Собираешь контакты через форму подписки? Читай, как не попасть на огромный штраф

pryahina

Юлия Пряхина

Хозяйка Женской Академии Онлайн-тренеров,

инфобизнеследи, путешественница, женский коуч.

 

Летом 2017 года (а конкретно 1 июля 2017-го) вступят в силу изменения в Закон 152 «О персональных данных», грозящие обернуться для многих владельцев сайтов крупными штрафами.

Так, если сейчас существует только одно нарушение по статье 13.11 ФЗ 152, которое грозит юрлицу штрафом в 10 тыс. рублей, с 1 июля их станет аж семь. А общая сумма, на которую придется раскошелиться нарушителям закона, может достигать почти 300 тыс. руб.

Телеграм-чат про удвоение доходов для онлайн-тренеров и коучей >>>  https://t.me/infobusinessX2

Как новые поправки могут отразиться на инфобизнесменах и что нужно предпринять, чтобы не нарваться на денежные санкции?

Теория: определения, которые важно знать

Не секрет, что большинство владельцев сайтов собирают персональные данные разных пользователей: как минимум их почтовые адреса, чтобы вести рассылку.

«Ну и что? Ведь я не обрабатываю эти данные», – можете возразить вы. И будете неправы. Под определение обработки попадают и сбор, и хранение данных. И даже если вы сразу же удалите полученную информацию, это все равно будет являться обработкой, а вы попадете в категорию нарушителей закона.

Чтобы обезопасить себя, нелишним будет изучить основные определения и выдержки из 152 ФЗ.

Оператором персональных данных считается любая организация, физическое лицо или ИП, производящие обработку персональных данных (сюда же относится и сбор электронных адресов для осуществления рассылки).

Именно операторов ПД (которым, по сути, является любой инфобизнесмен), будут штрафовать при невыполнении определенных действий, о которых поговорим чуть ниже.

К категории персональных данных относится любая информация о пользователе, по которой можно его опознать. Так, ФЗ 152 гласит, что под определение персональных данных попадает информация, прямо или косвенно относящаяся к физическому лицу (субъекту ПД).

А значит, к этому списку точно относятся:

  • E-mail
  • Адрес, телефон
  • ФИО (как вместе, так и по отдельности)
  • Дата рождения
  • Фото
  • Ссылка на профиль в соцсетях или свой сайт.

При этом не имеет значения, какие именно из этих пунктов вы используете и в каком сочетании. Если данная информация была получена вами от пользователей, вы уже становитесь оператором персональных данных.

Причем в категорию ПД попадают даже файлы cookie, информация об IP-адресе и местоположении пользователя, без указания его имени и фамилии. Об этом говорят решения судов, заблокировавших крупную социальную сеть LinkedIn за использование сведений о местонахождении пользователя и его поведении на странице.

Так что примите этот печальный опыт во внимание. Если ваш сайт содержит любую форму для сбора информации, это уже является обработкой персональных данных, будь то личный кабинет на сайте, форма подписки/регистрации/обратной связи и т. д.

Практика: что сделать, чтобы обезопасить себя

Какие меры нужно предпринять, чтобы быть уверенным в законности своего бизнеса?

Главное условие – ваш сайт должен соответствовать требованиям ФЗ 152. Они едины и для физлиц, и для индивидуальных предпринимателей.

А именно:

  1. База данных и хостинг, содержащие персональные данные ваших подписчиков, должны находиться на территории РФ. Это требование касается российских компаний, пользующихся иностранными платформами, хостинг-провайдерами и data-центрами, и иностранных компаний с юридическим лицом в РФ или без него.

Если у вас возникли трудности на этом этапе, можно подать запрос в Роскомнадзор или Минкомсвязи или обратиться к администрации вашего хостинг-провайдера.

  1. Под каждой вашей формой сбора данных (е-мейлов в том числе) обязательно должен идти текст о том, что пользователь, нажимающий на кнопку, согласен с обработкой своих персональных данных. Обязательно в тексте должна содержаться ссылка на документ (который можно выложить на отдельной странице) – договор или пользовательское соглашение на обработку ПД.
  2. В соглашении, размещенном на вашем сайте, должна быть отражена следующая информация (согласно 4-й части статьи 9):
  • ФИО/наименование и адрес оператора, который получает согласие на обработку от субъекта ПД,
  • Цель, с которой будут обрабатываться данные,
  • Список (перечень) данных, на обработку которых субъект ПД дает свое согласие,
  • ФИО/наименование и адрес лица, который осуществляет обработку данных по просьбе оператора (если этому лицу будет поручена обработка),
  • Перечень действий с данными, на совершение которых субъект дает согласие, а также общее описание тех способов обработки ПД, которыми будет пользоваться оператор,
  • Срок действия согласия субъекта, а также способ, с помощью которого он сможет свое согласие отозвать (если это не противоречит Федеральному закону).
  1. Разместить на сайте в свободном доступе (например, в подвале) ссылку на политику компании в отношении обработки ПД на данном сайте. Пример ее можно найти в Интернете.
  2. Всем новым пользователям необходимо показывать предупреждение о том, что вы используете информацию об IP-адресе, местоположении и cookie для работы сайта. Если пользователь не желает, чтобы его метаданные обрабатывались, он должен покинуть ваш сайт.
  3. Чтобы вашу организацию внесли в реестр операторов ПД Роскомнадзора, можно подать уведомление через официальный сайт.

Вы имеете право не подавать уведомление, если:

  • Вы производите только обработку данных своих работников с целью исполнения предписаний трудового законодательства (например, оформления зарплаты),
  • Вы заключаете договор с каждым своим работником/клиентом, не передавая информацию о них каким-либо третьим лицам,
  • Обрабатываете ПД исключительно на бумажных носителях.

Полный список исключений вы можете найти во 2-м пункте статьи 22 152-ФЗ.

Это главные требования, предъявляемые Роскомнадзором к владельцам сайтов независимо от того, физическим или юридическим лицом они являются.

Есть еще несколько пунктов, которые должны дополнительно выполняться юрлицами:

  1. В вашей компании должны быть назначены ответственные лица и разработан пакет документов, которые будут регламентировать процессы защиты и обработки ПД.
  2. С вашими сотрудниками должны быть подписаны обязательства о неразглашении данных и о согласии на их обработку. Сотрудники должны под роспись ознакомиться с внутренними документами по ПД.
  3. Все договоры, которые вы заключаете с другими физлицами (клиентами, контрагентами), должны содержать пункты об обработке ПД, либо должны быть подписаны дополнительные соглашения. При передаче данных физических лиц сторонним организациям (например, рекламным агентствам) также нужно заключать договоры на обработку ПД.
  4. Вы не должны игнорировать запросы физлиц по поводу хранения и обработки их данных.
  5. Необходимо обеспечить сохранность ПД с помощью технических и организационных мер – использовать антивирусы, средства межсетевого экранирования, а также по возможности разграничить права доступа к информации.

Риски: чем грозит невыполнение закона

Как мы уже упоминали в начале статьи, с 1 июля сумма штрафов за невыполнение требований ФЗ 152 может достигать 300 тысяч. Например, если на сайте отсутствует политика конфиденциальности, индивидуального предпринимателя оштрафуют на 10 тысяч, а компанию на 30 тыс. рублей. Если форма обратной связи не будет содержать ссылки на соглашение об обработке ПД, придется раскошелиться уже на 50 тысяч. А если какой-то пользователь обратится к вам с просьбой удалить его данные с сайта, а вы эту просьбу проигнорируете, то можете быть оштрафованы на сумму от 2 до 45 тысяч рублей. Соответственно, если у вас выявится несколько нарушений, то и штрафов тоже выпишут несколько.

Основную опасность для нерадивых владельцев сайтов представляет Роскомнадзор, который проводит тысячи проверок в год (хотя вашим бизнесом могут заинтересоваться также Федеральная служба по техническому контролю и ФСБ).

Как правило, сначала вам пришлют «письмо счастья», где перечислят выявленные нарушения, и попросят их устранить. В более серьезных случаях ваш сайт могут заблокировать или вовсе приостановить деятельность вашей компании.

Поэтому не ждите, когда нагрянет проверка! Гораздо проще подстраховаться заранее, чтобы потом не беспокоиться о возможных негативных последствиях.

Телеграм-чат про удвоение доходов для онлайн-тренеров и коучей >>>  https://t.me/infobusinessX2

Если статья показалась вам интересной и полезной, сохраните ее к себе на «стену» в соцсети и поделитесь с подругами!

 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *