Школа рекламиста

Что нужно знать о персональных данных, чтобы не заплатить 300 000 рублей штрафа

Что нужно знать о персональных данных, чтобы не заплатить 300 000 рублей штрафа

Рассказываем в подробностях, почему закон о персональных данных касается всех сайтовладельцев и как привести сайт в соответствие с требованиями закона.

Введение

На позапрошлой неделе после поста директора по продуктам Notamedia Алексея Бородкина, что Тамбовский суд оштрафовал одного из клиентов их агентства за отсутствие согласия на обработку персональных данных в форме обратной связи на сайте, — среди участников digital-рынка поднялся серьёзный хайп.

Никто и подумать не мог, о том, что закон N 152-фз «О персональных данных» доберётся до сайтов. Хотя, на самом деле, такие случаи уже были. В феврале этого года случился инцидент с астраханскими сайтами с формой обратной связи, в которых не было согласия на обработку персональных данных. Компании-владельцы сайтов были оштрафованы на 10 000 рублей каждая.

И это еще цветочки, ягодки начнутся 1 июля 2017 года, когда произойдёт серьёзное ужесточение законодательства в области персональных данных, которое затронет владельцев сайтов и агентства, их разрабатывающие и обслуживающие.

Почему это важно для digital-рынка?

Роскомнадзор отдельным блоком проверяет интернет-сервисы, сайты и мобильные приложения, а также договоры и взаимоотношения с разработчиками сайта и рекламными агентствами.

И он считает, что если вы имеете обрабатываете данные пользователей и имеете доступ к администрируемому сайту, то вы обработчик персональных данных и должны их правильно обрабатывать и защищать.

Если ничего не делать, то ваш клиент или попадёт «благодаря» вам, или проверка может затронуть лично вас.

Ужесточение законодательства по персональным данным

Не смотря на то, что закону N 152-фз «О персональных данных» уже более 10 лет и многие успели о нем позабыть, в нём происходили постоянные изменения. Все они обусловлены не столько изменением политической обстановки, сколько общим мировом трендом на более плотное регулирование этого вопроса (например, в Евросоюзе с 25 мая 2018 года вступят новые, более жёсткие требования по обработке и защите персональных данных GDPR).

Какие изменения законодательства и позиции регулятора (Роскомнадзора) и судов уже влияют и повлияют в будущем на digital-рынок:

1. Суды стали относить данные о поведении пользователя на сайте, cookie, сведения о его геопозиции и IP-адрес к персональным данным. Из-за этого уже попали LinkedIn и МГТС. Роскомнадзор того же мнения и в списке запрашиваемой информации у проверяемых организаций добавил трактовку того, что он относит к пользовательским (персональным) данным.

2. Через 3 месяца, а именно 1 июля 2017 года, будут кратно увеличены число и размер штрафов за нарушения требований обработки персональных данных. Если раньше сумма штрафов в большинстве случаев не превышала 10 000 рублей, то теперь она может спокойно доходить до 300 000 рублей. 

Теперь штрафовать Роскомнадзор может не по одной статье 13.11 Кодекса об административных правонарушениях (КоАП), а по семи:

Номер статьиТекст статьиВозможный штрафВ каких случаях накладывается штраф
ч.1 ст.13.11 КоАП Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных До 50 000 рублей на юридических лиц
  1. Когда через сайт собираются сканы паспортов и иных документов. Роскомнадзор считает именно сканы документов избыточной информацией.
  2. Обработка не в тех целях, когда это требуется (например, взяли для исполнения договора, но попутно рассылаем email-рассылки)
ч.2 ст.13.11 КоАП Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных До 75 000 рублей для юридических лиц
  1. Сбор, хранение и обработка специальных персональных данных (сведения о здоровье, о вероисповедании, политических взглядах и тд) на сайте без явного согласия на обработку таких данных.
  2. Проведение онлайн-скоринга его данных (включая IP, cookie и сведения из аккаунтов в соц.сетях) без явного согласия на обработку персональных данных в целях скоринга
  3. Отсутствие в согласии или оферте списка третьих лиц, кому могут передаваться персональные данные
  4. Неисполнение требований к форме согласия на обработку персональных данных, описанных в ч.4 ст.9 152-ФЗ (пруфлинк)
ч.3 ст.13.11 КоАП Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных До 30 000 рублей для юридических лиц
  1. Отсутствие на сайте или странице мобильного приложения общедоступной ссылки на Политику организации в отношении обработки персональных данных.
ч.4 ст.13.11 КоАП Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных До 40 000 рублей для юридических лиц
  1. Игнорирование запросов физических лиц по поводу обработки и защиты их персональных данных.
  2. Ответ на запрос в сроки, превышающие установленные законом
  3. Предоставление ложной информации
ч.5 ст.13.11 КоАП Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки До 45 000 рублей для юридических лиц
  1. Игнорирование запросов физических лиц и Роскомнадзора по поводу прекращения обработки персональных данных и их уничтожении
  2. Нарушение сроков предоставления ответов на поступившие запросы
ч.6 ст.13.11 КоАП Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния До 50 000 рублей для юридических лиц
  1. Отсутствие списка лиц, допущенных к такой обработке
  2. Отсутствие раздельного хранения данных
ч.7 ст.13.11 КоАП Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных до 6 000 рублей для должностных лиц
  1. Сабж

3. Роскомнадзор получил право выносить административные дела по вышеперечисленным статьям нарушений без Прокуратуры. То есть теперь от штрафа точно не отделаться.

Помимо этого, ещё с 1 сентября 2015 года проверки по соответствию закону «О персональных данных» вышли из под действия закона 294-ФЗ «О защите бизнеса при проверках».

К чему это привело:

  • Роскомнадзор теперь не уведомляет о плановых проверках коммерческих организаций и ИП Прокуратуру, поэтому в сводном плане проверок на сайте Прокуратуре не найти проверок по персональным данным;

  • закон защищал бизнес от частых проверок и «маски шоу». Теперь при проверках Роскомадзор регулирует свою деятельность только своим внутренним административным регламентом;

  • Роскомнадзор может блокировать сайты, которые незаконно собирают персональные данные (случай с Linkedin — явный тому пример).

4. Все базы персональных данных должны первоначально собираться и обрабатываться на территории Российской Федерации. С учётом того, что Роскомнадзор считает персональными данными также и данные посетителей сайта, то это касается практически любого сайта. За нарушение этого требования Роскомнадзор их блокирует.

Что является персональными данными?

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). Так выглядит трактовка термина в законе 152-ФЗ «О персональных данных» и она более чем размытая.

Исходя из позиции судов и Роскомнадзора, персональными данными является информация вплоть до пользовательских данных. Именно на позицию судов за неимением более чётких трактовок необходимо ссылаться.

Если в форме обратной связи есть поле «Имя» или «Представьтесь», то вкупе с автоматически передаваемыми cookie и другими метаданными это будет являться персональными данными.

Что делать игроку digital-рынка и владельцу сайта?

Чтобы не лить воду, опишу то, что как минимум нужно сделать агентствам, студиям и владельцам сайтов, чтобы не попасть на штрафы и не получить блокировку сайта.

  1. Под каждой формой ввода данных на сайтах и в мобильных приложениях (форма регистрации, заявки, обратной связи и т.д.) разместить текст «Нажимая на кнопку НАЗВАНИЕ_КНОПКИ, я даю согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на сам документ. В качестве примера согласия можно посмотреть наше согласие. Вместо согласия можно использовать единую публичную оферту, но в ней будет нужно прописать, в каких целях, какие данные обрабатываются, то есть указать всё, согласно ч.4 ст.9 152-ФЗ. В этом случае обязательно хранить логи, чтобы в случае чего доказать Роскомнадзору, что тот или иной пользователь действительно заходил на сайт и оставлял там свои персональные данные.

  2. Владельцу сайта необходимо утвердить приказом Политику в отношении обработки персональных данных и разместить её в своём офисе, на сайте и в мобильном приложении в общем доступе. Проще всего это реализовать, вставив ссылку на документ в футер. При этом с данным документом регистрирующийся не должен соглашаться при заполнении формы.

  3. Перенести сайт на территорию РФ и узнать у технической поддержки хостинг-провайдера или ЦОДа адрес месторасположения вашего сервера (узнать вплоть до здания). Эту информацию Роскомнадзор умеет проверять, так как также контролирует операторов связи, обмануть его не получится.

  4. Указать email, куда физическое лицо может обратиться за тем, чтобы его персональные данные были удалены, заблокированы и вообще куда он может задать вопрос по персональным данным. Можно всё отправлять и на общую почту, но вы тогда должны проконтролировать, что письмо, касающееся персональных данных, будет отфильтровано и не проигнорировано.

  5. Агентству и владельцу сайтов необходимо подать уведомление об обработке персональных данных (форма тут) и помимо всего прочего указать там адреса местонахождения баз персональных данных и перечень персональных данных, которые в ней содержатся.

  6. Агентству/студии и владельцу сайта, в случае если агентство имеет доступ к персональным данным из заявок, БД или просто привлекает клиентов, необходимо заключить соглашение об обеспечении безопасности персональных данных, в котором будет указано, какие персональные данные агентство/студия может обрабатывать, в каких целях и какие действия с ними выполнять. Также там должны быть требования по защите персональных данных, но защиту у частных компаний не проверяют.

  7. До 1 июля 2017 года поставить на сайте дисклеймер, который будет уведомлять посетителей сайта, что его персональные данные обрабатываются на сайте в целях его функционирования и если он не согласен, то должен покинуть сайт. В противном случае это будет являться согласием на обработку его персональных данных.

Сразу хочу сказать, что это только 10% требований Роскомнадзора к компаниям (полный перечень тут), но его достаточно, чтобы начать решать вопрос и в случае проблем не подставить клиента и себя. 

24.04.2017

на печать


Комментарии

Alex
28.04.2017 13:27 | сообщение #1
 

Это сейчас модно - плагиатные статьи размещать?

Консантин
26.06.2017 9:19 | сообщение #2
 

Проверка по защите

Написать комментарий

 Проверочный код

Архив

Пн Вт Ср Чт Пт Сб Вс

Рассылка

Подписка на рассылку

E-mail:
 

Также нашу рассылку вы можете получать через

E-mail:  

на правах рекламы

реклама

Есть мнение ...

Топовые инструменты интернет-маркетинга Топовые инструменты интернет-маркетинга
Специалисты агентства высоких откликов HICLICK пришли к выводу, что клиентов самих нужно защищать от рекламы. В последние годы бизнес бездумно стремится подключать популярные инструменты продвижения. Например, сейчас в моде реклама в Telegram, использование нейросетей, рилсы, реклама у блогеров, VK Почта, Tik Tok в странах СНГ, контекстная реклама. Это отпечаток непростых в экономическом плане лет: бизнес, опираясь на тренды, рассчитывает на мгновенный результат от продвижения. Однако руководитель отдела реализации проектов агентства Екатерина Иванова уверена: не стоит забывать про маст-хэв. В HICLICK составили список самых эффективных в 2023 инструментов интернет-маркетинга.
PR-тренды 2023PR-тренды 2023
На формирующиеся тренды этого года оказало влияние два макрофактора. С одной стороны — это развитие «старых» тенденций, фундамент которым был заложен еще в период пандемии. Условно назовем их «цифровыми». С другой — это новые явления, сформировавшиеся в результате СВО. Для рынка именно они оказались наиболее значимыми.
Реклама добивается влиянияРеклама добивается влияния
Призывы к срочной покупке, демонстрация превосходства товара и сленг. Как выяснили аналитики компании Calltouch, именно это больше всего раздражает россиян в рекламе. Впрочем, такие приемы все равно работают и клиенты совершают покупки, уверены опрошенные "Ъ FM" маркетологи.
Креативный класс сменяет интеллигенцию. Что дальше?Креативный класс сменяет интеллигенцию. Что дальше?
Социологи из Института статистических исследований и экономики знаний Высшей школы экономики опубликовали исследование «российского креативного класса», которое назвали портретом в цифрах.
Как меняется рекламный бизнес в РоссииКак меняется рекламный бизнес в России
Глобальный тренд в рекламном бизнесе – отрасль начала активно меняться. Основные изменения касаются пересмотров кампаний в сторону увеличения их эффективности и новый подход к формированию контента. Весь прошлый год эксперты рынка дискутировали, станет ли фатальным для рекламных агентств отток западных рекламодателей. Ожидали, что для многих этот факт повлечет экономические ямы вплоть до банкротства. Но этого не случилось, агентства продолжают работать в новых условиях. На фоне затишья в отрасли в прошлом году, можно попробовать прогнозировать наращивание объемом в 2023. Рекламный рынок откликается на рынок общеэкономический, а в нем глобального провала не случилось. И хотя прогнозы дело неблагодарное, ждем активности на рекламном рынке.

Книги по дизайну

Загрузка ...

Репортажи

Дизайн под грифом "секретно"Дизайн под грифом "секретно"
На чем раньше ездили первые лица страны? Эскизы, редкие фотографии и прототипы уникальных машин.
"Наша индустрия – самодостаточна": ГПМ Радио на конференции..."Наша индустрия – самодостаточна": ГПМ Радио на конференции...
Чего не хватает радио, чтобы увеличить свою долю на рекламном рынке? Аудиопиратство: угроза или возможности для отрасли? Каковы первые результаты общероссийской кампании по продвижению индустриального радиоплеера? Эти и другие вопросы были рассмотрены на конференции «Радио в глобальной медиаконкуренции», спикерами и участниками которой стали эксперты ГПМ Радио.
Форум "Матрица рекламы" о технологиях работы в период...Форум "Матрица рекламы" о технологиях работы в период...
Деловая программа 28-й международной специализированной выставки технологий и услуг для производителей и заказчиков рекламы «Реклама-2021» открылась десятым юбилейным форумом «Матрица рекламы». Его организовали КВК «Империя» и «Экспоцентр».
В ЦДХ прошел День социальной рекламыВ ЦДХ прошел День социальной рекламы (3)
28 марта в Центральном доме художника состоялась 25-ая выставка маркетинговых коммуникаций «Дизайн и реклама NEXT». Одним из самых ярких её событий стал День социальной рекламы, который организовала Ассоциация директоров по коммуникациям и корпоративным медиа России (АКМР) совместно с АНО «Лаборатория социальной рекламы» и оргкомитетом LIME.
Форум "Матрица рекламы": к рекламе в интернете особое...Форум "Матрица рекламы": к рекламе в интернете особое... (2)
На VII Международном форуме «Матрица рекламы», прошедшем в ЦВК «Экспоцентр» в рамках международной выставки  «Реклама-2018», большой интерес у профессиональной аудитории вызвала VI Конференция «Интернет-реклама».

Форум

Вакансии

  • Загрузка ...

на правах рекламы

30.03.2023 - 12:23
RSS-каналы Advertology.RuRSS    Читать Advertology.Ru ВКонтактеВКонтакте    Читать Advertology.Ru на Twittertwitter   
Advertology.Ru - все о рекламе, маркетинге и PR
реклама

Вход | Регистрация