Главное Авторские колонки Вакансии Образование
5 948 10 В избр. Сохранено
Авторизуйтесь
Вход с паролем

Что нужно сделать с сайтом, чтобы не получить штрафы от Роскомнадзора из-за закона о персональных данных

С 1 июля 2017 Роскомнадзор начнет штрафовать за нарушения закона ФЗ 152. Штрафы могут достигнуть 300 000 рублей. Расскажем как избежать опасности, и как Perezvoni исправило проблему.
Мнение автора может не совпадать с мнением редакции

В чем проблема?

b_595cf50bbeb55.jpg

С 1 июля вступают в силу правки в статью 13.11 КоАП, которые касаются персональных данных. Вырастут штрафы, изменятся виды нарушений и Роскомнадзор будет за всё отвечать.

Раньше нужно было находить нарушения, регистрировать и заводить дело, ждать подписи в прокуратуре. Штрафы были до 10 000 тысяч. Теперь за всё будет отвечать Роскомнадзор, и дело пойдёт быстрее.

Закон о персональных данных существует с 2006. Он довольно сложный и в нем нет чётких формулировок. На наш взгляд, нужно значить термины «Персональные данные» и «Оператор данных».

Персональные данные — любые данные, по которым можно определить одного конкретного человека. Имя, Фамилия, телефон, адрес почты, ссылка в «ВКонтакте», дата и место рождения. Точных формулировок нет. Уровень дохода считается персональными данными, а ИНН — нет.

Оператор данных — тот, кто обрабатывает персональные данные. Данные не обязательно собирать, через сайт и заносить в CRM. Если вы нанимаете работника, то вы обрабатываете персональные данные работники и являетесь оператором персональных данных.

Оператором данных будет и обычный человек, который завел блог, и на котором для комментирования нужно зарегистрироваться, оставить электронную почту, или телефон.

Оператором данных будет крупная компания, которая регистрирует людей, оформляет заказы с доставкой на дом и звонит клиентам, чтобы подтвердить заказ.

⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀

Какие штрафы?

Если вы собираете телефоны, чтобы перезвонить и пригласить на пробный урок клиента, а потом на этот номер отправили смску с приглашением на мастер-класс — штраф для компаний до 50 000 рублей. Нужно правильно прописывать пользовательское соглашение, чтобы посетитель понимал, что к нему на почту, телефон будут приходить рекламные сообщения.

Если вы собираете телефон, простой кнопкой «Жду звонка!». Штраф для компаний до 75 000 рублей. Нужно рядом с кнопкой поставить чекбокс «Я согласен на обработку персональных данных» или написать такое под кнопкой, а рядом поставить ссылку на пользовательское соглашение.

За отсутствующее пользовательское соглашение, штраф для компаний 30 000 рублей. Пользовательское соглашение должно быть опубликовано на сайте, оно должно быть понятным и предусматривать все способы хранения, обработки и передачи персональных данных.

Штрафов больше, подробнее в статье 13.11 КоАП.

⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀

Да ничего не будет, кому нужно с этим возиться?

Одну компанию оштрафовали за то, что в её форме комментирования, была графа «Имя». Компания обратилась в суд, обратила внимание, что графа «Имя» необязательной и многие посетители оставляли псевдонимы. Доводы суд не устроили, и компания заплатила штраф. Источник: постановление Тамбовского областного суда от 04.10.2016 по делу №4А-288.

b_592c9157997cc.jpg

Гражданин не отдавал кредит банку. Тогда банк попросил коллекторов разобраться с этим. Гражданин пожаловался в суд, за передачу персональных данных третьим лицам, хотя гражданин на это не соглашался. Гражданин выиграл суд. Источник: определение Ярославского областного суда от 05.03.2012 по делу №33-939/2012пределение Ярославского областного суда от 05.03.2012 по делу №33-939/2012.

Клиент Сбербанка написал письмо в банк, и попросил больше не присылать рекламу. Сбербанк прислал индивидуальное предложение. Клиент пожаловался в суд, на незаконное использование персональных данных, банк заплатил 100 000 рублей. Источник: определение Новосибирского областного суда от 02.04.2015 по делу №33-2662/2015

Суды по незаконному использованию, хранению и распространению персональных данных происходят постоянно. Обычно по жалобам пострадавших. Теперь Роскомнадзор может обойтись без прокуратуры и оштрафовать владельца сайта или компанию за нарушения.

⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀

Что делать?

Лучше всего проконсультироваться с юристами. проблемы могут быть не только на сайте, но и во внутренних документах, отсутствующих приказах, и подписях. Разберитесь с этим, пока не появились предупреждения и штрафы.
  1. Пересмотрите пользовательское соглашение. Предусматривает ли оно, емейл-рассылку по оставленной почте?
  2. Зарегистрируйтесь как оператор данных в Роскомнадзоре, если ещё не сделали этого. Вы можете получать персональные данные от сторонних организаций, вы можете не хранить персональные данные у себя, но закон соблюдать должны. И если вы один раз звоните, чтобы пригласить человека на урок, а потом стираете этот телефон, вы оператор персональных данных. Регистрироваться не надо, если у вас есть только ФИО, человек сам опубликовал эти данные в общем доступе, вы обрабатываете данные сотрудников, используете эти данные только в договоре, и больше эти данные нигде не используются и нигде не распространяются.
  3. Если вы храните персональные данные у себя в CRM, убедитесь, что сервера находятся на территории РФ, сервера и базу нельзя взломать и данные оттуда не утекут в чужие руки.
  4. Запрашивайте только нужные персональные данные. Нельзя попросить физический адрес, если подписываете человека на емейл-рассылку.
  5. Научите сотрудников работать с персональными данными. Они должны по требованию человека, оставившего персональные данные сообщить, что произошло с его данными, удалять по его требования данные из базы. Если у вас несколько емейл-рассылок, человек подписался на три, нельзя ему присылать четвертую емейл-рассылку.

⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀⠀

Что мы сделали в Перезвони

Мы посоветовались с юристами и разработали политику конфиденциальности, которую добавили в виджет:

b_595ce8c251940.jpg

b_595cf0cd49355.jpg

Доработали дизайн виджета. Теперь можно выбрать чекбокс, который подтверждает согласие пользователя на обработку персональных данных.

Так же и в мобильном виджете:

b_595cf2ca04728.jpg

Мы уже хранили наши данные на российских серверах в Питере. Но мы провели дополнительную проверку защиты данных.

Разрабатываем инструкцию для наших клиентов, для подготовки сайта к новым изменениям в области персональных данных.

Подали заявку в реестр, как оператор данных.

Теперь Perezvoni адаптирован под новые изменения в законе, вернее под новые штрафы :).

+9
В избр. Сохранено
Авторизуйтесь
Вход с паролем
Комментарии
Сергей Педан
Спасибо за интересную статью!

Ссылка на условия в вашем `<label>` никак не отличается от остального текста, так что если вдруг пользователь захочет найти их, то не сможет (если он не Ванга).

Напротив — у пользователей, которые захотят включить чекбокс, нажав на `<label>` (а так должно работать), вдруг откроется PDF.

Hidden affordance ещё никому не шёл на пользу :)
Ответить
Perezvoni.com
Callback виджет с безлимитной связью и сквозной аналитикой
Виталий Ягодкин
спасибо, мы специально не выделяли ссылку, чтобы не отвлекать от заполнения формы на звонок, на самом деле, эти условия только бюрократия, я не знаю, кто будет читать политику прежде чем заказать звонок.

Значит, я открыл политику, за 20 мин прочитал и подумал мне это не подходит и не буду оставлять заявку на звонок, пойду почитаю политику на другом сайте
Ответить
Вячеслав Гавриленков
тогда чтобы не отвлекать людей сразу нельзя без чекбокса? Просто - "Нажимая кнопку отправить я соглашаюсь на тото" Зачем чекбокс нужен? Были прецеденты что человек не согласившись с политикой данных убрал чекбокс и нажал кнопку отправить? Разве это не выглядит нелепо? А если нажал кнопку Отправить то автоматически уже согласен и чекбокс ненужен же?!
Ответить
Perezvoni.com
Callback виджет с безлимитной связью и сквозной аналитикой
Виталий Ягодкин
Если чекбокс убрать, то нельзя отправить звонок. Если без чексбокса, то формулировка более длинная и в виджет не умещается
Ответить
Вячеслав Антонов
Спасибо за статью, актуальная тема сегодня.
Возник вопрос: в случае, если я создаю сайт в каком-нибудь онлайн-конструкторе, кто является оператором данных - я или эта CMS? Ведь команда разработчиков этой цмс-ки так же имеет доступ к личным данным пользователей, заполнивших форму на моем сайте. Или если они никак не используют эти данные, значит не являюся оператором и не несут ответственность?
Ответить
Perezvoni.com
Callback виджет с безлимитной связью и сквозной аналитикой
Ilya Slusarev
Все являются операторами. Если площадка "принимает данные", "хранит", "показывает их вам" → она хранит и обрабатывает персональные данные. Если Роскомнадзор до неё доебется, конструктор и сайты отключат. Не знаю как дела у зарубежных конструкторов, типа Викса, но практически все отечественные конструкторы перешли или переходят под новые требования.

Если вы сделали сайт на конструкторе, и он отдает данные вам в руки, значит вы тоже обрабатываете данные и вам надо рассказать Роскомнадзору, что вы это делаете.

Роскомнадзор может быть начнет проверять иностранных конструкторов, и если те не зарегистрируются, заблокирует их.
Ответить
Perezvoni.com
Callback виджет с безлимитной связью и сквозной аналитикой
Виталий Ягодкин
Да, все верно, но думаю, если сайт не большой и на физ лицо, то никому вы особо не нужны будете, но в целом да, на иностранном конструкторе даже персональные данные не хранятся в РФ.
Ответить
Yuraga Best
Очень интересный ответ прислал Роскомнадзор - если у меня нет на моем блоге никаких запросов персональных данных, я веду его для себя, но смотрю статистику: вот выдержка из ответа "дополнительно представить следующую информацию:
- URL-адрес указанного в Вашем обращении интернет-ресурса;
-объём сведений о пользователях указанного интернет-ресурса, обрабатываемый с использованием сервисов «Яндекс.Метрика» и «Google Analytics»."
Ответить
Солнцев и партнёры
Юристы для ИТ-бизнеса, разбирающиеся в Интернете, рекламе и бизнесе
Солнцев Станислав
а могли бы показать и расказаать чем закончилось?
Ответить
KANO / KENAZ
Концепт игровой приставки для мобильных устройств
Брагин Алексей
кто-нибудь в курсе, если банить IP / предупреждать пользователей из РФ что ничего заполнять не надо, сбор имейлов будет нарушением?
спасибо
Ответить
Выбрать файл
Блог проекта
Расскажите историю о создании или развитии проекта, поиске команды, проблемах и решениях
Написать
Личный блог
Продвигайте свои услуги или личный бренд через интересные кейсы и статьи
Написать

Spark использует cookie-файлы. С их помощью мы улучшаем работу нашего сайта и ваше взаимодействие с ним.