Расширение ст. 13.11 КоАП РФ до семи составов правонарушений, диктует новые требования  для сайтов кредитных кооперативов, которые для сбора персональных данных используют онлайн формы.

Штраф: От 30 000 рублей до 50 000 рублей на юридических лиц

В каких случаях накладывается штраф:

1. Когда через сайт собираются сканы паспортов и иных документов. Сканы документов являются избыточной информацией.
2. Обработка не в тех целях, когда это требуется (например, взяли для исполнения договора, но попутно рассылаем email-рассылки)

Штраф: От 15 000 рублей до 75 000 рублей на юридических лиц

В каких случаях накладывается штраф:

1. Сбор, хранение и обработка специальных персональных данных (сведения о здоровье, о вероисповедании, политических взглядах и т.д.) на сайте без явного согласия на обработку таких данных.
2. Проведение онлайн-скоринга данных пользователя (включая IP, cookie и сведения из аккаунтов в соц.сетях) без явного согласия на обработку персональных данных в целях скоринга.
3. Отсутствие в согласии или оферте списка третьих лиц, кому могут передаваться персональные данные.
4. Неисполнение требований к форме согласия на обработку персональных данных, описанных в ч.4 ст.9 152-ФЗ.

Штраф: От 15 000 рублей до 30 000 рублей на юридических лиц

В каких случаях накладывается штраф:

Отсутствие на сайте общедоступной ссылки на Политику организации в отношении обработки персональных данных.

Штраф: От 20 000 рублей до 40 000 рублей на юридических лиц

В каких случаях накладывается штраф:

1. Игнорирование запросов физических лиц по поводу обработки и защиты их персональных данных.
2. Ответ на запрос в сроки, превышающие установленные законом.
3. Предоставление ложной информации.

Штраф: От 25 000 рублей до 45 000 рублей на юридических лиц

В каких случаях накладывается штраф:

1. Игнорирование запросов физических лиц и Роскомнадзора по поводу прекращения обработки персональных данных и их уничтожении.
2. Нарушение сроков предоставления ответов на поступившие запросы.

Штраф: От 25 000 рублей до 50 000 рублей на юридических лиц

В каких случаях накладывается штраф:

1. Отсутствие списка лиц, допущенных к обработке персональных данных
2. Отсутствие раздельного хранения данных

Что нужно сделать, чтобы избежать штрафов:

1. Собирайте только те данные, которые вам действительно нужны

Если будете делать рассылки, то берите  e-mail. Если хотите звонить, то номер  телефона.

Сбор и обработка данных, несовместимых с целями обработки (которые указываются в Согласии), влечет за собой штраф до 50 тысяч рублей.

Следите за тем, чтобы к вам попадали только те данные, которые прописаны в Согласии.

Например: если у вас на сайте есть виджет комментариев (Вконтакте и т.п.), а клиент оставляет там сообщение, к вам уже попадают ссылка на его страницу и фотография. А значит, они должны быть указаны в Согласии на обработку персональных данных.

2. Добавить текст согласия на обработку персональных данных

Под каждой формой ввода данных на сайте (регистрация, заявки на услугу, обратный звонок) разместить текст «Нажимая на кнопку «Название кнопки», я даю согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на документ. Примеры документов вы можете посмотреть на федеральных сайтах, например, ozon.ru и tinkoff.ru.

Вместо согласия можно использовать единую публичную оферту, но в ней будет нужно прописать, в каких целях, какие данные обрабатываются, то есть указать все, согласно ч.4 ст.9 N 152-ФЗ. В этом случае обязательно хранить логи-файлы, чтобы, в случае чего, доказать Роскомнадзору, что тот или иной пользователь действительно заходил на сайт и оставлял там свои персональные данные.

3. Составить документ «Политика в отношении обработки персональных данных»

Этот документ нужно разместить на сайте в свободном доступе. В данном документе должны быть описаны процедуры сбора, обработки и хранения персональных данных пользователей сайта. Хорошо проработанный документ о политике в отношении обработки персональных данных есть на ikea.com. При этом регистрирующийся не должен соглашаться с данным документом при заполнении формы.

4. Узнать, где находится хостинг сайта

Узнать у хостинг-провайдера, где физически находится центр обработки данных (ЦОД), в котором расположен ваш сайт и, в случае, если он расположен не на территории РФ, перенести сайт на другой хостинг. Сделать это можно, отправив запрос в техническую поддержку сайта.

В соответствии с N 152-ФЗ, все интернет ресурсы, на которых хранятся и обрабатываются персональные данные, должны быть расположены на территории Российской Федерации. С учетом того, что контролирующие органы считают персональными данными также и данные о поведении пользователя на сайте, то это касается практически любого интернет ресурса. За нарушение этого требования Роскомнадзор их блокирует.

Под расположением хостинга подразумевается физическое местонахождение ЦОДа, на котором размещен ваш сайт. То есть, если хостинг-провайдер зарегистрирован в России, а его ЦОДы расположены, например, в Эстонии, вы нарушаете закон и попадаете под блокировку сайта.

5. Указать email для обращений пользователей по персональным данным

Укажите email, куда физическое лицо может обратиться, чтобы его персональные данные были удалены, заблокированы и вообще, куда он может задать вопрос по персональным данным. Email можно указать в документах, описанных выше.

Важно, чтобы указанный email был рабочим, информация на нем регулярно проверялась, чтобы не пропустить запрос пользователя на удаление персональных данных с сайта.

6. Подать уведомление об обработке персональных данных в Роскомнадзор

Вам или агентству разработчику сайта необходимо подать уведомление об обработке персональных данных в Роскомнадзор, для этого нужно перейти по ссылке и помимо всего прочего указать там адреса местонахождения баз персональных данных и перечень персональных данных, которые в них содержатся.

7. Заключить соглашение о безопасности персональных данных с разработчиком сайта

В случае если агентство разработчик сайта имеет доступ к персональным данным из заявок или базы данных сайта (например, сайт находится на технической поддержке), вам необходимо заключить соглашение с агентством об обеспечении безопасности персональных данных. В соглашении должно быть указано, какие персональные данные агентство может обрабатывать, в каких целях и какие действия с ними выполнять. Также там должны быть требования по защите персональных данных.

8. Поставить на сайте дисклеймер

До 1 июля 2017 г. поставить на сайте дисклеймер, который будет уведомлять посетителей сайта, что его персональные данные обрабатываются на сайте в целях его функционирования и, если он не согласен, то должен покинуть сайт. Примеры дисклеймеров вы можете посмотреть на сайтах marykay.ru и bmw.ru. В противном случае это будет являться согласием на обработку его персональных данных.

Пример: как выглядит дисклеймер – это узкий банер во весь сайт

Владислав Халяпинаккредитованный преподаватель в области информационной и кадровой безопасности. С 2005 по 2012 г. работал на позициях от главного специалиста до начальника отдела в коммерческих и государственных организациях. С 2013 г. преподаватель курсов по защите персональных данных, построения систем защиты информации. Связаться со мной можно, написав на почту hvv@roxi.ru. Присылайте вопросы, предложения по новым темам, они обязательно войду в новые статьи по вопросам обработки ПДн