Выберите услугу:
Поисковое продвижение
Продвижение в социальных сетях
Комплексное продвижение
Название компании *
Ваше ФИО *
Контактный телефон *
E-mail для связи *
Комментарий к заявке
Отправить заявку
ЗОЛОТОЙ СЕРТИФИЦИРОВАННЫЙ ПАРТНЕР 1С-БИТРИКС. Разработка и продвижение сайтов

«Закон о персональных данных»: соблюдать нельзя игнорировать

29 Мая 2017

Ужесточение штрафов за нарушения правил сбора, хранения и обработки персональных данных, грядущее 1 июля 2017 года, заставили снова вспомнить о принятом более 10 лет назад законе № 152 – ФЗ. И теперь ясно, что привлечь внимание Роскомнадзора может абсолютно любой сайт. Почему это так, и что необходимо сделать уже сейчас, расскажем в статье.

Кто рискует?

Согласно определению в законе, информационной системой персональных данных считается «информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств» (п.9 ст.3).

Каждый сайт, собирающий данные, «прямо или косвенно относящиеся к определенному или определяемому физическому лицу», считается оператором персональных данных. Определение этому понятию дано в п.2 ст.3: «оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных».

Другими словами, если на сайте ведутся продажи, собираются сведения для рассылки и таргетированной рекламы, присутствует форма обратной связи (все одновременно или что-то одно), - необходимо соблюдать предписания закона и уведомить Роскомнадзор о своей деятельности.

Исключений немного: это случаи обработки данных только сотрудников компании и сотрудничество по договору, где указывается цель и срок обработки персональных данных. Также обращаться в надзорный орган необязательно, если пользователи сами делают свои данные общедоступными (например, на виртуальной доске объявлений).

По сути, любой сайт, будь то информационный ресурс или интернет-магазин, является оператором персональных данных. И его владелец может быть оштрафован за несоблюдение требований закона.

Что нужно выполнять?

Из-за расплывчатости определения персональных данных, таковыми могут считаться не только контакты пользователей, но и сведения  об их поведении на сайте, используемые для последующей рекламы. Полученными и обрабатываемыми данными являются и сведения, указанные при оформлении заказа, даже если покупка совершена не была. И это определяет порядок работы с ними.

  1. Необходимо получать согласие на сбор, хранение и обработку данных. Поскольку сделать это в письменной форме проблематично, допускаются такие способы, как подтверждение согласия с помощью триггерной рассылки или чек-бокса («галочки» в форме отправки сообщения). Форма сообщения упомянута не случайно – уже известны случаи штрафа за отсутствие «галочки».
  2. Необходимо информировать пользователей о целях сбора данных. Причем, за получение избыточных сведений тоже могут оштрафовать. Это не значит, что нужно отказаться от cookie и анкетирования. Но каждый человек должен знать, зачем он сообщает о себе ту или иную информацию, даже если это дата рождения или любимая торговая марка.
  3. Требуется уведомить Роскомнадзор обо всех аспектах работы с персональными данными. Это можно сделать письменно  или на сайте надзорного органа. Понадобится указать:
  • используемые системы сбора данных (Яндекс.Метрика, Google.Analytics, CRM, 1С и др.), а также характер получаемых сведений и цели их получения;
  • физический адрес сервера хранения базы данных (только РФ), название провайдера хостинга и сведения о его владельце;
  • категории пользователей и другие сведения о работе с их персональными данными.
  1. Необходимо обеспечить своевременное удаление или обезличивание данных по истечении оговоренного срока их использования или по требованию физического лица.

Все это требовалось и раньше, но выполнялось редко. Теперь же полномочия по проверке выполнения закона переданы Роскомнадзору, и проверки, в том числе, внеплановые, участились. Увеличение размера штрафов и числа поводов для них, надо полагать, количество проверок не сократит. Скорее, наоборот.

В ходе проверки потребуется предоставить пакет документов. И это не только утвержденная руководством Политика конфиденциальности, но и договоры со сторонними организациями, осуществляющими обработку данных (например, рекламное агентство), и также справки о характере работы используемых систем и приложений.

Защищенность баз данных тоже имеет большое значение, но проверять ее степень Роскомнадзор не уполномочен. Этим занимается ФСТЭК, но частные компании вне поля зрения.

Что делать?

Для выполнения требований закона понадобится:

  • разместить на сайте «Согласие на обработку персональных данных» и «Политику конфиденциальности», причем, ссылку на первый документ желательно указать везде, где так или иначе оставляются сведения; в документах необходимо сообщить о собираемых данных, целях их получения и передаче третьим лицам (кому и зачем);
  • предупредить посетителей о сборе cookie, разъяснив, что это и для чего используется (у человека должна быть возможность отказаться от предоставления данных!);
  • заключить соглашения об обработке персональных данных со всеми агентствами и организациями, в которые передаются сведения;
  • указать адрес электронной почты для получения вопросов и претензий от посетителей сайта;
  • подать уведомление в Роскомнадзор (отсутствие официального статуса «оператор персональных данных» не освобождает от ответственности и не гарантирует отсутствие проверок).

Важно! Поскольку проверяется не сам факт наличия «Соглашения» и «Политики», а соответствие собираемых данных целям компании, использовать чужие документы или шаблоны нельзя. Рекомендуется проконсультироваться с юристами.

А если ко мне не придут?

Роскомнадзор проводит проверки не только по плану, но и по заявлениям граждан. Следовательно, любое «неверное движение» (рассылка по непонятной причине, навязчивое преследование таргетированной рекламой) может стать причиной для жалобы. А значит, проверки и, с большой долей вероятности, суда и штрафа.

Не повод для паники

Правильная работа с персональными данными необходима в любом случае, и ужесточение штрафов – повод наконец-то побеспокоиться, в первую очередь, о собственных клиентах. В конце концов, подготовить документы нужно один раз, а спокойствие и себе, и посетителям, будет обеспечено надолго. И вывод один: соблюдать. Нельзя игнорировать. 


«Закон о персональных данных»: соблюдать нельзя игнорировать

 
ссылка на эту статью:

Загрузить презентацию о поисковом продвижении
Для просмотра требуется Adobe Acrobat
Загрузить презентацию о продвижении в социальных сетях
Для просмотра требуется Adobe Acrobat
Загрузить презентацию о комплексном продвижении
Для просмотра требуется Adobe Acrobat
Знакомьтесь, наш клиент

Группа компаний «СКМ-МЕБЕЛЬ»


Один из крупнейших поставщиков комплектующих материалов для производства мебели и строительно-плитной продукции в Урало-Сибирском регионе.