Small 2

Иван Шкиря

04.08.2017

ic eye

4061

Защитник от ФЗ 152 (Закона о персональных данных)

В этой статье мы понятно и доступно (ну, по возможности) попытаемся объяснить, как жить обычному онлайн бизнесу в эпоху ФЗ N 152 “О персональных данных”. Точнее расскажем, как от него защищаться.

Итак, для начала следует запомнить, что ФИО, телефон, почта, адрес и прочие данные, характеризующие конкретного человека, являются персональными. А получение их, даже в результате телефонного разговора, является их обработкой. Таким образом, под новый прекрасный закон попадает деятельность абсолютно любого коммерческого web-сайта. Ура, товарищи.

Чего бояться?

С 01 июля 2017 года в статье 13.11 КоАП РФ появились новые составы нарушений законодательства в области персональных данных (было 1, стало 7). 
Размер штрафов увеличился с 10 000 рублей до 290 000 рублей. Максимальный размер штрафов грозит тем, кто нарушил абсолютно все требования по п. 1 - 6 ст. 13.11 КоАП РФ. Это довольно сложно, но об этом ниже.

Кого будут штрафовать?

Штрафовать будут операторов, то есть тех, кто персональные данные обрабатывает, в том числе собирает. Простой запрос имени и номера телефона (или e-mail) уже является обработкой. 
Роскомнадзору для подтверждения, что вы обрабатываете персональные данные, будет достаточно увидеть на вашем сайте форму обратной связи,  подписки на рассылку или возможность зарегистрироваться в личном  кабинете. В этих случаях вы подпадаете под действие закона, и в отношении вас возможно проведение проверки на соблюдение законодательства в области персональных данных.
Поэтому мы и сделали Защитника от ФЗ N 152.

Мы клиенты Callibri.ru, как быть легальным?

Защитник от ФЗ 152 - система формирования документов, чтобы и ваш, и наш бизнес работали в полном соответствии с требованиями ФЗ N 152.

Вот что необходимо сделать:
  1. Перейти в соответствующий раздел кабинета: "Проекты-Имя проекта-Настройки-Защитник от ФЗ 152" и включить защитника.
  2. Ввести и сохранить все необходимые данные. Мы сформируем 2 основных документа (Согласие и Политику) и разместим галочку согласия на всех нужных формах Callibri:
    image.png
    image.png 52.89 KB
  3. Ссылку на Политику (которую мы представим) необходимо опубликовать на всех страницах сайта (например, в “подвале”).
  4. Скачать и подписать приказ, который даст силу этим документам. Его придется хранить у себя в надежном месте.
  5. Убедиться, что никакими другими сервисами персональные данные на сайте не собираются и не обрабатываются.
  6. Разместить под каждой формой сбора данных чекбокс и текст «Даю согласие на обработку моих персональных данных, с условиями Политики ознакомлен». Слова «Согласие» и «Политики» являются ссылками на соответствующие Согласие и Политику. Без проставления галочки в чекбоксе данные прислать вам невозможно.
  7. Вести журнал, в котором будут фиксироваться, какие данные предоставлены пользователем, дата, время получения согласия и данных. Это стандартная фича Callibri - единый журнал лидов
  8. Спать спокойно. Все это займет 15 минут в погожий день. И все, после этого любая проверка вашего сайта покажет, что вы чисты и пушисты. 

Так это выглядит:

Важно!

В настройках Защитника указывайте только те персональные данные, которые вы реально собираете, не указывая ничего лишнего. Вариант больше - лучше здесь не работает. Иначе вас могут привлечь к ответственности по ч. 1 ст. 13.11  КоАП РФ.

Это все? Теперь я не прилипну на 290 т.р.?

Не совсем. Защитник работает только в том случае, если:
  • способы сбора данных не отличаются от тех, что вы выбрали в настройках;
  • цели сбора данных не отличаются от тех, что вы выбрали в настройках;
  • вы не используете для сбора и обработки другие сервисы, кроме Callibri.ru.
Во всех остальных случаях у вас могут быть проблемы. О них ниже. 

У меня используются другие сервисы, которые собирают персональные данные. Как быть легальным? 

Удалить все к чертям. Мы не можем нести ответственность за соответствие других сервисов требованиями ФЗ N 152 «О персональных данных». Хорошо, что в нашем портфеле есть все необходимое: коллтрекинг, обратный звонок, онлайн звонок, заявка и онлайн консультант.

 
Но если вы очень хотите использовать другие сервисы и/или ваши цели и/или способы обработки персональных данных отличаются от предложенных  Callibri.ru, то вам придется привлечь внешних консультантов для разработки своих документов в отношении обработки персональных данных, внедрить их и ждать проверки Роскомнадзора и штрафов по ее результатам. А это до 290 т.р.

От чего именно спасет Защитник?

Во-первых, ваш сайт будет соответствовать всем требованиям законодательства (п. 2 ч. 2 ст. 5, ч. 1, ч. 2 ст. 18.1 ФЗ N 152 «О персональных данных»). Это значительно снижает риск инициации проверки и повышает вашу надежность в глазах клиентов. Во-вторых, у Роскомнадзора не будет оснований:
  • Оштрафовать вас на сумму до 30 000 руб. за непредоставление неограниченного доступа к Политике (ч. 3 ст. 13.11  КоАП РФ). 
    Например: Оштрафовать за отсутствие на сайте Политики.
  • Оштрафовать вас на сумму до 50 000 руб. за обработку персональных данных, которая несовместима с целями сбора.
    Например: осуществляете доставку товара и запрашиваете скан паспорта, когда для доставки вам было бы достаточно просто ФИО и адреса.

А вы уведомите за нас про нас Роскомнадзор?

Нет, не уведомим. В этом нет необходимости. Слава богу. Пока что.

Почему это не надо уведомлять Роскомнадзор?

Согласно ч. 2 ст. 22 ФЗ N 152 оператор вправе осуществлять обработку персональных данных без уведомления Роскомнадзора в некоторых случаях. Все не будем перечислять, но ключевой из них:
Полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
Т.е. если персданные, которые вы собираете и обрабатываете
  • не предоставляются третьим лицам без согласия субъекта персональных данных;
  • используются исключительно для исполнения договора, в связи с заключением которого они получены, и заключения договоров с субъектом персональных данных;
Уведомлять Роскомнадзор не обязательно!

А многие говорят, что надо…

Закон спорный, есть много мнений, трактовок и спекуляций недобросовестных юристов на этой теме. А судебной практики пока нет. Поэтому запомните: глобально у вас есть 3 варианта
  1. Быть полностью нелегальным. Тут нам говорить не о чем. Риски гораздо выше, чем описаны в этой статье;
  2. Работать легально, благодаря документам от Callibri. Но не уведомлять Роскомнадзор;  
  3. Работать легально и уведомить Роскомнадзор и появиться в реестре операторов персональных данных.
Мы рекомендуем 2-й вариант, т.к. в этом случае ваши затраты времени и сил составят 30 минут (на чтение этой статьи, заполнение анкеты и подписание приказа). А максимальный штраф, если Роскомнадзору что-то не понравится (то есть за отсутствие уведомления), будет 5 тысяч рублей (для юридических лиц).
В 3-м варианте вам и сил и денег понадобится больше, а вероятность плановой проверки существенно вырастет.
Поэтому мы считаем, что большинству бизнесов нашего конструктора защиты от ФЗ N 152 будет достаточно.

Надо предупреждать всех посетителей про обработку Cookie файлов?

Тут как всегда, два юриста - три мнения. Наши юристы считают, что сама по себе информация из cookie-файлов не является персональными данными, в отрыве от прочей информации о пользователе. Ходят слухи, что и Роскомнадзор пока не обращает на это внимание. Все же, если вы хотите полностью застраховаться, попросите разработчиков вашего сайта добавить всплывающее окно с примерно таким текстом: “Согласен на обработку cookies” (с кнопочкой “Ок”). 

Вебвизор видит персональные данные. Что делать? 

Не стоит беспокоиться! Согласно рекомендациям Яндекса, мы защитили все поля, в которых могут быть указаны персональные данные, специальным классом. Благодаря этой фишке, вебвизор не будет видеть перс.данные пользователей, которые они вбивают в формы на сайте.

Словарик

А еще мы решили указать все термины, чтобы у вас совсем не осталось вопросов.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе: его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, e-mail, номер телефона, другая идентификационная информация (см. ФЗ-152, ст.3, 10, 11).

В настоящий момент перечень персональных данных не является закрытым, если вы сомневаетесь, являются ли данные персональными, обратитесь к юристам за разъяснениями.

Обработка персональных данных - это любое действие или совокупность действий, включая  сбор, запись, систематизацию, накопление, хранение, уточнение , извлечение, использование, передачу (распространение, предоставление доступа), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор - юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

А что делать если наши юристы уже сделали пакет документов?

Тогда вы зря потратили время на чтение всей этой заметки :)
Если у вас уже есть документы, то поставьте соответствующую галочку в настройках защитника (см. скриншот ниже) и укажите ссылки на ваши документы. После сохранения галка в нашем виджете будет ссылаться на ваши файлы:
image.png
image.png 467.12 KB

На этом все! Остались вопросы? Задавайте!