Что нужно знать о 152-ФЗ

С 1 июля 2017 года штрафы за нарушение ФЗ-152 «О персональных данных» значительно вырастут, поэтому тем, кто работает с российской аудиторией, важно убедиться, что на сайте нет нарушений.

Везде, где посетитель сайта оставляет свои персональные данные, он должен дать согласие на обработку этих данных. Форма обратной связи, заполнение контактов в корзине, онлайн-чаты — всё попадает под действие закона о персональных данных.

Данный материал призван ответить руководителям отделов, руководителям частных компаний и бюджетных предприятий на следующие вопросы:

Что регулирует закон «О персональных данных»?

Закон регулирует все вопросы, связанные с обработкой (получением, хранением, передачей, удалением и тд.) персональных данных физических лиц юридическими лицами, индивидуальными предпринимателями и бюджетными организациями. Организации и предприниматели обязаны правильно обрабатывать и защищать персональные данные физических лиц.

Под персональными данными понимается любая информация, относящаяся физическому лицу. На практике даже связка «ФИО» или «имя» с «адресом электронной почты» уже относится к персональным данным.

В организациях обрабатываются, как минимум, персональные данные следующих физических лиц: сотрудников; близких родственников сотрудников; кандидатов на вакантную должность; клиентов, являющихся физическими лицами.

Какие бывают персональные данные?

Персональные данные бывают разных категорий:

  • специальные персональные данные — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни — биометрические персональные данные
  • персональные данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность
  • общедоступные персональные данные — данные, сделанные физическим лицом общедоступными или содержащиеся в специальных справочниках
  • иные персональные данные — все персональные данные, не попавшие ни в одну из вышеуказанных категорий.

К обработке специальных и биометрических персональных данных предусмотрены особые требования.

Кто попадает под действие закона?

Под действие закона попадают все предприниматели, юридические лица и бюджетные организации, обрабатывающие персональные данные физических лиц. Их называют операторами персональных данных. В первую очередь закон касается компаний, работающих в следующих сферах:

  • финансы и кредитование;
  • медицина и фармакология;
  • телекоммуникации;
  • образование;
  • оффлайн и онлайн ритейл;
  • гостиничное дело;
  • реклама и digital;
  • бюджетные организации и др.

Компании из вышеуказанных сфер деятельности наиболее часто работают с персональными данными, поэтому главный регулятор в этой сфере, Роскомнадзор, внимательно следит за ними.

Примеры обработки персональных данных

В первую очередь отслеживается следующие виды обработки персональных данных:

  1. Персональные данные используются для выдачи карт лояльности
  2. Персональные данные используются для рекламных и новостных рассылок
  3. Персональные данные используются для трудоустройства сотрудника и оформления ему ДМС
  4. Персональные данные используются для оказания услуг
  5. Персональные данные используются для определения кредитоспособности клиента
  6. Персональные данные используются для регистрации на сайтах и информационных системах
  7. Персональные данные данные используются для звонков потенциальным клиентам

Какие основные требования закона?

Для простоты требования закона «О персональных данных» к операторам персональных данных можно разделить на 4 группы:

  • Подготовить пакет организационно-распорядительной документации
  • Привести процессы работы с персональными данными в соответствие с законом
  • Реализовать техническую защиту персональных данных в информационных системах.
  • Хранить базы с персональными данными на территории Российской Федерации

Далее будет разобрана каждая группа требований.

Требования закона по подготовке внутренних организационно-распорядительных документов

Закон в ст.18.1 требует от операторов персональных данных наличие локальных актов и политик, регламентирующих обработку и защиту персональных данных. Точного перечня необходимых документов не предлагается.

При этом главный регулирующий орган в области персональных данных, Роскомнадзор, во время проверок компаний запрашивает перечень необходимых документов и сведений, которые, на практике, ему передают в виде копий внутренних документов.

В связи с тем, что точного перечня документов не существует, каждый оператор составляет их по своему усмотрению на основании текста закона и подзаконных актов.

Как выглядит полный перечень необходимых документов, которых достаточно для соответствия требованиям, смотрите здесь.

Требования закона по приведению процессов работы с персональными данными в соответствие

Персональные данные данные клиентов необходимо правильно собирать, обрабатывать и передавать.

Со всеми физическими лицами, у которых вы собираете персональные данные, должен быть заключен договор или взято согласие на обработку персональных данных.

С каждым третьим лицом, которому вы передаете, предоставляете в доступ или от которого получаете персональные данные, необходимо заключить соглашение о поручении персональных данных на обработку.

Все сотрудники должны под роспись ознакомиться с внутренними документами организации по обработке и защите персональных данных и подписать обязательство о неразглашении.

В Роскомнадзор должно быть подано уведомление об обработке персональных данных.

Требования закона по технической защите персональных данных в информационных системах

Если персональные данные хранятся или как-то иначе обрабатываются в информационных системах (например, в 1С: Бухгалтерии, в базе данных сайта, CRM и других), то их необходимо защищать техническими средствами.

Для этого необходимо определить уровень защищенности персональных данных в информационных системах, составив соответствующий акт, разработать модель угроз и на основании Постановления Правительства № 1119 и Приказа ФСТЭК России № 21 составить техническое задание на систему защиты персональных данных.

После этого происходит разработка проекта системы защиты и непосредственно внедрение средств защиты. Внедрением средств защиты может заняться сама компания или компания, имеющая определенную лицензию ФСТЭК России.

Требования закона по хранению баз персональных данных на территории Российской Федерации

С 01 сентября 2015 года действует обязательное требование закона по необходимости собирать и хранить персональные данные граждан Российской Федерации только на территории России.

Особенно это требование касается иностранных компаний и российских компаний, чьи информационные системы полностью или частично располагаются за пределами Российской Федерации.

Также о месторасположении баз персональных данных необходимо уведомить Роскомнадзор.

При этом Роскомнадзор дал операторам персональных данных срок до конца февраля 2016 года, чтобы выполнить новые требования закона.

Кем проверяется выполнение требований закона?

Выполнение требований закона «О персональных данных» контролируют 3 государственных органа:

  • главный контролирующий орган, Роскомнадзор, который проверяет правильность обработки персональных данных и документы по персональным данным
  • ФСТЭК России, проверяющий выполнение требований по технической защите
  • ФСБ России, проверяющий выполнение требований по применению криптографии при обработке персональных данных

Наиболее активным из них является Роскомнадзор, который проводит более 7000 плановых и внеплановых проверок в год, тогда как ФСТЭК и ФСБ не более сотни проверок гос. сектора.

Какие основные риски при невыполнении закона?

По итогам проверок, мер систематического наблюдения и жалоб физических лиц, Роскомнадзор и другие проверяющие органы, могут накладывать штрафы, аннулировать лицензии, дисквалифицировать должностных лиц и блокировать сайты.

Основные риски:

  • наложение на организацию штрафа до 300.000 рублей
  • наложение на должностных лиц штрафа до 10.000 рублей
  • разрыв трудового договора с должностным лицом
  • запрет руководителю занимать руководящие должности на срок до 3х лет
  • блокировка сайта организации по жалобе физического лица
  • внесение компании в реестр нарушителей прав субъектов персональных данных

С начала 2015 года, по данным Роскомнадзора, было взыскано штрафов в общей сложности на 174.000.000 рублей с организаций и должностных лиц.

С 01 сентября 2015 года Роскомнадзор имеет право без проверки на основании жалобы физического лица заблокировать сайт организации за несоблюдение требований закона «О персональных данных».

Как лучше всего выполнить требования закона?

Есть 5 способов выполнить требования закона:

  1. собственными силами;
  2. привлечь юриста;
  3. обратиться к системному интегратору;
  4. «ждать, пока грянет гром»;
  5. использовать сервисы автоматизированной подготовки документов по персональным данным.

Далее мы рассмотрим каждый из них по отдельности.

Как лучше всего выполнить требования закона? Собственными силами

Один из самых доступных и дешевых способов выполнения закона — делегировать обязанности на определенного сотрудника. Но данный способ только на первый взгляд кажется таким привлекательным.

Чтобы выполнить требования закона, необходимо не только знать сам закон «О персональных данных» и подзаконные акты, но также разбираться в технических аспектах, чтобы описывать информационные системы персональных данных в организационно- распорядительной документации.

На поиск и разработку шаблонов документов по персональным данным, изучение законодательства и практики уйдет достаточно много времени, превышающее 1 и даже 2 месяца. И это время сотрудник должен заимствовать из времени, затрачиваемого на исполнение должностных обязанностей. К тому же сотрудник никогда не даст гарантии на результат и может не захотеть быть ответственным за выполнение закона.

Как лучше всего выполнить требования закона? Привлечь юриста

Привлечение юриста в вопросах касающихся законодательства, это то, что приходит в голову многим руководителям. Это достаточно хороший способ выполнить закон, если вы много лет работаете с юристом или юридической компанией и у них имеются необходимые знания в информационной безопасности.

Закон «О персональных данных» относится к законодательству по информационной безопасности и его преподают соответствующим специалистам в ВУЗах.

Для подготовки документов по персональным данным помимо знания самого закона, необходимо знать также подзаконные акты технического содержания и уметь регламентировать технические моменты.

При выборе такого варианта, уточняйте у юриста, какие именно документы он будет разрабатывать, будет ли он в них отображать технические моменты и имеет ли он опыт взаимодействия с Роскомнадзором.

Как лучше всего выполнить требования закона? Обратиться к системному интегратору

К системным интеграторам, как правило, обращаются большие компании и крупные государственные учреждения.

Из плюсов данного способа можно выделить высокий уровень оказываемых услуг квалифицированными специалистами по информационной безопасности, гарантии на качество услуг и работу под ключ (разработка документации по персональным данным и внедрение технической защиты).

К минусам данного способа можно отнести высокую стоимость (в большинстве случаем переваливающую за 1.000.000 рублей) и долгий срок реализации проекта, связанный с негибкостью бизнес- процессов.

Как лучше всего выполнить требования закона? «Ждать, когда грянет гром»

Это способ выбирается некоторыми российскими организациями, которые не хотят решать вопрос с персональными данными.

Из плюсов данного способа можно отметить отсутствие затрат, как финансовых, так и временных, но только в краткосрочной перспективе.

Из минусов — то, что рано или поздно закон придется выполнить, и Роскомнадзор даже в случае наложения штрафов потребует выполнить требования закона.

И лучше это сделать, пока требования по закону не ужесточились окончательно. Работа по ужесточению штрафных санкций Роскомнадзором ведется — в первом чтении уже принят законопроект о повышении штрафов до минимальных 30.000 рублей и максимальных 300.000 рублей за одно нарушение.

Как лучше всего выполнить требования закона? Использовать сервисы автоматизированной подготовки документов по персональным данным

Один из самых распространенных способов выполнения закона «О персональных данных».

К плюсам данного способа относится его простота и доступность людям, не являющимися специалистами по информационной безопасности, невысокая стоимость, срок подготовки документов и консультации экспертов по безопасности. Некоторые из сервисов также предоставляют финансовые гарантии с возмещением штрафов Роскомнадзора и помощь в прохождениях проверок.

К явным минусам можно отнести то, что он не подойдет крупным государственным компаниям, и не поможет с полноценным внедрением системы защиты персональных данных, проверяемой в гос. секторе ФСТЭК России и ФСБ России.

Почему стоит решить вопрос с выполнением требований закона «О персональных данных»

Выполнять требования закона «О персональных данных» это не только обязанность каждой частной или государственной компании, обрабатывающей персональные данные сотрудников и клиентов.

Многие контрагенты стали запрашивать не только учредительные документы, но и документы по персональным данным, чтобы подтвердить выполнение закона.

Закон стали использовать в качестве рычага давления не только органы исполнительной власти, но и конкуренты.

Какой способ вы бы ни выбрали, важно в итоге выполнить требования закона, снизив риски для компании и должностных лиц.


Полезно почитать

Как привести сайт в соответствие ФЗ 152 "О персональных данных"?

С 1.07.2017 увеличились штрафы за нарушение федерального закона от 27.07.2006 №152 "О персональных данных".

Перечень работ

  1. Размещение пакета документов:
    • Согласие на обработку и хранение персональных данных;
    • Правила регистрации на сайте;
    • Договор публичной оферты.
  2. Доработка форм сайта:
    • Согласие на обработку персональных данных в формах обратной связи;
    • При регистрации на сайте;
    • В форме оформления заказа.

Согласие на обработку персональных данных

Это документ разрешающий владельцу сайта собирать, хранить и использовать персональные данные посетителя сайта.

Персональными данными являются все данные, которые посетитель передает на сайт: ФИО, логин, электронная почта, IP-адрес, файлы cookie, телефон и адрес доставки, и другие.

В документе прописывается порядок сбора, хранения и передачи информации.

Если человек не хочет передавать вам свои данные на хранение и обработку, он может отказаться от услуги, поставляемой вашим сайтом, или попросить вас в уведомительном порядке удалить его персональные данные.

На примере интернет-магазина

Вариант есть согласие: магазин спокойно отправит товар по адресу доставки, который укажет покупатель. А покупатель не подаст на магазин в суд за передачу его номера телефона и адреса курьерской службе.

Вариант нет согласия: покупатель каждый раз обязан регистрироваться в магазине и каждый раз заполнять поля о доставке товара, и разрешать передать их курьерской службе. Магазин не имеет права сохранить настройки покупателя, а следовательно будет запрашивать их вновь и вновь.

Правила регистрации на сайте

В документе подробно рассказывается о необходимости регистрации на сайте, возможностях, которые получает зарегистрированный посетитель, информация о последствиях за несоблюдение правил регистрации.

На примере интернет-магазина

Зарегистрированный пользователь имеет доступ в «Личный кабинет». Возможности «Личного кабинета» могут быть различными — от отслеживания статуса заказа до управления своим счетом в магазине.

Кроме того, зарегистрированный пользователь может получать накопительные скидки, информацию о новом товаре или о появлении товара, который он хотел приобрести. Получение новостей магазина также входит в бонусы зарегистрированного пользователя.

Договор публичной оферты

Вариант 1. Размещаем договор публичной оферты

  • Доверие посетителя. В договоре вы, как исполнитель, гарантируете посетителю сайта выполнение обязательств по договору.
  • Юридическая основа. В случае возникновения претензий, вы будете иметь юридическую основу для решения споров.
  • Единственный минус данного решения — это необходимость очень внимательно следить за актуальностью информации на сайте. В противном случае рискуете нарваться на судебные издержки.

Вариант 2. Информируем

Заявляем, что вся «Информация предоставленная на сайте не является Публичной офертой».
Простым языком: Публикуя информацию вы не даете посетителю гарантии, что информация актуальна.

На примере интернет-магазина

Есть товар по цене 100 р.

первый вариант: он точно есть и именно за 100 рублей
второй вариант: возможно он есть, вероятно он стоит 100 рублей, но информацию лучше уточнить у менеджера магазина.

В самом законе нигде явно не указана необходимость размещать на сайте договор-оферту и правила регистрации, но разместив эти документы на сайте в «подстелите соломку» — убережете себя от судебных издержек или штрафов.

Получение согласия

Размещаем на сайте во всех формах информацию, что посетитель, отправляя данные, дает согласие на их обработку.

Здесь возможны варианты:

  1. Обязуем. Посетитель обязан поставить галочку напротив информации о согласии, в противном случае данные не отправятся.
  2. Уведомляем. В каждой форме сайта размещаем текст «Отправляя данные, даю согласие на обработку персональных данных».

Не уведомляя посетителя сайта о том, что вы обрабатываете персональные данные, вы нарушаете 152 ФЗ РФ. Даже если на сайте нет ни одной формы для отправки данных, вы обязаны уведомить посетителя, что сайт использует cookie, а значит сохраняет данные посетителя.

Уведомление Роскомнадзора

Если на сайте размещен договор публичной оферты, то согласно ФЗ 152 ст.22 ч.2 п.2 вы не обязаны уведомлять Роскомнадзор. Так как оформляя заказ на сайте, клиент соглашается на условия договора-оферты и, как следствие, подпадает под действие договора.

Если на сайте не размещен договор публичной оферты, вы также не обязаны уведомлять Роскомнадзор об обработке персональных данных. Здесь есть одно НО! Каждый счет, выставленный вами, должен являться счет-договором.

Во всех других случаях, если вы обрабатываете персональные данные отличные от ФИО, вы обязаны уведомить Роскомнадзор.

ФЗ 152 ст.22 ч.2 п.2:

«2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
...
п.2 полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;»





Оставить комментарий