152ФЗ - как привести свой сайт в соответствие для защиты персональных данных

С 1 июля 2017 года вступают в силу поправки к федеральному закону 152-ФЗ «О персональных данных» и статью КоАП 13.11. Поправки охватывают все персональные данные пользователей и значительно увеличивают штрафы.

Для кого важен закон?

Всем у кого есть сайт и на сайтах которых посетители могут оставить любые данные, используя формы на сайте: сообщение в обратную связь, заявка на услугу, товар или обратный звонок, оформить заказ, оставить отзыв и т.п.

Комментарий к определению персональных данных в 152-ФЗ:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Как видно определение очень расплывчатое, однако исходя из позиции судов и Роскомнадзора даже информация о местоположении и IP-адресе без указания ФИО являются персональными данными. Например, LinkedIn заблокировали в том числе и за использование данных сведений. Таким образом, есть вероятность, что даже наличие на сайте Яндекс.Метрики может подпадать под 152-ФЗ - Яндекс.Метрика получает всю эту информацию (и даже более), а Вы косвенно им (то есть третьим лицам) передаёте.

Ответственность

В данный момент в ст. 13.11 КоАП указано только одно нарушение со штрафом для юридических лиц от 5 000 — 10 000 рублей. В новой редакции их будет семь, а совокупный штраф может составить 295 000 рублей. Например, отсутствие политики обработки персональных данных в общем доступе на сайте может обойтись юридическому лицу в 30 000 рублей.

Что нужно сделать на сайте, чтобы избежать штрафов

1 решение – самое простое

1. Убрать онлайн-формы с сайта
2. Разместить политику конфиденциальности
3. Разместить дисклеймер, который будет уведомлять посетителей сайта, что его персональные данные обрабатываются на сайте в целях его функционирования и, если он не согласен, то должен покинуть сайт.

2 решение — минимальный набор при наличии онлайн-форм

1. Добавить на каждую форму текст «Нажимая на кнопку «Название кнопки», я даю согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на документ.
2. Разместить на сайте документ "Политика в отношении обработки персональных данных" (или «Политика конфиденциальности»)
3. Разместить дисклеймер, который будет уведомлять посетителей сайта, что его персональные данные обрабатываются на сайте в целях его функционирования и, если он не согласен, то должен покинуть сайт.

3 решение — полный список

1. Добавить на каждую форму текст «Нажимая на кнопку «Название кнопки», я даю согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на документ.
2. Разместить на сайте документ "Политика в отношении обработки персональных данных" (или «Политика конфиденциальности»)
3. Разместить дисклеймер, который будет уведомлять посетителей сайта, что его персональные данные обрабатываются на сайте в целях его функционирования и, если он не согласен, то должен покинуть сайт.
4. Проверить, что ЦОД (сервера, на которых работает сайт) физически находятся в России, лучше получить подтверждение у хостинговой компании.
5. Указать email для обращений пользователей по персональным данным, можно в тесте соглашения на обработку персональных данных или политике конфиденциальности
6. Подать уведомление об обработке персональных данных в Роскомнадзор
7. Заключить соглашение о безопасности персональных данных с разработчиком сайта

4 решение — максимальный набор

1. Весь набор 3 решения
2. Подготовка полной внутриорганизационной документации.