Что нужно сделать с сайтом, чтобы не получить штрафы от Роскомнадзора из-за закона о персональных данных

В чем проблема?

С 1 июля вступают в силу правки в статью 13.11 КоАП, которые касаются персональных данных. Вырастут штрафы, изменятся виды нарушений и Роскомнадзор будет за всё отвечать.

Раньше нужно было находить нарушения, регистрировать и заводить дело, ждать подписи в прокуратуре. Штрафы были до 10 000 тысяч. Теперь за всё будет отвечать Роскомнадзор, и дело пойдёт быстрее.

Закон о персональных данных существует с 2006. Он довольно сложный и в нем нет чётких формулировок. На наш взгляд, нужно значить термины «Персональные данные» и «Оператор данных».

Персональные данные — любые данные, по которым можно определить одного конкретного человека. Имя, Фамилия, телефон, адрес почты, ссылка в «ВКонтакте», дата и место рождения. Точных формулировок нет. Уровень дохода считается персональными данными, а ИНН — нет.

Оператор данных — тот, кто обрабатывает персональные данные. Данные не обязательно собирать, через сайт и заносить в CRM. Если вы нанимаете работника, то вы обрабатываете персональные данные работники и являетесь оператором персональных данных.

Оператором данных будет и обычный человек, который завел блог, и на котором для комментирования нужно зарегистрироваться, оставить электронную почту, или телефон.

Оператором данных будет крупная компания, которая регистрирует людей, оформляет заказы с доставкой на дом и звонит клиентам, чтобы подтвердить заказ.

⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀

Какие штрафы?

Если вы собираете телефоны, чтобы перезвонить и пригласить на пробный урок клиента, а потом на этот номер отправили смску с приглашением на мастер-класс — штраф для компаний до 50 000 рублей. Нужно правильно прописывать пользовательское соглашение, чтобы посетитель понимал, что к нему на почту, телефон будут приходить рекламные сообщения.

Если вы собираете телефон, простой кнопкой «Жду звонка!». Штраф для компаний до 75 000 рублей. Нужно рядом с кнопкой поставить чекбокс «Я согласен на обработку персональных данных» или написать такое под кнопкой, а рядом поставить ссылку на пользовательское соглашение.

За отсутствующее пользовательское соглашение, штраф для компаний 30 000 рублей. Пользовательское соглашение должно быть опубликовано на сайте, оно должно быть понятным и предусматривать все способы хранения, обработки и передачи персональных данных.

Штрафов больше, подробнее в статье 13.11 КоАП.

⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀

Да ничего не будет, кому нужно с этим возиться?

Одну компанию оштрафовали за то, что в её форме комментирования, была графа «Имя». Компания обратилась в суд, обратила внимание, что графа «Имя» необязательной и многие посетители оставляли псевдонимы. Доводы суд не устроили, и компания заплатила штраф. Источник: постановление Тамбовского областного суда от 04.10.2016 по делу №4А-288.

Гражданин не отдавал кредит банку. Тогда банк попросил коллекторов разобраться с этим. Гражданин пожаловался в суд, за передачу персональных данных третьим лицам, хотя гражданин на это не соглашался. Гражданин выиграл суд. Источник: определение Ярославского областного суда от 05.03.2012 по делу №33-939/2012пределение Ярославского областного суда от 05.03.2012 по делу №33-939/2012.

Клиент Сбербанка написал письмо в банк, и попросил больше не присылать рекламу. Сбербанк прислал индивидуальное предложение. Клиент пожаловался в суд, на незаконное использование персональных данных, банк заплатил 100 000 рублей. Источник: определение Новосибирского областного суда от 02.04.2015 по делу №33-2662/2015

Суды по незаконному использованию, хранению и распространению персональных данных происходят постоянно. Обычно по жалобам пострадавших. Теперь Роскомнадзор может обойтись без прокуратуры и оштрафовать владельца сайта или компанию за нарушения.

⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀

Что делать?

Лучше всего проконсультироваться с юристами. проблемы могут быть не только на сайте, но и во внутренних документах, отсутствующих приказах, и подписях. Разберитесь с этим, пока не появились предупреждения и штрафы.

1. Пересмотрите пользовательское соглашение. Предусматривает ли оно, емейл-рассылку по оставленной почте?
2. Зарегистрируйтесь как оператор данных в Роскомнадзоре, если ещё не сделали этого. Вы можете получать персональные данные от сторонних организаций, вы можете не хранить персональные данные у себя, но закон соблюдать должны. И если вы один раз звоните, чтобы пригласить человека на урок, а потом стираете этот телефон, вы оператор персональных данных. Регистрироваться не надо, если у вас есть только ФИО, человек сам опубликовал эти данные в общем доступе, вы обрабатываете данные сотрудников, используете эти данные только в договоре, и больше эти данные нигде не используются и нигде не распространяются.
3. Если вы храните персональные данные у себя в CRM, убедитесь, что сервера находятся на территории РФ, сервера и базу нельзя взломать и данные оттуда не утекут в чужие руки.
4. Запрашивайте только нужные персональные данные. Нельзя попросить физический адрес, если подписываете человека на емейл-рассылку.
5. Научите сотрудников работать с персональными данными. Они должны по требованию человека, оставившего персональные данные сообщить, что произошло с его данными, удалять по его требования данные из базы. Если у вас несколько емейл-рассылок, человек подписался на три, нельзя ему присылать четвертую емейл-рассылку.

⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀

Что мы сделали в Перезвони

Мы посоветовались с юристами и разработали политику конфиденциальности, которую добавили в виджет:

Доработали дизайн виджета. Теперь можно выбрать чекбокс, который подтверждает согласие пользователя на обработку персональных данных.

Так же и в мобильном виджете:

Мы уже хранили наши данные на российских серверах в Питере. Но мы провели дополнительную проверку защиты данных.

Разрабатываем инструкцию для наших клиентов, для подготовки сайта к новым изменениям в области персональных данных.

Подали заявку в реестр, как оператор данных.

Теперь Perezvoni адаптирован под новые изменения в законе, вернее под новые штрафы :).