Защита персональных данных

Роскомнадзор, регулятор российского рынка бизнесов, представленных в Интернете, вправе штрафовать организации, которые используют e-mail инструментарий от MailChimp или офисные онлайн-приложения Google Docs, так как они не имеют в России серверов и не защищают персональные данные своих пользователей по российскому законодательству о трансграничной передаче данных.

Каждый Интернет-сайт, работающий с российскими пользователями, по закону ФЗ-152, должен содержать документ о конфиденциальности, описывающий, что происходит с персональными данными пользователей как на этапе регистрации, так и использования в дальнейшем.

К персональным данным по закону относится «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу».

Для регистрации, обратной связи, оплаты товара и других действий страницы сайта могут запрашивать:

  • Email
  • Телефон
  • ФИО и почтовый адрес
  • Платежные данные
  • Номера других документов (редко)

Вся эта информация позволяет определить физическое лицо. К примеру, если страница форума предлагает ввести только имя для ответа, то это не является определяющей информацией.

Но просто разместить политику конфиденциальности пользователей на сайте недостаточно. Она должна соответствовать определенным рекомендациям (стандартам). Штраф за отсутствие или несоответствие может достигать в размере 290 000 руб.

Как проверить что ваш сайт не нарушает закон?

  1. На сайте размещена политика обработки персональных данных, которая соответствует стандарту;
  2. Вы не запрашиваете излишние данные, а только необходимые;
  3. Каждая форма обратной связи содержит пункт “согласен с политикой обработки персональных данных”;
  4. Все данные шифруются (необходимость в приобретении SSL сертификата и использования HTTPS-защищенного соединения).
  5. Доступ к базе данных ограничен.
  6. Сервера находится на территории РФ.
  7. Вы послали уведомление в Роскомнадзор о своей деятельности.

Регистрироваться или нет?

Существует процедура регистрации в реестре операторов персональных данных. Все, кто работает с такими данными, должны быть зарегистрированы в Роскомнадзоре. Однако, при любой проверке, все нарушения влекут штраф (например, за использование MailChimp, у которого нет серверов в России). Складывается неопределенная ситуация, где непонятно, стоит регистрироваться или нет. За отсутствие регистрации, юридическое лицо может получить штраф в 10 000 руб. С другой стороны, организации, уже внесенные в базу Роскомнадзора гораздо легче подвергаются проверке (которая чревата еще большими штрафами).

Кто несет ответственность?

При регистрации домена, как правило, используется имя администратора сайта. Эта информация записана в провайдере-регистраторе (registrar), и именно это лицо несет наказание в первую очередь.

Важно соблюдать некоторые правила. Никогда не регистрируйте доменные имена для третьих лиц, так как в случае любых нарушений, несете ответственность вы. Суду очень сложно будет доказывать, что вы ни при чем, когда ваше имя записано в регистраторе доменных имен сайта-нарушителя.

Если вы реальный владелец сайта, и хотите обезопасить себя, зарегистрировав его на третье лицо, то это тоже не получится. Если суд установит вашу причастность к данному сайту, наказания вам не избежать.

Стоит ли проходить такую проверку? Мы в АМ Софт, плотно проработав вопросы защиты персональных данных со многими заказчиками, проверили “в бою” несколько консультантов и юристов, и теперь готовы посоветовать специалиста под конкретную ситуацию.