политикой конфиденциальности» с добавлением ссылки на Политику конфиденциальности.

Наш чек-бокс

Доказательства получения согласия

Обязательно необходимо сохранять историю действий подписчиков (в том числе емейл, IP-адрес, с которого совершена подписка, дату подписки) и переписку с ними. Всё это понадобится, чтобы в спорной ситуации доказать, что согласие на обработку персональных данных было получено.

Письма

Наличие опции Double opt-in

Эта опция предполагает направление пользователю письма с запросом на коммуникацию и последующее получение ответа от пользователя. В письме должны содержаться условия осуществления коммуникации, в том числе ссылка на Политику конфиденциальности. Ответ пользователя будет означать согласие с данными условиями. Эта опция будет дополнительным сильным доказательством того, что вами получено согласие пользователя на обработку его персональных данных. Особенно она актуальна, когда по тем или иным причинам проблематично получить или хранить другие доказательства согласия пользователя.

Наличие ссылки отписки (opt-out) в емейлах

Это существенно снижает риски предъявления к вам претензий, так как пользователь всегда имеет возможность отписаться от рассылки, которую он по какой-либо причине не желает получать. В этом случае данные пользователя должны быть удалены из вашей базы в течение периода времени, определённого в Политике конфиденциальности.

Использование стоп-листа пользователей, отказавшихся от коммуникации

Таким пользователям вы больше не имеете права отправлять сообщения до тех пор, пока они не дали нового согласия на обработку своих персональных данных.

Хранение данных и иные вопросы

Локализация

Персональные данные пользователей, являющихся гражданами РФ, должны в обязательном порядке храниться на серверах, расположенных на территории РФ. Это могут быть серверы вашей компании или хостинг-провайдеров, услугами которых вы пользуетесь по договору. Дополнительно к этому данные также могут храниться на серверах за пределами РФ (но в объёме не большем, чем хранится в РФ). Хранить персональные данные граждан РФ только на серверах, расположенных за пределами РФ, запрещено.

Включение в реестр операторов

Все компании, работающие с персональными данными, должны быть включены в реестр операторов персональных данных Роскомнадзора. Сделать это можно, отправив уведомление в Роскомнадзор или бумажном носителе, или в форме электронного документа — через портал «Госуслуги» или официальный сайт Роскомнадзора. Роскомнадзор внесёт сведения о компании в реестр операторов в течение 30 дней с даты поступления уведомления.

Техническая защита персональных данных

Персональные данные — это конфиденциальные сведения. Поэтому любая компания, получающая персональные данные пользователя, обязана обеспечить их безопасность. Меры безопасности зависят от способа обработки данных. Если компания ведёт автоматизированную обработку (любые действия с персональными данными, которые совершаются не на бумаге), на неё распространяются специальные требования Правительства и ФСТЭК по технической защите конфиденциальной информации. Чтобы выполнить эти требования, нужно привлекать IT-специалистов.

О наболевшем

В процессе соблюдения перечисленных выше требований возникает много вопросов. Ответы на них могут отличаться в зависимости от сферы и специфики деятельности компании. Ниже мы собрали некоторые часто встречающиеся вопросы и дали ответы и советы, как действовать в определённых ситуациях.

Вопрос: Очень часто слышу, что емейл это не персональные данные, докажите.

Ответ: По определению персональные данные — это некий набор информации, которая позволяет идентифицировать конкретного человека. По одному емейлу сделать это практически невозможно. Даже если емейл содержит фамилию и имя человека, установить по ним конкретного пользователя невозможно. Поэтому сам по себе емейл персональными данными не является.

Вопрос: Обязательно ли ставить чек-бокс рядом с формой подписки, где спрашивают только емейл?

Ответ: Поскольку один емейл сам по себе не является персональными данными, то это не обязательно. Однако такой чек-бокс может повысить доверие со стороны пользователя. Пользователь с большей охотой оставит свой емейл, если будет понимать, что компания заботится о защите его данных и его емейл не попадёт в базу злоумышленников.

Вопрос: Можно ли отмечать чек-боксы с согласием на обработку персональных данных по умолчанию пречеком?

Ответ: Чек-бокс не должен быть предустановленным, пользователь должен совершить активное действие — заполнить чек-бокс — самостоятельно. Это будет являться дополнительным доказательством того, что вы получили согласие пользователя на обработку его персональных данных.

Вопрос: Необходимо ли получать согласие на обработку персональных данных каждый раз во всех формах сайта или достаточно получить его однажды?

Ответ: Повторное получение согласия на обработку одних и тех же персональных данных пользователя не требуется. Например, если вы уже получали от пользователя согласие на обработку его емейла и телефона, то повторно согласие на их обработку получать не нужно (если данные не изменились). Но зачастую с технической точки зрения сложно настроить показ чек-бокса только тем пользователям, которые с ним не соглашались. При сборе новых (дополнительных) данных о пользователе (например, добавляется информация о дне рождения) нужно получать отдельное согласие.

Вопрос: Возможно ли получить пользовательское согласие на обработку данных при нажатии на CTA, если в форме прописано, что нажатием на кнопку «Отправить» пользователь даёт согласие на обработку?

Ответ: Если до нажатия на СТА пользователь имеет возможность ознакомиться с условиями, на которых будет осуществляться обработка его персональных данных (перейти на сайт и познакомиться с Политикой конфиденциальности), то да, это приемлемый вариант. И обязательно нужно фиксировать доказательства получения согласия на обработку данных (IP-адрес пользователя, другие параметры, которые помогут идентифицировать пользователя, дата).

Вопрос: Когда для емейл-рассылки требуется письменное согласие на обработку персональных данных?

Ответ: Для обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, недостаточно согласия пользователя в электронной форме. В этих случаях потребуется получить согласие пользователя в письменном виде (на бумаге).

Вопрос: Нужно ли добавить текст о согласии на обработку персональных данных в письмо — подтверждение подписки?

Ответ: Если при подписке на сайте пользователь проставляет чек-бокс о согласии на обработку персональных данных и принимает условия Политики конфиденциальности, то добавление текста с согласием в письмо — подтверждение подписки не является обязательным и остаётся на ваше усмотрение.

Вопрос: Сколько «догонялок» double opt-in можно использовать в случае, если с первого раза подписчик не подтвердил своё желание получать рассылку?

Ответ: В случае направления большого количества «догонялок» к вам скорее будут претензии за спам, чем за нарушение законодательства о персональных данных. В этом случае вы будете коммуницировать с пользователем, не получив его предварительного согласия на это, как того требует рекламное законодательство. С этим нужно быть осторожным, так как штраф за подобное нарушение может составить от 100 тысяч до 500 тысяч рублей.

Вопрос: Во всех ли письмах обязательно нужна ссылка отписки?

Ответ: Пользователь должен иметь возможность отписаться от рассылки. Порядок отписки должен быть урегулирован Политикой конфиденциальности или Пользовательским соглашением вашего сайта. Отписка может быть осуществлена по ссылке в письме или, например, путём направления письменного уведомления почтой по юридическому адресу вашей компании. Способ вы выбираете самостоятельно. Однако следует учитывать, что если в ваших письмах отсутствует ссылка отписки, это может являться нарушением политик почтовых сервисов, которые вы используете.

Array
(
    [0] => WP_Term Object
        (
            [term_id] => 1425
            [name] => Статьи
            [slug] => articles
            [term_group] => 0
            [term_taxonomy_id] => 1907
            [taxonomy] => category
            [description] => 
            [parent] => 0
            [count] => 688
            [filter] => raw
            [cat_ID] => 1425
            [category_count] => 688
            [category_description] => 
            [cat_name] => Статьи
            [category_nicename] => articles
            [category_parent] => 0
        )

)
Поделиться статьёй
Подписаться на рассылку