В феврале 2017 года органами власти приняты поправки в статью 13.11 КоАП о нарушениях в области персональных данных. С 01 июля 2017 года поправки вступают в силу, в соответствии с ними несоблюдение закона сулит гораздо большие штрафы. В первую очередь это относится к тем, кто производит сбор, обработку и хранение любых персональных данных.
Выросли не только суммы, но и сами штрафы были разделены по нарушениям. Теперь нарушений может быть несколько, и платить придется по каждому отдельно. Так, за отсутствие политики о конфиденциальности компания рискует быть оштрафованой на 30 тыс. рублей, а индивидуальный предприниматель - на 10 тыс. Другое дело обработка персональных данных без согласия пользователя, будь то онлайн магазин или услуги по дистанционному обучению, штраф за такое нарушение может достигнуть 75 тыс. рублей для компании. А ее директор и индивидуальный предприниматель, будут оштрафованы на сумму до 20 тыс. рублей. Если поддержка сайта реализована третьей стороной, штрафы будут выписаны на организацию или предпринимателя указанного на сайте.
На данный момент нарушения фиксирует прокуратура. Это довольно длительный процесс и штрафы не превышают 10 тыс. рублей. А потому наказания носят избирательный характер, и многие нарушители не несли ответственность. С 01 июля 2017 года полномочия по выписке протоколов передаются в Роспотребнадзор, и процедура проверки ускорится, поэтому лишний раз убедиться в законности своих действий не помешает.
К персональным данным можно отнести любую информацию, которая позволяет определить личность человека: например имя и фотография, или дата рождения и адрес электронной почты. Таким образом, если на сайте имеются поля для заполнения или форма обратной связи с пользователем, то владелец сайта становится оператором персональных данных.
Есть минимальные условия, выполнение которых позволит не совершить нарушение:
- - Зарегистрироваться в Роспотребнадзоре, или указать в политике компании, что персональные данные используются только для выполнения определенного договора;
- - Для обработки, хранения и распространения персональных данных необходимо иметь письменное согласие от каждого пользователя или покупателя;
- - У пользователей и покупателей должен быть открытый доступ к любым материалам относительно всех персональных данных;
- - Собирать только самые необходимые данные. Например, для интернет рассылки запрашивать физический адрес ни к чему;
- - Не использовать персональные данные без предупреждения человека, и в целях, не указанных в документах.
- - По запросу людей раскрывать собранную о них информацию, каким образом, и с какой целью они были получены;
- - Удалять данные для рассылки коммерческой информации (распродажи, промо акции) при первом обращении;
- - Обеспечить сохранность сбора и хранения персональных данных. Например, с помощью HTTPS-протокола.
- - Провести обучение персонала работе с персональными данными.
Если некоторые условия не выполнены, рекомендуем немедленно начать наводить порядок на сайте. В Тамбовской и Астраханской областях уже имеются прецеденты судебных разбирательств относительно персональных данных. Во всех случаях владельцы веб-сайтов были наказаны. Поэтому не стоит ждать, когда за дело возьмется Роспотребнадзор.