Согласно Федеральному закону № 152-ФЗ «О персональных данных», каждая организация обязана правильно обрабатывать и осуществлять защиту персональных данных своих работников, клиентов и партнеров.
Если ваша организация обрабатывает персональные данные, запрашивает сведения клиентов на сайте или в офисе организации, по закону вы обязаны защитить эту информацию, независимо от сферы деятельности вашей компании - будь то финансовый/банковский сектор, e-commerce или госсектор, ее размера - производство со штатом более 100 тысяч сотрудников или небольшой офис.
Что будет если не выполнить требования ФЗ 152?
В этом случае вы несете гражданскую, уголовную, административную и иную ответственность, предусмотренную законодательством РФ
- Штраф до 300 000 рублей
- Блокировка сайта компании
- Дисквалификация руководителя
Сложность для владельцев интернет-бизнеса заключается в том, что под персональными данными Роскомнадзор понимает все, то что пользователь указывает о себе на сайте, а также сведения о его геопозиции и IP-адрес.
Вы являетесь оператором персональных данных
если на вашем сайте есть
Как обезопасить себя владельцу сайта
1. Создайте текст «Согласие на обработку персональных данных клиентов-физических лиц».
2. Под каждой формой, где вы запрашиваете информацию о личных данных, обязательно укажите: «Нажимая на кнопку ___, я даю согласие на обработку персональных данных. Выделенные слова должны быть ссылкой на текст «Согласие на обработку персональных данных клиентов-физических лиц»..
3. Напишите и утвердите свою Политику в отношении обработки персональных данных. Она должна быть общедоступна. Разместите ссылку на видном месте на сайте/мобильном приложении. Согласие на этот документ пользователь не должен давать.
4. Перенесите сервер сайта на территорию России и узнайте у технической поддержки хостинг-провайдера адрес местонахождения сервера. В законе есть много противоречий относительно того, обязательно ли нахождение на отечественных серверах. Точной информации нет, но чтобы себя обезопасить – сделайте российский сервер. Если все-таки хотите попробовать сервер другой страны – отправьте запрос в Роскомнадзор или Минкомсвязь.
5. Сделайте специальный канал связи (почта/отдельный телефонный номер), где человек сможет проконсультироваться по вопросу персональных данных, а также подать запрос об удалении и блокировки персональных данных.
6. Удаляйте любые персональные данные по первому требованию человека.
7. Владельцам сайтов и агентствам нужно подать уведомление об обработке персональных данных в Роскомнадзор и кроме прочего указать там адреса местонахождения баз персональных данных, а также перечень персональных данных, которые они содержат.
8. Поставьте на сайте уведомление, что персональные данные пользователей будут обрабатываться в автоматическом режиме, и если он этого не хочет, то должен покинуть сайт.
9. Если владелец сайта имеет доступ к персональным данным из заявок, баз данных или просто привлекает клиентов, нужно заключить соглашение об обеспечении безопасности персональной информации, где будет указано, какие персональные данные агентство/студия может обрабатывать, с какой целью и какие действия с ними выполнять.
10. Хранить базы данных от взлома и утечки в надежном месте, защищать их от взлома и утечки.
Обратите внимание, что помимо денежных штрафов, за нарушение законодательных норм о персональной информации пользователей предусмотрена также уголовная ответственность.
Документы, которые должны быть размещены на сайте
На сайте обязательно должны быть размещены два файла, с указанием всей правовой информации:
1) Пользовательское соглашение
2) Политика конфиденциальности