В этой статье мы понятно и доступно (ну, по возможности) попытаемся объяснить, как жить обычному онлайн бизнесу в эпоху ФЗ N 152 “О персональных данных”. Точнее расскажем, как от него защищаться.
Итак, для начала следует запомнить, что ФИО, телефон, почта, адрес и прочие данные, характеризующие конкретного человека, являются персональными. А получение их, даже в результате телефонного разговора, является их обработкой. Таким образом, под новый прекрасный закон попадает деятельность абсолютно любого коммерческого web-сайта. Ура, товарищи.
С 01 июля 2017 года в статье 13.11 КоАП РФ появились новые составы нарушений законодательства в области персональных данных (было 1, стало 7). Размер штрафов увеличился с 10 000 рублей до 290 000 рублей. Максимальный размер штрафов грозит тем, кто нарушил абсолютно все требования по п. 1 - 6 ст. 13.11 КоАП РФ. Это довольно сложно, но об этом ниже.
Кого будут штрафовать?
Штрафовать будут операторов, то есть тех, кто персональные данные обрабатывает, в том числе собирает. Простой запрос имени и номера телефона (или e-mail) уже является обработкой. Роскомнадзору для подтверждения, что вы обрабатываете персональные данные, будет достаточно увидеть на вашем сайте форму обратной связи, подписки на рассылку или возможность зарегистрироваться в личном кабинете. В этих случаях вы подпадаете под действие закона, и в отношении вас возможно проведение проверки на соблюдение законодательства в области персональных данных. Поэтому мы и сделали Защитника от ФЗ N 152.
Мы клиенты Callibri.ru, как быть легальным?
Защитник от ФЗ 152 - система формирования документов, чтобы и ваш, и наш бизнес работали в полном соответствии с требованиями ФЗ N 152.
Вот что необходимо сделать:
Перейти в соответствующий раздел кабинета: "Проекты-Имя проекта-Настройки-Защитник от ФЗ 152" и включить защитника.
Ввести и сохранить все необходимые данные. Мы сформируем 2 основных документа (Согласие и Политику) и разместим галочку согласия на всех нужных формах Callibri:
Ссылку на Политику (которую мы представим) необходимо опубликовать на всех страницах сайта (например, в “подвале”).
Скачать и подписать приказ, который даст силу этим документам. Его придется хранить у себя в надежном месте.
Убедиться, что никакими другими сервисами персональные данные на сайте не собираются и не обрабатываются.
Разместить под каждой формой сбора данных чекбокс и текст «Даю согласие на обработку моих персональных данных, с условиями Политики ознакомлен». Слова «Согласие» и «Политики» являются ссылками на соответствующие Согласие и Политику. Без проставления галочки в чекбоксе данные прислать вам невозможно.
Вести журнал, в котором будут фиксироваться, какие данные предоставлены пользователем, дата, время получения согласия и данных. Это стандартная фича Callibri - единый журнал лидов
Спать спокойно. Все это займет 15 минут в погожий день. И все, после этого любая проверка вашего сайта покажет, что вы чисты и пушисты.
Так это выглядит:
Важно!
В настройках Защитника указывайте только те персональные данные, которые вы реально собираете, не указывая ничего лишнего. Вариант больше - лучше здесь не работает. Иначе вас могут привлечь к ответственности по ч. 1 ст. 13.11 КоАП РФ.
Это все? Теперь я не прилипну на 290 т.р.?
Не совсем. Защитник работает только в том случае, если:
способы сбора данных не отличаются от тех, что вы выбрали в настройках;
цели сбора данных не отличаются от тех, что вы выбрали в настройках;
вы не используете для сбора и обработки другие сервисы, кроме Callibri.ru.
Во всех остальных случаях у вас могут быть проблемы. О них ниже.
У меня используются другие сервисы, которые собирают персональные данные. Как быть легальным?
Удалить все к чертям. Мы не можем нести ответственность за соответствие других сервисов требованиями ФЗ N 152 «О персональных данных». Хорошо, что в нашем портфеле есть все необходимое: коллтрекинг, обратный звонок, онлайн звонок, заявка и онлайн консультант. Подключить Callibri
Но если вы очень хотите использовать другие сервисы и/или ваши цели и/или способы обработки персональных данных отличаются от предложенных Callibri.ru, то вам придется привлечь внешних консультантов для разработки своих документов в отношении обработки персональных данных, внедрить их и ждать проверки Роскомнадзора и штрафов по ее результатам. А это до 290 т.р.
От чего именно спасет Защитник?
Во-первых, ваш сайт будет соответствовать всем требованиям законодательства (п. 2 ч. 2 ст. 5, ч. 1, ч. 2 ст. 18.1 ФЗ N 152 «О персональных данных»). Это значительно снижает риск инициации проверки и повышает вашу надежность в глазах клиентов. Во-вторых, у Роскомнадзора не будет оснований:
Оштрафовать вас на сумму до 30 000 руб. за непредоставление неограниченного доступа к Политике (ч. 3 ст. 13.11 КоАП РФ). Например: Оштрафовать за отсутствие на сайте Политики.
Оштрафовать вас на сумму до 50 000 руб. за обработку персональных данных, которая несовместима с целями сбора. Например: осуществляете доставку товара и запрашиваете скан паспорта, когда для доставки вам было бы достаточно просто ФИО и адреса.
А вы уведомите за нас про нас Роскомнадзор?
Нет, не уведомим. В этом нет необходимости. Слава богу. Пока что.
Почему это не надо уведомлять Роскомнадзор?
Согласно ч. 2 ст. 22 ФЗ N 152 оператор вправе осуществлять обработку персональных данных без уведомления Роскомнадзора в некоторых случаях. Все не будем перечислять, но ключевой из них: Полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; Т.е. если персданные, которые вы собираете и обрабатываете
не предоставляются третьим лицам без согласия субъекта персональных данных;
используются исключительно для исполнения договора, в связи с заключением которого они получены, и заключения договоров с субъектом персональных данных;
Уведомлять Роскомнадзор не обязательно!
А многие говорят, что надо…
Закон спорный, есть много мнений, трактовок и спекуляций недобросовестных юристов на этой теме. А судебной практики пока нет. Поэтому запомните: глобально у вас есть 3 варианта
Быть полностью нелегальным. Тут нам говорить не о чем. Риски гораздо выше, чем описаны в этой статье;
Работать легально, благодаря документам от Callibri. Но не уведомлять Роскомнадзор;
Работать легально и уведомить Роскомнадзор и появиться в реестре операторов персональных данных.
Мы рекомендуем 2-й вариант, т.к. в этом случае ваши затраты времени и сил составят 30 минут (на чтение этой статьи, заполнение анкеты и подписание приказа). А максимальный штраф, если Роскомнадзору что-то не понравится (то есть за отсутствие уведомления), будет 5 тысяч рублей (для юридических лиц). В 3-м варианте вам и сил и денег понадобится больше, а вероятность плановой проверки существенно вырастет. Поэтому мы считаем, что большинству бизнесов нашего конструктора защиты от ФЗ N 152 будет достаточно.
Надо предупреждать всех посетителей про обработку Cookie файлов?
Тут как всегда, два юриста - три мнения. Наши юристы считают, что сама по себе информация из cookie-файлов не является персональными данными, в отрыве от прочей информации о пользователе. Ходят слухи, что и Роскомнадзор пока не обращает на это внимание. Все же, если вы хотите полностью застраховаться, попросите разработчиков вашего сайта добавить всплывающее окно с примерно таким текстом: “Согласен на обработку cookies” (с кнопочкой “Ок”).
Вебвизор видит персональные данные. Что делать?
Не стоит беспокоиться! Согласно рекомендациям Яндекса, мы защитили все поля, в которых могут быть указаны персональные данные, специальным классом. Благодаря этой фишке, вебвизор не будет видеть перс.данные пользователей, которые они вбивают в формы на сайте.
Словарик
А еще мы решили указать все термины, чтобы у вас совсем не осталось вопросов. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе: его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, e-mail, номер телефона, другая идентификационная информация (см. ФЗ-152, ст.3, 10, 11).
В настоящий момент перечень персональных данных не является закрытым, если вы сомневаетесь, являются ли данные персональными, обратитесь к юристам за разъяснениями.
Обработка персональных данных - это любое действие или совокупность действий, включая сбор, запись, систематизацию, накопление, хранение, уточнение , извлечение, использование, передачу (распространение, предоставление доступа), обезличивание, блокирование, удаление, уничтожение персональных данных. Оператор - юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
А что делать если наши юристы уже сделали пакет документов?
Тогда вы зря потратили время на чтение всей этой заметки :) Если у вас уже есть документы, то поставьте соответствующую галочку в настройках защитника (см. скриншот ниже) и укажите ссылки на ваши документы. После сохранения галка в нашем виджете будет ссылаться на ваши файлы: На этом все! Остались вопросы? Задавайте!
Комментарии