Под действие Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" подпадают все владельцы сайтов, на которых есть формы заказа либо обратной связи, анкеты, формы подписки и регистрации, личные кабинеты (любой интернет-магазин или иной веб-ресурс, который ориентирован на пользователя – физическое лицо).
К сведению: персональные данные - это информация, прямо или косвенно относящаяся к субъекту персональных данных (то есть физическому лицу) (ч.1 ст.3 Федерального закона N 152-ФЗ).
Оператор - лицо, которое организует и осуществляет обработку персональных данных (ч.2 ст.3 Закона N 152-ФЗ).
Под обработкой персональных данных понимается любое действие (или совокупность действий), совершаемое с ними (с использованием средств автоматизации или без использования таковых). Под действием понимаются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ч.3 ст.3 Закона N 152-ФЗ).
Основные требования, предъявляемые законодательством к обработке персональных данных:
|
Требования, условия и принципы обработки |
Исполнение обязанности применительно к владельцу сайта: |
Штраф за нарушение |
|
Наличие законного основания для обработки персональных данных. Закрытый перечень таких оснований предусмотрен в ч.1 ст.6 Федерального закона N 152-ФЗ (наибольшую актуальность для владельцев сайтов представляют основания, указанные в п.п.1, 5, 10).
Добросовестный характер обработки персональных данных. Принципы обработки персональных данных закреплены в ст.5 Федерального закона N 152-ФЗ. Обеспечение прав субъекта персональных данных, закрепленных ст. 14, 18 Федерального закона N 152-ФЗ (ст.20, 21 Федерального закона N 152-ФЗ). |
- Организовать процесс сбора согласий на обработку персональных данных на сайте (например, путем проставления соответствующей "галочки" при оформлении заказа или регистрации на сайте). Читайте подробнее о правилах и нюансах получения такого согласия в рубрике ЭКСПЕРТиЗА ОиД № 18 от 18.09.2017 «Много «но» в правилах о согласии на обработку персональных данных». - Предоставить по запросу клиента информацию о том, какие данные о нем есть (ч.7 ст.14 Федерального закона N 152-ФЗ). - Удалить по первому требованию данные из рассылок, телефонных баз, которые используются для рекламы либо продвижения товаров и услуг (ч.2 ст.9, п.5 ст.21 Федерального закона N 152-ФЗ). Например, если клиент (пользователь сайта) отзывает данное согласие на обработку персональных данных, владелец сайта обязан по его требованию немедленно прекратить обработку его данных, в том числе рассылки писем и звонки с предложениями по телефону. - Установить и соблюдать цели, объем получаемых и обрабатываемых персональных данных, срок их хранения (ч.2 ст.5 Федерального закона N 152-ФЗ). Например, нельзя спрашивать о семейном положении и получать адрес прописки для подписки на электронную рассылку. |
Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо их обработка, несовместимая с целями сбора персональных данных (ч.1 ст.13.11 КоАП РФ). Штраф для должностного лица от 5 000 до 10 000 рублей, а для организаций - от 30 000 до 50 000 рублей.
Обработка персональных данных без письменного согласия их субъекта либо обработка персональных данных с нарушением требований к составу сведений, включаемых в письменное согласие (ч.2 ст.13.11 КоАП РФ). Штраф для должностного лица от 10 000 до 20 000 рублей, а для организаций - от 15 000 до 75 000 рублей.
Невыполнение обязанности по предоставлению субъекту персональных данных информации, касающейся их обработки (ч.4 ст.13.11 КоАП РФ). Штраф для должностного лица от 4 000 до 6 000 рублей, а для организаций - от 20 000 до 40 000 рублей.
Невыполнение обязанности по удалению или исправлению персональных данных по требованию их субъекта (ч.5 ст.13.11 КоАП РФ). Штраф для должностного лица от 4 000 до 10 000 рублей, а для организаций - от 25 000 до 45 000 рублей. |
|
Соблюдение требований к сбору персональных данных, включая требование локализации отдельных процессов их обработки (ст.18 Федерального закона N 152-ФЗ.). |
- Уведомить и получить согласие субъекта персональных данных, если сведения получены не напрямую (ч.3 ст.18 Федерального закона N 152-ФЗ). Подробнее об обязанности. |
Оператор, не представивший сведения о месте нахождения баз персональных данных, несет административную ответственность в соответствии с ст.19.7 КоАП РФ. Штраф для должностного лица от 300 до 500 рублей, а для организаций - от 3 000 до 5 000 рублей. |
|
Принятие необходимых правовых, организационных и технических мер для обеспечения безопасности обработки и защиты персональных данных (ст.18.1, ст.19, ст. 22.1 Федерального закона N 152-ФЗ). Нюансы обработки и защиты персональных данных установлены: - Постановлением Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"; - Постановлением Правительства РФ от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами"; - Приказом Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных". |
- Назначить ответственного за организацию обработки персональных данных (п.1 ч.1 ст.18.1, ч.1 ст.22.1 Федерального закона N 152-ФЗ). - Издать документ, определяющий политику в отношении обработки персональных данных. - Разработать локальные акты, устанавливающие порядок обработки персональных данных и меры по защите. Например, в положение о защите персональных данных описать ПО, аппаратные средства, физические носители, системы ключей и т.п. Все, что используется для хранения и защиты данных. Утвердить приказ о назначении лиц, имеющих доступ к персональным данным. Разработать регламенты по работе с персональными данными (п.2 ч.1 ст.18.1, ст.19 Федерального закона N 152-ФЗ). - Опубликовать в открытом доступе на сайте информацию обо всем, что касается персональных данных клиентов и посетителей (ч.2 ст.18.1 Федерального закона N 152-ФЗ). Например, это могут быть разные документы: пользовательское соглашение, или правила продажи, или уведомление об использовании персональных данных, или документ под названием "Политика конфиденциальности", и т.п. |
Невыполнение обязанности по опубликованию или обеспечению неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях по защите персональных данных (ч.3 ст.13.11 КоАП РФ). Штраф для должностного лица от 3 000 до 6 000 рублей, а для организаций - от 15 000 до 30 000 рублей. |
|
Уведомление Роскомнадзора о начале обработки персональных данных (ст.22 Федерального закона от 152-ФЗ). Порядок направления уведомлений об обработке персональных данных разъяснен в Приказе Роскомнадзора от 30.05.2017 N 94 "Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения". |
- Зарегистрироваться в Роскомнадзоре. Не требуется представление уведомления в случаях, указанных в ч.2 ст.22 Федерального закона от 152-ФЗ. В частности, если персональные данные носят общедоступный характер или обрабатываемые персональные данные ограничены исключительно фамилией, именем и отчеством субъекта. Подробнее см. в обзоре «Обработка персональных данных: как уведомить Роскомнадзор, кто и когда должен это сделать» в ПроЭЛКОД |
Оператор, который не подал уведомление в Роскомнадзор, подал уже после начала обработки персональных данных, либо уведомление содержало неполные или недостоверные сведения, несет административную ответственность в соответствии с ст.19.7 КоАП РФ. Штраф для должностного лица от 300 до 500 рублей, а для организаций - от 3 000 до 5 000 рублей. |
На заметку: подробнее об этих и других требованиях к владельцам сайтов читайте в рубрике ЭКСПЕРТиЗА ОиД № 17 от 04.09.2017 «Специальные требования законодательства к владельцам сайтов».