С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 290 тысяч для всех, у кого есть сайт

Персональные данные
Автор статьи
Анна Ольяная

Большинство владельцев сайтов хоть краем уха, но слышали о нарушении законодательства в области персональных данных. Если ранее большое количество владельцев сайтов закон проигноировали, теперь с ним придется считаться.

7 февраля этого года внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных. Они вступят в силу 1 июля 2017 года и коснутся всех, кто собирает, обрабатывает и хранит любые персональные данные.

Исполнение закона поручено Роскомнадзору, который сейчас активно блокирует сайты в соответствии с другими законами, а значит и за исполнение этого примется.

Что это значит?

Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету, — это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения — это тоже обработка персональных данных.

За отсутствие на сайте политики конфиденциальности, ИП могут оштрафовать на 10 тысяч рублей, а ООО — на 30 тысяч. А если обрабатывать персональные данные без согласия клиента интернет-магазина или подписчика на информационный курс, то штраф для юридического лица составит до 75 тысяч рублей. Директору компании или предпринимателю придется заплатить до 20 тысяч.

Что нужно делать, чтобы не нарушать закон о персональных данных?

Что делать? Как?
получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных Во всех формах обратной связи на сайте поставить галочку по умолчанию: «Согласен на обработку персональных данных.». Без галочки форма не должна отправляться.
публиковать в открытом доступе информацию о работе с персональными данных клиентов и посетителей Составить текст «Политики конфиденциальности» (или взять на другом сайте с аналогичными вашим целями и задачами по сбору данных, доработав под себя) и разместить на сайте.
запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте Проверить все формы и анкеты на сайте на предмет лишних данных. Удалить ненужные поля.
использовать данные только для тех целей, которые указаны в документах и о которых пользователя предупредили; Не передавать никому свои клиентские базы. Не использовать не по назначению.
сообщать по запросу пользователя, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали Организовать единую систему хранения данных внутри компании. Научить сотрудников, работающих с данными, ей пользоваться.
удалять по первому требованию данные любые персональные данные, которые у вас имеются о пользователе; В рассылках в обязательном порядке реализовать возможность отписаться от рассылки.
зарегистрироваться в Роскомнадзоре. Он внесет информацию об операторе в общий реестр и будет выдавать по запросу. Необходимо подать уведомление онлайн на сайте Роскомнадзора. Началом деятельности в качестве оператораперсональных данных, укажите дату регистрации компании.

Какие документы нужно подготовить и где их разместить, чтобы не получить штраф?

Четкого перечня документов Законодательством не предусмотрено, при этом их должно быть достаточно для выполнения обязанностей, предусмотренных Законом о персональных данных.

Ниже представлен перечень документов, которые могут потребовать контролеры из Роскомнадзора:

  1. Документы, подтверждающие исполнение оператором ПДн требований статьи 22 ФЗ №152:
  • Уведомления Роскомнадзора о намерении осуществлять обработку персональных данных.
  1. Положения, приказы и иные документы, регламентирующие обработку ПДн:
  • Перечень ПДн и иных объектов, подлежащих защите,
  • Политика в отношении обработки ПДн (общедоступная, на сайте),
  • Положение о коммерческой тайне,
  • Положение об обработке и защите персональных данных работников,
  • Положение об обработке и защите персональных данных клиентов,
  • Приказ о назначении уполномоченного сотрудника, ответственного за обеспечение информационной безопасности и защиту персональных данных,
  • Приказ о допуске сотрудников к обработке ПДн.
  1. Документы и приказы, регламентирующие вопросы проектирования системы защиты ПДн:
  • Положение о мерах по организации защиты информационных систем персональных данных (ИСПДн),
  • Модель угроз,
  • Акт определения уровня защищенности ПДн при их обработке в информационных системах персональных данных (ИСПДн),
  • План мероприятий по обеспечению безопасности ПДн,
  • Перечень ИСПДн,
  • Приказ о проведении анализа угроз безопасности ПДн.
  1. Положения, приказы и иные документы, регламентирующие вопросы обеспечения информационной безопасности (ИБ):
  • Положение об организации режима безопасности помещений, где осуществляется работа с ПДн (инструкция),
  • Положение об антивирусной защите,
  • Положение о парольной защите,
  • Инструкция по проведения антивирусного контроля в информационной системе персональных данных,
  • Регламент проведения мероприятий по контролю процессов обработки и системы защиты ПДн,
  • Положение о порядке хранения и уничтожения носителей ПДн,
  • Инструкция о порядке резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в информационных системах персональных данных,
  • Регламент проведения инструктажа по информационной безопасности,
  • План внутренних проверок режима защиты персональных данных,
  1. Должностные инструкции и шаблоны форм документов, акты и договора, касающиеся обработки ПДн:
  • Должностные инструкции сотрудников, обрабатывающих ПДн
  • Должностные инструкции сотрудников, обеспечивающих ИБ
  • Инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций
  • Соглашения о неразглашении работниками персональных данных
  • Шаблоны форм согласия субъекта ПДн данных на обработку его ПДн
  • Форма Акта об уничтожении информации, размещенной на электронных носителях и содержащей персональные данные
  • Типовая форма письменного согласия субъектов персональных данных на обработку его персональных данных
  • Типовая форма ответа Субъекту персональных данных на его запрос
  • Акты об уничтожении персональных данных субъекта(ов) персональных данных
  • Договора с третьими лицами, которым Вы передаете персональные данные на обработку, или договора с операторами ПДн, которые передают Вам, как третьему лицу,персональные данные для их обработки (например: договора транспортными компаниями, с банками, страховыми компаниями и т.п.). Такие договора должны содержать перечень операций с ПДн, которые будут совершаться третьим лицом, цели обработки, обязанность третьего лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, требования к защите обрабатываемых персональных данных.
  • Документы, подтверждающие Ваше право обработки персональных данных. Например, согласие субъекта ПДн, договор с субъектом ПДн, договор с оператором ПДн, покоторому Вы являетесь третьим лицом, которому оператор ПДн поручает обработку ПДн.
  1. Журналы, обязательные к ведению в делопроизводстве, связанном с обработкой персональных данных:
  • Журнал инструктажа сотрудников по вопросам ИБ,
  • Журнал учета обращений и запросов субъектов ПДн, их законных представителей и государственных контролирующих органов,
  • Журнал учета носителей информации информационной системы персональных данных,
  • Журнал учета съемных и мобильных носителей информации,
  • Журнал учета мероприятий по контролю соблюдения режима защиты персональных данных в информационных системах,
  • Журнал учета применяемых технических средств защиты ИСПДн,
  • Журнал учета мероприятий по контролю обеспечения защиты персональных данных,
  • Электронный журнал обращений пользователей информационной системы к ПДн,
  • Журнал периодического тестирования средств защиты информации,
  • Журнал по учету мероприятий по контролю государственными и муниципальными органами.

Здесь вы можете скачать все необходимые документы: http://www.freshdoc.ru/zashita_personalnyh_dannyh/docs/instrukcii/instrukcija_administratora_ispdn/ - если знаете точно, какие документы вам нужны.

Этот пакет документов необходимо хранить в распечатанном виде. Все инструкции и регламенты должны быть подписаны сотрудниками.

Докажите, что это мой сайт!

Достаточно распространенный вопрос – как будет установлено, что сайт принадлежит компании, если доменное имя и хостинг оформлены на частное лицо.

Если отсутствует договор, то напрямую данную информацию установить невозможно. Принадлежность сайта можно установить только по косвенным признакам. Например, по указанной на сайте информации, относящейся к вашей компании (адрес, телефонный номер и так далее). Сайт могут заблокировать на время проверки принадлежности компании.

Подготовьте все и спите спокойно)

Все перечисленное может вам и не пригодиться, Роскомнадзор может и не прийти к вам с проверкой. Но, если проверка будет организована, а у вас не окажется нужных документов это чревато штрафами и блокировкой сайта сроком до 90 дней. А это повлечет за собой очень серьезные последствия для вашего бизнеса.

В качестве иллюстрации к статье используется афиша к художественному фильму Snowden, 2016