С 1 июля 2017 года вступают в силу изменения в Федеральном законе "О персональных данных" № 152-ФЗ: если у вас есть сайт, вы должны успеть привести его в соответствие новым требованиям. Иначе - штрафы до 300 000 рублей.
Вкратце о законе
Если у вас есть сайт (не важно - интернет-магазин, блог) с формой обратной связи или формой комментирования, со встроенной аналитикой Google или Яндекс.Метрикой, вы - оператор персональных данных, и на вас распространяется действие закона "О персональных данных".
На первый взгляд некоторые новые требования закона выглядят нелепо, но давайте разберёмся! Представьте себе ситуацию, когда ваш знакомый просит у вас номер телефона третьего лица. Вы ведь уточните у третьего лица, согласен ли он на передачу его номера вашему знакомому, и только затем сообщите контактные данные? Ситуация с сайтами и персональными данными напоминает противоположную ситуацию - если вы без спросу будете сообщать номер телефона третьего лица всем желающим.
Штрафы
Возмещение морального вреда, причинённого субъекту персональных данных, осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков. Размеры компенсаций по искам за причинение морального вреда ничем не ограничены.
После 1 июля 2017 года суммы штрафов увеличатся в несколько раз, и налагаться будут не по единственному пункту нарушения, а суммарные - по семи различным статьям.
Суммы штрафов, предусмотренные для должностных лиц за нарушения, связанные с персональными данными, колеблются в пределах от 3000 до 20 000 руб.
Для ИП предусмотрены штрафы в сумме от 5000 до 20 000 руб.
Для организаций-нарушителей -штрафы от 15 000 до 75 000 руб.
Физлицо - до 5000 рублей.
Персональные данные
До усовершенствования закона определение персональных данных было размытым. Текущая формулировка позволяет конкретизировать перечень персональных данных:
адрес электронной почты
номер телефона
имя, фамилия, отчество
адрес
дата рождения
фотография
ссылка на персональный сайт или профиль в соцсетях
Более не используется понятие полных или неполных персональных данных: совокупность нескольких или любое единственное из списка является персональными данными субъекта.
Прецедентная практика позволяет пополнить перечень:
cookie
IP-адрес
данные о местоположении посетителя сайта
Оператор персональных данных
Если на вашем сайте есть поле для подписки на рассылку, форма обратной связи или комментирования, если на вашем сайте можно зарегистрироваться и создать личный кабинет, а также если вы демонстрируете таргетированную рекламу и используете файлы cookie, то являетесь оператором персональных данных.
Сбор и обработка персональных данных
Любое действие, связанное с использованием персональных данных, будь то оставление комментария на сайте или заполнение формы обратного звонка, подпадает под определение обработки. Поэтому не важно, собираете ли вы только базу адресов для запланированной в далёком будущем рассылки, или уже осуществляете рассылку, вам грозит штраф при невыполнении требований закона о персональных данных.
Передача персональных данных
Спам, будь это холодные звонки или "привлекательные предложения" в почтовом ящике, являются следствием несоблюдения требований к хранению и защите персональных данных. К 2019 году в России должен появиться единый портал персональных данных, и каждый гражданин сможет узнать, какие организации хранят и используют его персональные данные, а также запретить обработку и передачу этих данных.
Закон предусматривает запрет передачи персональных данных без согласия субъекта. Оператор персональных данных обязан уведомить субъекта персональных данных о действиях, связанных с предоставлением персональных данных. Например, если сайт использует cookie, то посетителя сайта следует уведомить об этом и предложить согласиться с политикой использования cookie или покинуть сайт.
Согласие на обработку персональных данных
Посетитель вашего сайта, заполняющий форму обратной связи, оставляющий комментарий, подписывающийся на рассылку или выполняющий иное действие, связанное с получением вами его персональных данных, должен согласиться с тем, что вы, как оператор, будете иметь право на обработку этих данных. На деле это означает, что вы, как владелец сайта, должны опубликовать текст политики конфиденциальности и требовать согласия посетителей с упомянутой политикой.
Что нужно сделать, чтобы соблюсти закон о персональных данных и избежать штрафов
1. Создать страницу "Политика конфиденциальности", "Пользовательское соглашение", или "Согласие на обработку персональных данных", и разместить её на видимом месте сайта. В данном документе следует указать:
данные оператора, получающего согласие субъекта персональных данных (фамилия, имя, отчество физического лица, ИП или наименование организации, и адрес);
данные лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу (фамилия, имя, отчество физического лица, ИП или наименование организации, и адрес);
перечень персональных данных, которые собирает оператор;
цель обработки персональных данных;
перечень действий с персональными данными, на совершение которых дается согласие, и описание способов хранения и обработки персональных данных, используемых оператором;
срок действия согласия субъекта персональных данных, способ отзыва согласия, если иное не установлено федеральным законом;
2. Внедрить в форму обратной связи, комментирования, подписки и регистрации пункт о согласии на обработку и передачу персональных данных, такая возможность есть и в конструкторе форм WIX формы и в любых других конструкторах. Если вы используете старые контактные формы WIX, то можно просто разместить рядом с формой текст «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных» со ссылкой на соответствующую страницу для ознакомления.
3. Уведомлять каждого посетителя сайта об использовании файлов cookie, инструментов определения местоположения и IP-адреса. Обычно уведомление выглядит как всплывающее окно в верхней или нижней части экрана, с текстом и кнопками "Да" и "Покинуть сайт". Это возможно сделать, используя WIX lightboxes (промобоксы)
4. Подать в Роскомнадзор уведомление (на бумажном носителе или в форме электронного документа) о внесении в реестр операторов персональных данных. Уведомление необходимо подавать до момента начала сбора и обработки персональных данных. Уведомление в некоторых случаях можно не направлять. Например, если вы собираете только ФИО, или если вы обрабатываете данные сотрудников. Также не нужно уведомлять если вы получаете ПД от субъекта только в связи с заключением и исполнением договора, стороной которого он является. Здесь хорошим примером служит публичная оферта. Если у вас интернет-магазин или сайт услуг, субъект, соглашаясь с публичной офертой при заполнении формы, становится стороной договора. И вы как оператор ПД обязуетесь в оферте никуда его ПД не передавать, а использовать ПД только для выполнения своих обязательств по договору между вами. В самом законе прописаны все случаи, когда уведомление о сборе персональных данных не обязательно.
Данные требования применимы ко всем операторам персональных данных независимо от статуса, то есть то того, действуете ли вы как физлицо, ИП или организация. На юридических лиц накладывается дополнительный перечень обязательств.
Возможно, после 1 июля удалить собственный адрес электронной почты из базы нежелательной рассылки станет проще. Операторам персональных данных рекомендуется не игнорировать запросы о возможности такого удаления и по первому требованию прекратить хранение и использование любых персональных данных субъекта.
Следует помнить, что Роскомнадзор выносит решение о выявлении нарушения на основании визуального анализа сайта. Это значит, что если работник Роскомнадзора не заметит страницу с текстом "Политики конфиденциальности" или уведомление об использовании файлов cookie, то вам, как владельцу сайта, грозит целый "пакет" штрафов на сумму до 300 000 рублей. Штраф может быть взыскан повторно в случае, если вы не устраните выявленные нарушения. Поэтому всем владельцам сайтов до 1 июля следует привести их в соответствие с новыми требованиями Федерального закона "О персональных данных" № 152-ФЗ.
Сервера сайта должны находится в России
Как известно сервера WIX в настоящее время находятся не в России (по статистике больше трети всех сайтов рунета хостится за границей). WIX в настоящее время занимается поиском серверов в России.
Тем не менее, ваш сайт может не находиться на серверах в России, если обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных. Если вы попадаете под эти исключения, то необходимо предупредить субъекта персональных данных в Политике конфиденциальности о том, где находятся сервера сайта, что возможно использование Трансграничной передачи ПД, и что он полностью согласен с этим.
Если вы планируете создать или уже работаете с сайтом на Wix, рекомендуем подписаться на наш Instagram В аккаунте WIX PRO мы регулярно и доступно делимся опытом создания и управления эффективными сайтами, делаем обзоры новых продуктов и возможностей платформы. Эстетично и интересно)