Как известно, существует Федеральный закон от 27.07.2006 года № 152-ФЗ "О персональных данных", регулирующий отношения, связанные с обработкой персональных данных. Практически любой интернет-сайт запрашивает данные своих пользователей в различных целях, при этом каких-либо мер по охране конфиденциальности пользовательских данных, как правило, не предпринимается. С точки зрения упомянутого закона (см. ч. 1 ст. 3 ФЗ), персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) .
Если ранее привлечение к ответственности за нарушения закона № 152 было достаточно редким явлением, а штрафы составляли меньший бюджет, чем стоимость услуг по охране персональных данных, многие владельцы интернет-магазинов и других интернет-представительств, собирающих данные пользователей, пренебрегали их защитой. Однако, с 01 июля 2017 года законодательство о персональных данных было расширено и ужесточено в отношении санкции за нарушения. Изменения коснулись не только видов нарушений и размеров штрафов, но и порядка привлечения к ответственности. Если ранее данным вопросом занималась и без того перегруженная прокуратура, то сейчас привлечь к ответственности нарушителя может непосредственно Роскомнадзор.
На сегодняшний день можно выделить следующие виды нарушений и следующие за ними санкции:
- Обработка персональных данных в случаях, не предусмотренных законодательством РФ, или обработка персональных данных, несовместимых с целями обработки. Штраф до 100 000 рублей, а за повторное нарушение - до 300 000 рублей.
- Обработка персональных данных без письменного согласия в случаях, когда оно должно быть получено по закону. Штраф до 150 000 рублей, а за повторное нарушение - до 500 000 рублей.
- Невыполнение обязанности по обеспечению доступа к политике обработки персональных данных (или, как еще ее принято называть, политике конфиденциальности). Штраф до 60 000 рублей.
- Невыполнение обязанности по предоставлению частному лицу информации об обработке его персональных данных. Штраф до 80 000 рублей.
- Невыполнение в установленные сроки требования о блокировании либо уничтожении, либо изменении персональных данных. Штраф до 90 000 рублей, а за повторное нарушение - до 500 000 рублей.
- Невыполнение обязанностей по хранению материальных носителей персональных данных. Штраф до 100 000 рублей.
- Невыполнение требований по обезличиванию персональных данных. Штраф до 12 000 рублей.
- Невыполнение требований о локализации серверов в РФ. Штраф до 6 000 000 рублей, а за повторное нарушение - до 18 000 000 рублей.
Это не полный перечень санкций, однако, полагаем, что для понимания серьезности вопроса, его вполне достаточно. Самой страшной санкцией может оказаться блокировка наподобие Linkedin, что существенно снижет на аудиторию интернет-сайта, какие бы прокси-серверы и анонимайзеры бы не придумали. Что же касается примеров из практики, то, например, в Астрахани прокуроры оштрафовали владельцев сайтов за формы обратной связи по алфавиту. 82% нарушений, выявленных Роскомнадзором при проведении мероприятий систематического наблюдения во 2м квартале 2017 года, относятся к непринятию оператором мер по опубликованию или обеспечению неограниченного доступа к документу, определяющему его политику в отношении обработки персональных данных.
Оператор (например, владелец интернет-сайта) обязан принять юридические и технические меры по обеспечению безопасности и соблюдению требований законодательства обработки персональных данных, полученных им во время функционирования своего интернет-ресурса. Также законодательство обязывает подать уведомление в Роскомнадзор о начале обработки персональных данных. Комплекс необходимых мер определяется индивидуально. Он может состоять из необходимого минимума - разработке и опубликованию политики конфиденциальности и принятию локально-нормативных актов, регулирующих обработку персональных данных, или требуемого максимума - использования криптозащитных программ во внутренних сетях оператора и т.п. Определиться с конкретным перечнем мер наши специалисты помогут при запросе в нашу компанию. Просим направлять их по электронной почте: management@it-jurist.ru, и обязательно указать ссылку на Ваш интернет-сайт (если он уже функционирует) или описать какие данные Вы собираетесь обрабатывать (если сайт в разработке).
Стоимость услуги |
от 20 000 рублей |
Для получения более подробной информации просим связаться с нашими менеджерами.