ФЗ "О персональных данных": все о ФЗ №152
Бум этого лета - поправки в статью 13.11 Кодекса РФ об административных правонарушениях по поводу нарушений Федерального закона № 152 от 27.07.2017 «О персональных данных» (далее ФЗ). Они вступили в силу 1 июля 2017 года и коснулись всех, кто собирает, обрабатывает и хранит любые персональные данные. И если вы думаете, что вас они не коснулись, тогда это письмо именно для вас. В письме мы расскажем:
● зачем нужен этот закон;
● ответственность за нарушение закона;
● что нужно сделать, чтобы не нарушать закон.
Зачем нужен этот закон
Целью ФЗ является обеспечение защиты прав и свобод человека при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну (
Статья 2 ).
В зоне действия данного ФЗ - регулирование отношений, возникающих при обработке персональных данных ( Статья 1 ).
В статье 3 ФЗ указаны основные понятия, среди которых в том числе:
-
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Такими данным являются имя, фамилия, отчество, фотография, адрес (а том числе адрес электронной почты), номер телефона, дата и место рождения, семейное положение, уровень доходов, ссылка на страницу в социальных сетях или личный сайт и другая информация, позволяющая идентифицировать субъекта и касающиеся его личности.
-
Оператор - лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющие обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
-
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Ответственность за нарушение закона - порядок штрафов
Ответственность за нарушение ФЗ регулируется статьей 13.11 КоАП.
В данном тесте рассматривается ответственность за правонарушения только юридических лиц:
1. Обработка персональных данных, несовместимая с заявленной целью ил нарушающая законодательство: 30-50 тысяч рублей;
2. Обработка персональных данных без наличия письменного согласия или с нарушением требований к составу сведений, включаемых в данное согласие: 15-75 тысяч рублей.
3. Оператор не опубликовал или не обеспечил доступ к документу, определяющему его политику в области обработки и защиты персональных данных: 15 – 30 тысяч рублей.
4. Оператор не предоставил субъекту персональных данных сведений, касающихся обработки его персональных данных: 20-40 тысяч рублей.
5. Оператор в сроки, установленные законодательством, не выполнил требования субъекта персональных данных об уточнении, блокировании или уничтожении его данных, если эти данные устарели, являются неполными или не нужны для заявленной цели обработки: 25 – 45 тысяч рублей.
6. Оператор при обработке персональных данных без использования средств автоматизации не обеспечил сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, распространение, изменение, копирование и т.д.: 25-50 тысяч рублей.
Что нужно сделать, чтобы не нарушать закон?
Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных ФЗ (
Статья 5 ), подразумевающих под собой следующее:
-
Обработка персональных данных должна осуществляться на законной и справедливой основе.
-
Объем и обработка персональных данных должны соответствовать заранее поставленным целям.
-
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
-
Оператор долен при обработке персональных данных обеспечивать их точность и достаточность, а в необходимых случаях и актуальность.
-
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Сбор, запись, обновление и хранение персональных данных должно осуществляться с использованием баз данных, которые находятся на территории Российской Федерации ( Статья 18 ). За пределы России передача персональных данных осуществляется в исключительных случаях, описанных в статье 12.
Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных ( Статья 19 )
Оператор должен зарегистрироваться в Реестре операторов персональных данных и уведомить Роскомнадзор об обработке персональных данных до ее начала с указанием обоснования и целей подобной обработки, категорий субъектов, чьи персональные данные планируется обрабатывать, характера этих данных, мер по обеспечению безопасности персональных данных и исполнения требований законодательства ( Статья 22 ).
Необходимая документация на сайте для разных типов клиентов (сайт каталог, сайт с оплатой)
Оператор обязан опубликовать документ, определяющий его политику в отношении обработки, хранения и защиты персональных данных (
Статья 18.1 ). Это может быть, например, Положение о работе с персональным данными, в котором описывается какие персональные данные каким образом и для каких целей обрабатываются владельцем сайта, где и как хранятся. Положение должно быть доступно пользователю сайта в любой момент.
Помимо этого необходимо разработать внутренние регламенты и инструкции для сотрудников с указанием порядка работы с персональными данными клиентов, их хранения. Эти документы в открытый доступ выкладывать не нужно.
Обработка персональных данных должна осуществляться только с согласия субъекта персональных данных в письменной форме или в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. ( Статья 9 ). Субъект имеет право на получение информации о том, какие его персональные данные имеются у оператора, кем, как и для каких целей они обрабатываются, кому передаются и другие подобные сведения согласно ФЗ ( Статья 14 ).
По этой причине, если пользователь оставляет на сайте о себе какие-либо сведения (заполняет форму для участия в опросе, оставляет свои координаты для дальнейшей связи с оператором, регистрируется на сайте и т.п.), необходимо сделать обязательным согласие на обработку персональных данных, добавив в форму, заполняемую пользователем, пункта (галочки) с указанием ссылки на Положение или специально разработанное соглашение на обработку персональных данных. Это соглашение может быть уникальным для каждого случая или единым с описанием того, для каких целей какие данные обрабатываются. ( Статья 9 ). Дополнительно, при заключении договора в его текст можно добавить пункт об условиях обработки данных.
Примеры реализации закона на разных сайтах:
-
Леруа Мерлен и как реализовано при оформлении заказа в корзине. Документы: правила торговли и правила обработки персональных данных
Специалисты компании помогут разобраться в интересующим вас вопросе. Заполните форму ниже.